Odnawianie certyfikatów kontrolera sieci
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2; Windows Server 2022 i Windows Server 2019
Ten artykuł zawiera instrukcje dotyczące odnawiania lub zmieniania certyfikatów kontrolera sieci, zarówno automatycznie, jak i ręcznie. Jeśli wystąpią jakiekolwiek problemy podczas odnawiania certyfikatów kontrolera sieci, skontaktuj się z pomoc techniczna firmy Microsoft.
W infrastrukturze sieci zdefiniowanej programowo kontroler sieci używa uwierzytelniania opartego na certyfikatach do zabezpieczania kanałów komunikacyjnych northbound z klientami zarządzania i komunikacji southbound z urządzeniami sieciowymi, takimi jak oprogramowanie Load Balancer. Certyfikaty kontrolera sieci mają okres ważności, po którym stają się nieprawidłowe i nie mogą być już zaufane do użycia. Zdecydowanie zalecamy ich odnowienie przed ich wygaśnięciem.
Aby zapoznać się z omówieniem kontrolera sieci, zobacz Co to jest kontroler sieci?
Kiedy należy odnowić lub zmienić certyfikaty kontrolera sieci
Certyfikaty kontrolera sieci można odnowić lub zmienić, gdy:
Certyfikaty zbliżają się do wygaśnięcia. Certyfikaty kontrolera sieci można odnawiać w dowolnym momencie przed ich wygaśnięciem.
Uwaga
Jeśli odnowisz istniejące certyfikaty przy użyciu tego samego klucza, wszystko jest ustawione i nie musisz nic robić.
Chcesz zastąpić certyfikat z podpisem własnym certyfikatem certyfikatem z podpisem urzędu certyfikacji.
Uwaga
Podczas zmieniania certyfikatów upewnij się, że używasz tej samej nazwy podmiotu co stary certyfikat.
Typy certyfikatów kontrolera sieci
W usłudze Azure Stack HCI każda maszyna wirtualna kontrolera sieci używa dwóch typów certyfikatów:
Certyfikat REST. Pojedynczy certyfikat komunikacji northbound z klientami REST (takimi jak Windows Admin Center) i komunikacja southbound z hostami funkcji Hyper-V i programowymi modułami równoważenia obciążenia. Ten sam certyfikat jest obecny na wszystkich maszynach wirtualnych kontrolera sieci. Aby odnowić certyfikaty REST, zobacz Odnawianie certyfikatów REST.
Certyfikat węzła kontrolera sieci. Certyfikat na każdej maszynie wirtualnej kontrolera sieci na potrzeby uwierzytelniania między węzłami. Aby odnowić certyfikaty węzłów kontrolera sieci, zobacz Odnawianie certyfikatów węzłów.
Ostrzeżenie
Nie zezwalaj na wygaśnięcie tego certyfikatu. Odnów je przed wygaśnięciem, aby uniknąć problemów z uwierzytelnianiem. Ponadto nie usuwaj żadnych istniejących wygasłych certyfikatów przed ich odnowieniem. Aby sprawdzić datę wygaśnięcia certyfikatu, zobacz Wyświetlanie wygaśnięcia certyfikatu.
Wyświetlanie wygaśnięcia certyfikatu
Użyj następującego polecenia cmdlet na każdej maszynie wirtualnej kontrolera sieci, aby sprawdzić datę wygaśnięcia certyfikatu:
Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject
Aby uzyskać wygaśnięcie certyfikatu REST, zastąp ciąg "Certificate-subject-name" ciągiem RestIPAddress lub RestName kontrolera sieci. Tę wartość można pobrać z
Get-NetworkController
polecenia cmdlet.Aby uzyskać wygaśnięcie certyfikatu węzła, zastąp ciąg "Certificate-subject-name" w pełni kwalifikowaną nazwą domeny (FQDN) maszyny wirtualnej kontrolera sieci. Tę wartość można pobrać z
Get-NetworkController
polecenia cmdlet.
Odnawianie certyfikatów kontrolera sieci
Certyfikaty kontrolera sieci można odnowić automatycznie lub ręcznie.
Polecenie Start-SdnCertificateRotation
cmdlet umożliwia zautomatyzowanie odnawiania certyfikatów kontrolera sieci. Automatyczne odnawianie certyfikatu pomaga zminimalizować wszelkie przestoje lub nieplanowane awarie spowodowane przez problemy z wygaśnięciem certyfikatu.
Poniżej przedstawiono scenariusze, w których można użyć Start-SdnCertificateRotation
polecenia cmdlet do automatycznego odnawiania certyfikatów kontrolera sieci:
- Certyfikaty z podpisem własnym.
Start-SdnCertificateRotation
Użyj polecenia cmdlet , aby wygenerować certyfikaty z podpisem własnym i odnowić te certyfikaty we wszystkich węzłach kontrolera sieci. - Przynieś własne certyfikaty. Możesz użyć własnego certyfikatu z podpisem własnym lub z podpisem
Start-SdnCertificateRotation
urzędu certyfikacji i użyć polecenia cmdlet do odnowienia certyfikatu. Polecenie cmdlet instaluje certyfikaty na wszystkich węzłach kontrolera sieci i dystrybuuje je do innych składników infrastruktury SDN. - Wstępnie zainstalowane certyfikaty. Masz już zainstalowane wymagane certyfikaty w węzłach kontrolera sieci.
Start-SdnCertificateRotation
Użyj polecenia cmdlet , aby odnowić te certyfikaty do innych składników infrastruktury SDN.
Aby uzyskać więcej informacji na temat tworzenia certyfikatów SDN i zarządzania nimi, zobacz Zarządzanie certyfikatami dla sieci zdefiniowanej programowo.
Wymagania
Poniżej przedstawiono wymagania dotyczące automatycznego odnawiania certyfikatu:
Należy uruchomić
Start-SdnCertificateRotation
polecenie cmdlet w jednym z węzłów kontrolera sieci. Aby uzyskać instrukcje instalacji, zobacz Instalowanie modułu SdnDiagnostics.Aby autoryzować komunikację między węzłami kontrolera sieci, musisz mieć poświadczenia dla następujących dwóch typów kont:
Credential
aby określić konto użytkownika z uprawnieniami administratora lokalnego na kontrolerze sieci.NcRestCredential
aby określić konto użytkownika z dostępem do interfejsu API REST kontrolera sieci. Jest członkiem programuClientSecurityGroup
Get-NetworkController
. To konto służy do wywoływania interfejsu API REST w celu zaktualizowania zasobu poświadczeń przy użyciu nowego certyfikatu.
Aby uzyskać więcej informacji na temat konfigurowania autoryzacji dla komunikacji northbound kontrolera sieci, zobacz Authorization for Northbound communication ( Autoryzacja dla komunikacji northbound).
Automatyczne odnawianie certyfikatów z podpisem własnym
Możesz użyć Start-SdnCertificateRotation
polecenia cmdlet , aby wygenerować nowe certyfikaty z podpisem własnym i automatycznie odnowić je do wszystkich węzłów kontrolera sieci. Domyślnie polecenie cmdlet generuje certyfikaty z okresem ważności trzech lat, ale można określić inny okres ważności.
Wykonaj następujące kroki w jednym z węzłów kontrolera sieci, aby wygenerować certyfikaty z podpisem własnym i automatycznie je odnowić:
Aby wygenerować certyfikaty z podpisem
Start-SdnCertificateRotation
własnym, uruchom polecenie cmdlet . Możesz użyć parametru-Force
z poleceniem cmdlet, aby uniknąć monitów o potwierdzenie lub ręczne wprowadzanie danych wejściowych podczas procesu rotacji.Aby wygenerować certyfikaty z podpisem własnym z domyślnym okresem ważności trzech lat, uruchom następujące polecenia:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
Aby wygenerować certyfikaty z podpisem własnym z określonym okresem ważności, użyj parametru
NotAfter
, aby określić okres ważności.Aby na przykład wygenerować certyfikaty z podpisem własnym z okresem ważności pięciu lat, uruchom następujące polecenia:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
Wprowadź poświadczenia. Zostanie wyświetlony dwa monity o podanie dwóch typów poświadczeń:
- W pierwszym wierszu polecenia wprowadź hasło, aby chronić wygenerowany certyfikat. Nazwa użytkownika może być niczym i nie jest używana.
- W drugim wierszu polecenia użyj poświadczenia, które ma dostęp administratora do wszystkich węzłów kontrolera sieci.
Po wygenerowaniu nowych certyfikatów zostanie wyświetlone ostrzeżenie, aby potwierdzić, czy chcesz kontynuować proces rotacji certyfikatów. Tekst ostrzegawczy wyświetla listę certyfikatów kontrolera sieci, które zostaną zastąpione nowo wygenerowanymi certyfikatami. Wpisz
Y
, aby potwierdzić.Oto przykładowy zrzut ekranu ostrzeżenia:
Po potwierdzeniu kontynuowania rotacji certyfikatów można wyświetlić stan bieżących operacji w oknie poleceń programu PowerShell.
Ważne
Nie zamykaj okna programu PowerShell, dopóki polecenie cmdlet nie zostanie zakończone. W zależności od środowiska, takiego jak liczba węzłów kontrolera sieci w klastrze, ukończenie może potrwać kilka minut lub dłużej niż godzinę.
Oto przykładowy zrzut ekranu okna polecenia programu PowerShell przedstawiający stan bieżących operacji:
Automatyczne odnawianie własnych certyfikatów
Oprócz generowania certyfikatów kontrolera sieci z podpisem własnym można również przynieść własne certyfikaty z podpisem własnym lub podpisanym przez urząd certyfikacji i użyć Start-SdnCertificateRotation
polecenia cmdlet w celu odnowienia tych certyfikatów.
Wykonaj następujące kroki w jednym z węzłów kontrolera sieci, aby automatycznie odnowić własne certyfikaty:
Przygotuj certyfikaty w
.pfx
formacie i zapisz w folderze w jednym z węzłów kontrolera sieci, z którego uruchamiaszStart-SdnCertificateRotation
polecenie cmdlet. Możesz użyć parametru-Force
z poleceniem cmdlet, aby uniknąć monitów o potwierdzenie lub ręczne wprowadzanie danych wejściowych podczas procesu rotacji.Aby rozpocząć odnawianie certyfikatu, uruchom następujące polecenia:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
Wprowadź poświadczenia. Zostanie wyświetlony dwa monity o podanie dwóch typów poświadczeń:
- W pierwszym wierszu polecenia wprowadź hasło certyfikatu. Nazwa użytkownika może być niczym i nie jest używana.
- W drugim wierszu polecenia użyj poświadczenia, które ma dostęp administratora do wszystkich węzłów kontrolera sieci.
Zostanie wyświetlone ostrzeżenie, aby potwierdzić, czy chcesz kontynuować proces rotacji certyfikatów. W tekście ostrzeżenia zostanie wyświetlona lista certyfikatów kontrolera sieci, które zostaną zastąpione nowo wygenerowanymi certyfikatami. Wpisz
Y
, aby potwierdzić.Oto przykładowy zrzut ekranu ostrzeżenia:
Po potwierdzeniu kontynuowania rotacji certyfikatów możesz wyświetlić stan bieżących operacji w oknie polecenia programu PowerShell.
Ważne
Nie zamykaj okna programu PowerShell, dopóki polecenie cmdlet nie zostanie zakończone. W zależności od środowiska, takiego jak liczba węzłów kontrolera sieci w klastrze, ukończenie może potrwać kilka minut lub dłużej niż godzinę.
Odnawianie wstępnie zainstalowanych certyfikatów automatycznie
W tym scenariuszu masz zainstalowane wymagane certyfikaty w węzłach Kontroler sieci. Start-SdnCertificateRotation
Użyj polecenia cmdlet , aby odnowić te certyfikaty w innych składnikach infrastruktury SDN.
Wykonaj następujące kroki w jednym z węzłów kontrolera sieci, aby automatycznie odnowić wstępnie zainstalowane certyfikaty:
Zainstaluj certyfikaty kontrolera sieci na wszystkich węzłach kontrolera sieci zgodnie z preferowaną metodą. Upewnij się, że certyfikaty są zaufane przez inne składniki infrastruktury SDN, w tym serwery SDN MUX i hosty SDN.
konfiguracja rotacji certyfikatów Twórca:
Aby wygenerować domyślną konfigurację rotacji certyfikatów, uruchom następujące polecenia:
Import-Module -Name SdnDiagnostics -Force $certConfig = New-SdnCertificateRotationConfig $certConfig
Przejrzyj domyślną konfigurację rotacji certyfikatów, aby sprawdzić, czy automatycznie wykryte certyfikaty są tymi, których chcesz użyć. Domyślnie pobiera najnowszy wystawiony certyfikat do użycia.
Oto przykładowa konfiguracja rotacji certyfikatów:
PS C:\Users\LabAdmin> $certConfig Name Value ---- ----- ws22ncl.corp.contoso.com F4AAF14991DAF282D9056E147AE60C2C5FE80A49 ws22nc3.corp.contoso.com BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115 ClusterCredentialType X509 ws22nc2.corp.contoso.corn 75DC229A8E61AD855CC445C42482F9F919CC1077 NcRestCert 029D7CA0067A60FB24827D8434566787114AC30C
gdzie:
- ws22ncx.corp.contoso.com pokazuje odcisk palca certyfikatu dla każdego węzła kontrolera sieci.
- Typ uwierzytelniania ClusterCredentialType przedstawia typ uwierzytelniania klastra kontrolera sieci. Jeśli typ uwierzytelniania nie jest X509, certyfikat węzła nie jest używany i nie jest wyświetlany w danych wyjściowych.
- NcRestCert pokazuje odcisk palca certyfikatu REST kontrolera sieci.
(Opcjonalnie) Jeśli wygenerowana
$certConfig
wartość jest niepoprawna, możesz ją zmienić, określając odcisk palca nowego certyfikatu. Aby na przykład zmienić odcisk palca certyfikatu REST kontrolera sieci, uruchom następujące polecenie:$certConfig.NcRestCert = <new certificate thumbprint>
Uruchom rotację certyfikatów. Możesz użyć parametru
-Force
z poleceniem cmdlet , aby uniknąć monitów o potwierdzenie lub ręczne dane wejściowe podczas procesu rotacji.Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
Po wyświetleniu monitu o poświadczenia wprowadź poświadczenia z dostępem administratora do wszystkich węzłów kontrolera sieci.
Zostanie wyświetlone ostrzeżenie, aby potwierdzić, czy chcesz kontynuować automatyczną rotację certyfikatów. Ostrzeżenie wyświetla listę certyfikatów kontrolera sieci, które zostaną zastąpione własnymi certyfikatami. Wpisz
Y
, aby potwierdzić.Oto przykładowy zrzut ekranu przedstawiający ostrzeżenie z monitem o potwierdzenie rotacji certyfikatów:
Po potwierdzeniu kontynuowania rotacji certyfikatów możesz wyświetlić stan bieżących operacji w oknie polecenia programu PowerShell.
Ważne
Nie zamykaj okna programu PowerShell, dopóki polecenie cmdlet nie zostanie zakończone. W zależności od środowiska, takiego jak liczba węzłów kontrolera sieci w klastrze, ukończenie może potrwać kilka minut lub dłużej niż godzinę.
Ponowne importowanie certyfikatów w Windows Admin Center
Jeśli odnowiono certyfikat REST kontrolera sieci i używasz Windows Admin Center do zarządzania siecią SDN, musisz usunąć klaster Azure Stack HCI z Windows Admin Center i dodać go ponownie. Dzięki temu należy się upewnić, że Windows Admin Center importuje odnowiony certyfikat i używa go do zarządzania siecią SDN.
Wykonaj następujące kroki, aby ponownie zaimportować odnowiony certyfikat w Windows Admin Center:
- W Windows Admin Center wybierz pozycję Menedżer klastra z menu rozwijanego u góry.
- Wybierz klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń.
- Wybierz pozycję Dodaj, wprowadź nazwę klastra, a następnie wybierz pozycję Dodaj.
- Po załadowaniu klastra wybierz pozycję Infrastruktura SDN. Wymusza to Windows Admin Center automatycznego ponownego importowania odnowionego certyfikatu.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla