Share via

Externe toegang via intranet inschakelen met TLS/SSL-certificaat (geavanceerd)

  • Artikel

In deze zelfstudie leert u hoe u een zelf-hostende Integration Runtime instelt met meerdere on-premises machines en externe toegang vanaf intranet met TLS/SSL-certificaat (Geavanceerd) inschakelt om de communicatie tussen Integration Runtime-knooppunten te beveiligen.

Vereisten

  • Een inleiding tot SSL/TLS Sterke versleuteling.
  • Het certificaat kan een algemeen TLS-certificaat voor een webserver zijn. Vereisten:
    • Het certificaat moet een openbaar vertrouwd X509 v3-certificaat zijn. U wordt aangeraden certificaten te gebruiken die zijn uitgegeven door een openbare partnercertificeringsinstantie (CA).
    • Elk Integratieruntime-knooppunt moet dit certificaat vertrouwen.
    • We raden SAN-certificaten (Alternatieve naam) aan omdat alle FQDN-namen (Fully Qualified Domain Names) van Integration Runtime-knooppunten door dit certificaat moeten worden beveiligd. (WCF TLS/SSL-validatie controleert alleen of de laatste DNS-naam in SAN is opgelost in .NET Framework 4.6.1. Raadpleeg Methode X509CertificateClaimSet.FindClaims voor meer informatie.)
    • Jokertekencertificaten (*) worden niet ondersteund.
    • Het certificaat moet een persoonlijke sleutel hebben (zoals PFX-indeling).
    • Het certificaat kan elke sleutelgrootte gebruiken die wordt ondersteund door Windows Server 2012 R2 voor TLS/SSL-certificaten.
    • We ondersteunen tot nu toe alleen het CSP-certificaat (Cryptographic Service Provider). Certificaten die gebruikmaken van CNG-sleutels (Key Storage Provider) worden niet ondersteund.

Stappen

  1. Voer de onderstaande PowerShell-opdracht uit op alle computers om hun FQDN's op te halen:

    [System.Net.Dns]::GetHostByName("localhost").HostName

    De FQDN's zijn bijvoorbeeld node1.domain.contoso.com en node2.domain.contoso.com.

  2. Genereer een certificaat met de FQDN's van alle computers in alternatieve onderwerpnaam.

    Schermopname van het genereren van een certificaat met de alternatieve naam van het onderwerp.

  3. Installeer het certificaat op alle knooppunten op Lokale computer ->Personal , zodat het kan worden geselecteerd in de Configuration Manager van de Integratieruntime:

    1. Klik op het certificaat en installeer het.

    2. Selecteer Lokale computer en voer het wachtwoord in.

      Schermopname van het selecteren van de lokale computer.

    3. Selecteer Alle certificaten in het volgende archief plaatsen. Klik op Bladeren. Selecteer Persoonlijk.

    4. Selecteer Voltooien om het certificaat te installeren.

  4. Externe toegang via intranet inschakelen:

    1. Tijdens de zelf-hostende Integration Runtime-knooppuntregistratie:

      1. Selecteer Externe toegang via intranet inschakelen en selecteer Volgende.

        Schermopname van het inschakelen van externe toegang vanaf intranet.

      2. Stel de TCP-poort in (standaard 8060). Zorg ervoor dat de poort is geopend op de firewall.

      3. Klik op Selecteren. Kies in het pop-upvenster het juiste certificaat en selecteer Voltooien.

        Schermopname van het selecteren van het certificaat.

    2. Nadat het zelf-hostende Integration Runtime-knooppunt is geregistreerd:

      Notitie

      De zelf-hostende Integration Runtime kan de instellingen voor externe toegang alleen wijzigen als deze één knooppunt heeft, wat standaard is. Anders kan het keuzerondje niet worden ingeschakeld.

      Schermopname van het inschakelen met TLS/SSL-certificaat (Geavanceerd).

      1. Ga naar zelf-hostende Integration Runtime Configuration Manager ->Instellingen ->Externe toegang vanaf intranet. Klik op Wijzigen.

      2. Kies Inschakelen met TLS/SSL-certificaat (Geavanceerd).

      3. Klik op Selecteren. Kies in het pop-upvenster het juiste certificaat en selecteer OK.

        Schermopname van het kiezen van een certificaat.

    3. Controleer de instellingen voor externe toegang in zelf-hostende Integration Runtime Configuration Manager.

      Schermopname van het verifiëren van de instellingen voor externe toegang in Zelf-hostend Integration Runtime Configuration Manager stap 1.

      Schermopname van het verifiëren van de instellingen voor externe toegang in Zelf-hostend Integration Runtime Configuration Manager stap 2.

  5. Een zelfondertekend certificaat gebruiken als u niet beschikt over het openbaar vertrouwde certificaat:

    1. Genereer en exporteer een zelfondertekend certificaat (deze stap kan worden overgeslagen als u het certificaat al hebt):

      1. Een zelfondertekend certificaat genereren via PowerShell (met verhoogde bevoegdheden):

        New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My

      2. Als u het gegenereerde certificaat met een persoonlijke sleutel wilt exporteren naar een PFX-bestand dat met een wachtwoord is beveiligd, hebt u de vingerafdruk nodig. Deze kan worden gekopieerd uit de resultaten van New-SelfSignedCertificate de opdracht. Het is CEB5B4372AA7BF877E56BCE27542F9F0A1AD197Fbijvoorbeeld .

      3. Exporteer het gegenereerde certificaat met de persoonlijke sleutel via PowerShell (met verhoogde bevoegdheden):

        $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
Export-PfxCertificate -Cert
cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword

      4. U hebt het certificaat met de persoonlijke sleutel geëxporteerd naar C:\self-signedcertificate.pfx.

    2. Installeer het certificaat op alle knooppunten in: Lokale computer ->Archief vertrouwde basiscertificeringsinstanties:

      1. Klik op het certificaat en installeer het.
      2. Selecteer Lokale computer en voer het wachtwoord in.
      3. Selecteer Alle certificaten in het volgende archief plaatsen. Klik op Bladeren. Selecteer Vertrouwde basiscertificeringsinstanties.
      4. Selecteer Voltooien om het certificaat te installeren.

      Schermopname van het installeren van het certificaat op alle knooppunten.

  6. Problemen oplossen

    1. Controleer of het certificaat bestaat in het doelarchief:

      1. Volg deze procedure Procedure: Certificaten weergeven met de MMC-module - WCF om certificaten (lokale computer) weer te geven in de MMC-module.

        Schermopname van het weergeven van certificaten in MMC-module in.

      2. Controleer of het certificaat is geïnstalleerd in het archief persoonlijke en vertrouwde basiscertificeringsinstanties (als het een zelfondertekend certificaat is).

        Schermopname van het certificaat dat is geïnstalleerd in het archief persoonlijke en vertrouwde basiscertificeringsinstanties.

    2. Controleer of het certificaat een persoonlijke sleutel heeft en niet is verlopen.

      Schermopname van het controleren of het certificaat een persoonlijke sleutel heeft en niet is verlopen.

    3. Zorg ervoor dat het serviceaccount voor de zelf-hostende Integration Runtime (standaardaccount is NT SERVICE\DIAHostService) leesmachtigingen heeft voor de persoonlijke sleutels van het certificaat:

      1. Klik met de rechtermuisknop op het certificaat ->Alle taken ->Persoonlijke sleutels beheren.

      2. Zo nee, ververleent u de machtiging Toepassen en opslaan.

        Schermopname van het serviceaccount voor de zelf-hostende Integration Runtime heeft leesmachtigingen voor de persoonlijke sleutels van het certificaat.