Azure Stack Hub PKI(공개 키 인프라) 인증서 요구 사항
Azure Stack Hub에는 작은 Azure Stack Hub 서비스 집합 및 테넌트 VM에 할당된 외부에서 액세스할 수 있는 공용 IP 주소를 사용하는 공용 인프라 네트워크가 있습니다. 이러한 Azure Stack Hub 공용 인프라 엔드포인트에 적절한 DNS 이름을 가진 PKI 인증서는 Azure Stack Hub를 배포하는 동안 필요합니다. 이 문서에서는 다음에 대한 정보를 제공합니다.
- Azure Stack Hub에 대한 인증서 요구 사항.
- Azure Stack Hub 배포에 필요한 필수 인증서입니다.
- 부가 가치 리소스 공급자를 배포할 때 필요한 선택적 인증서입니다.
참고
Azure Stack Hub는 기본적으로 노드 간 인증을 위해 내부 Active Directory 통합 CA(인증 기관)에서 발급된 인증서도 사용합니다. 인증서의 유효성을 검사하기 위해 모든 Azure Stack Hub 인프라 머신은 해당 인증서를 로컬 인증서 저장소에 추가하여 내부 CA의 루트 인증서를 신뢰합니다. Azure Stack Hub에는 인증서를 고정하거나 필터링할 수 없습니다. 각 서버 인증서의 SAN은 대상의 FQDN에 대해 유효성을 검사합니다. 인증서 만료 날짜(인증서 고정 없이 표준 TLS 서버 인증)와 함께 전체 신뢰 체인의 유효성도 검사됩니다.
인증서 요구 사항
다음 목록에서는 일반 인증서 발급, 보안 및 서식 지정 요구 사항을 설명합니다.
- 내부 인증 기관 또는 공용 인증 기관에서 인증서를 발급해야 합니다. 공용 인증 기관을 사용하는 경우 Microsoft 신뢰할 수 있는 루트 기관 프로그램의 일부로 기본 운영 체제 이미지에 포함되어야 합니다. 전체 목록은 참가자 목록 - Microsoft 신뢰할 수 있는 루트 프로그램을 참조하세요.
- Azure Stack Hub 인프라에는 인증서에 게시된 인증 기관의 CRL(인증서 해지 목록) 위치에 대한 네트워크 액세스 권한이 있어야 합니다. 이 CRL은 HTTP 엔드포인트여야 합니다. 참고: 연결이 끊긴 배포의 경우 CRL 엔드포인트에 액세스할 수 없는 경우 CA(공용 인증 기관)에서 발급한 인증서는 지원되지 않습니다. 자세한 내용은 연결이 끊긴 배포에서 손상되거나 사용할 수 없는 기능을 참조하세요.
- 1903년 이전 빌드에서 인증서를 회전하는 경우 배포 시 제공된 인증서에 서명하는 데 사용되는 것과 동일한 내부 인증 기관에서 인증서를 발급하거나 위의 공용 인증 기관에서 인증서를 발급해야 합니다.
- 빌드 1903 이상에 대한 인증서를 회전하는 경우 모든 엔터프라이즈 또는 공용 인증 기관에서 인증서를 발급할 수 있습니다.
- 자체 서명된 인증서의 사용은 지원되지 않습니다.
- 배포 및 회전의 경우 인증서의 주체 이름 및 SAN(주체 대체 이름)의 모든 이름 공간을 포함하는 단일 인증서를 사용할 수 있습니다. 또는 활용하려는 Azure Stack Hub 서비스에 필요한 아래의 각 네임스페이스에 대해 개별 인증서를 사용할 수 있습니다. 두 방법 모두 필요한 엔드포인트(예: KeyVault 및 KeyVaultInternal)에 와일드카드를 사용해야 합니다.
- 인증서 서명 알고리즘은 SHA1이 되어서는 안 됩니다.
- Azure Stack Hub 설치에 퍼블릭 키와 프라이빗 키가 모두 필요하므로 인증서 형식은 PFX여야 합니다. 프라이빗 키에는 로컬 컴퓨터 키 특성 집합이 있어야 합니다.
- PFX 암호화는 3DES여야 합니다(이 암호화는 Windows 10 클라이언트 또는 Windows Server 2016 인증서 저장소에서 내보낼 때 기본값임).
- 인증서 pfx 파일의 "키 사용량" 필드에 "디지털 서명" 및 "KeyEncipherment" 값이 있어야 합니다.
- 인증서 pfx 파일에는 "향상된 키 사용량" 필드에 "서버 인증(1.3.6.1.5.5.7.3.1)" 및 "클라이언트 인증(1.3.6.1.5.5.7.3.2)" 값이 있어야 합니다.
- 인증서의 "발급 대상:" 필드는 "발급자:" 필드와 동일하지 않아야 합니다.
- 모든 인증서 pfx 파일에 대한 암호는 배포 시 동일해야 합니다.
- 인증서 pfx에 대한 암호는 복잡한 암호여야 합니다. 배포 매개 변수로 사용하므로 이 암호를 기록해 둡다. 암호는 다음 암호 복잡성 요구 사항을 충족해야 합니다.
- 최소 길이는 8자입니다.
- 대문자, 소문자, 0-9의 숫자, 특수 문자, 대문자 또는 소문자가 아닌 사전순 문자 중 세 개 이상입니다.
- x509v3_config(주체 대체 이름 확장)의 주체 이름과 주체 대체 이름이 일치하는지 확인합니다. 주체 대체 이름 필드를 사용하면 단일 SSL 인증서로 보호할 추가 호스트 이름(웹 사이트, IP 주소, 일반 이름)을 지정할 수 있습니다.
참고
자체 서명된 인증서는 지원되지 않습니다.
연결이 끊긴 모드에서 Azure Stack Hub를 배포하는 경우 엔터프라이즈 인증 기관에서 발급한 인증서를 사용하는 것이 좋습니다. 이는 Azure Stack Hub 엔드포인트에 액세스하는 클라이언트가 CRL(인증서 해지 목록)에 연결할 수 있어야 하기 때문에 중요합니다.
참고
인증서의 신뢰 체인에 중간 인증 기관의 존재 가 지원됩니다 .
필수 인증서
이 섹션의 표에서는 Microsoft Entra ID 및 AD FS Azure Stack Hub 배포 모두에 필요한 Azure Stack Hub 퍼블릭 엔드포인트 PKI 인증서에 대해 설명합니다. 인증서 요구 사항은 영역 및 사용된 네임스페이스 및 각 네임스페이스에 필요한 인증서별로 그룹화됩니다. 또한 이 표에서는 솔루션 공급자가 퍼블릭 엔드포인트당 다른 인증서를 복사하는 폴더에 대해서도 설명합니다.
각 Azure Stack Hub 공용 인프라 엔드포인트의 적절한 DNS 이름이 있는 인증서가 필요합니다. 각 엔드포인트의 DNS 이름은 접두사> 형식<으로 표시됩니다.<지역.><fqdn>.
배포의 <경우 지역> 및 <fqdn> 값은 Azure Stack Hub 시스템에 대해 선택한 지역 및 외부 도메인 이름과 일치해야 합니다. 예를 들어 지역이 Redmond이고 외부 도메인 이름이 contoso.com 경우 DNS 이름에는 prefix.redmond.contoso.com> 형식<이 있습니다. 접두사> 값은< 인증서로 보호되는 엔드포인트를 설명하기 위해 Microsoft에서 미리 지정합니다. 또한 외부 인프라 엔드포인트의 접두사> 값은 특정 엔드포인트를 사용하는 Azure Stack Hub 서비스에 따라 달라집니다.<
프로덕션 환경에서는 각 엔드포인트에 대해 개별 인증서를 생성하고 해당 디렉터리에 복사하는 것이 좋습니다. 개발 환경의 경우 인증서는 모든 디렉터리에 복사된 SAN(주체 및 주체 대체 이름) 필드의 모든 네임스페이스를 포함하는 단일 와일드카드 인증서로 제공할 수 있습니다. 모든 엔드포인트 및 서비스에 적용되는 단일 인증서는 안전하지 않은 보안 태세이며 개발 전용입니다. 두 옵션은 모두 필요한 경우 acs 및 Key Vault와 같은 엔드포인트에 와일드카드 인증서를 사용해야 한다는 점을 기억해야 합니다.
참고
배포하는 동안 배포하려는 ID 공급자(Microsoft Entra ID 또는 AD FS)와 일치하는 배포 폴더에 인증서를 복사해야 합니다. 모든 엔드포인트에 단일 인증서를 사용하는 경우 다음 표에 설명된 대로 해당 인증서 파일을 각 배포 폴더에 복사해야 합니다. 폴더 구조는 배포 가상 머신 에 미리 빌드되어 있으며 C:\CloudDeployment\Setup\Certificates에서 찾을 수 있습니다.
| 배포 폴더 | 필요한 인증서 주체 및 SAN(주체 대체 이름) | 범위(지역별) | 하위 도메인 네임스페이스 |
|---|---|---|---|
| Public Portal | 포털.<지역.><Fqdn> | 포털 | <region>.<fqdn> |
| 관리 포털 | adminportal.<region>.<fqdn> | 포털 | <region>.<fqdn> |
| Azure Resource Manager Public | management.<region>.<fqdn> | Azure 리소스 관리자 | <region>.<fqdn> |
| Azure Resource Manager Admin | adminmanagement.<region>.<fqdn> | Azure 리소스 관리자 | <region>.<fqdn> |
| ACSBlob | *.Blob.<지역.><Fqdn> (와일드카드 SSL 인증서) |
Blob Storage | blob.<region>.<fqdn> |
| ACSTable | *.테이블.<지역.><Fqdn> (와일드카드 SSL 인증서) |
Table Storage | table.<region>.<fqdn> |
| ACSQueue | *.큐.<지역.><Fqdn> (와일드카드 SSL 인증서) |
Queue Storage | queue.<region>.<fqdn> |
| KeyVault | *.볼트.<지역.><Fqdn> (와일드카드 SSL 인증서) |
Key Vault | vault.<region>.<fqdn> |
| KeyVaultInternal | *.adminvault.<지역.><Fqdn> (와일드카드 SSL 인증서) |
Internal Keyvault | adminvault.<region>.<fqdn> |
| Admin Extension Host | *.adminhosting.<지역.><fqdn>(와일드카드 SSL 인증서) | Admin Extension Host | adminhosting.<region>.<fqdn> |
| Public Extension Host | *.호스팅.<지역.><fqdn>(와일드카드 SSL 인증서) | Public Extension Host | 호스팅.<지역.><Fqdn> |
Microsoft Entra 배포 모드를 사용하여 Azure Stack Hub를 배포하는 경우 이전 표에 나열된 인증서만 요청하면 됩니다. 그러나 AD FS 배포 모드를 사용하여 Azure Stack Hub를 배포하는 경우 다음 표에 설명된 인증서도 요청해야 합니다.
| 배포 폴더 | 필요한 인증서 주체 및 SAN(주체 대체 이름) | 범위(지역별) | 하위 도메인 네임스페이스 |
|---|---|---|---|
| ADFS | Adfs. <지역.<>Fqdn> (SSL 인증서) |
ADFS | <지역.><Fqdn> |
| 그래프 | 그래프. <지역.<>Fqdn> (SSL 인증서) |
그래프 | <지역.><Fqdn> |
중요
이 섹션에 나열된 모든 인증서에는 동일한 암호가 있어야 합니다.
선택적 PaaS 인증서
Azure Stack Hub를 배포하고 구성한 후 Azure Stack Hub PaaS 서비스(예: SQL, MySQL, App Service 또는 Event Hubs)를 배포하려는 경우 PaaS 서비스의 엔드포인트를 다루는 추가 인증서를 요청해야 합니다.
중요
리소스 공급자에 사용하는 인증서는 전역 Azure Stack Hub 엔드포인트에 사용되는 것과 동일한 루트 권한이 있어야 합니다.
다음 표에서는 리소스 공급자에 필요한 엔드포인트 및 인증서에 대해 설명합니다. 이러한 인증서를 Azure Stack Hub 배포 폴더에 복사할 필요가 없습니다. 대신 리소스 공급자를 설치하는 동안 이러한 인증서를 제공합니다.
| 범위(지역별) | 인증서 | 필수 인증서 주체 및 SAN(주체 대체 이름) | 하위 도메인 네임스페이스 |
|---|---|---|---|
| App Service | 웹 트래픽 기본 SSL 인증서 | *.appservice. <지역.<>Fqdn> *.scm.appservice. <지역.<>Fqdn> *.sso.appservice. <지역.<>Fqdn> (다중 도메인 와일드카드 SSL 인증서1) |
appservice. <지역.<>Fqdn> scm.appservice. <지역.<>Fqdn> |
| App Service | API | api.appservice. <지역.<>Fqdn> (SSL 인증서2) |
appservice. <지역.<>Fqdn> scm.appservice. <지역.<>Fqdn> |
| App Service | FTP | ftp.appservice. <지역.<>Fqdn> (SSL 인증서2) |
appservice. <지역.<>Fqdn> scm.appservice. <지역.<>Fqdn> |
| App Service | SSO | sso.appservice. <지역.<>Fqdn> (SSL 인증서2) |
appservice. <지역.<>Fqdn> scm.appservice. <지역.<>Fqdn> |
| Event Hubs | SSL | *.eventhub. <지역.<>Fqdn> (와일드카드 SSL 인증서) |
eventhub. <지역.<>Fqdn> |
| SQL, MySQL | SQL 및 MySQL | *.dbadapter. <지역.<>Fqdn> (와일드카드 SSL 인증서) |
dbadapter. <지역.<>Fqdn> |
1 와일드카드 주체 대체 이름이 여러 개 있는 하나의 인증서가 필요합니다. 단일 인증서의 여러 와일드카드 SAN은 모든 공용 인증 기관에서 지원되지 않을 수 있습니다.
2 A *.appservice. <지역.<>이러한 세 인증서(api.appservice) 대신 fqdn> 와일드카드 인증서를 사용할 수 없습니다.<지역.><fqdn>, ftp.appservice. <지역.<>fqdn> 및 sso.appservice. <지역.<>fqdn>. Appservice는 이러한 엔드포인트에 대해 별도의 인증서를 명시적으로 사용해야 합니다.
다음 단계
Azure Stack Hub 배포를 위한 PKI 인증서를 생성하는 방법을 알아봅니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기