Certyfikat uwierzytelniania serwera CMGCMG server authentication certificate

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Pierwszym krokiem podczas konfigurowania bramy zarządzania chmurą (CMG) jest uzyskanie certyfikatu uwierzytelniania serwera.The first step when you set up a cloud management gateway (CMG) is to get the server authentication certificate. CMG tworzy usługę HTTPS, do której nawiązują klienci internetowi.The CMG creates an HTTPS service to which internet-based clients connect. Serwer wymaga certyfikatu uwierzytelniania serwera do skompilowania bezpiecznego kanału.The server requires a server authentication certificate to build the secure channel. Do tego celu można uzyskać certyfikat od publicznego dostawcy lub wydać go z infrastruktury kluczy publicznych (PKI).You can acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI).

Po utworzeniu CMG w konsoli Configuration Manager należy podać ten certyfikat.When you create the CMG in the Configuration Manager console, you provide this certificate. Nazwa pospolita (CN) tego certyfikatu definiuje nazwę usługi CMG.The common name (CN) of this certificate defines the service name of the CMG.

Uwaga

Klienci i punkty zarządzania mogą potrzebować dodatkowych certyfikatów.You may need additional certificates for clients and management points. Te certyfikaty zostały omówione w trzecim kroku procesu instalacji CMG. Skonfiguruj uwierzytelnianie klienta.These certificates are covered in the third step of the CMG setup process, Configure client authentication.

Przypomnienie dotyczące jakiejś CMG terminologii, która jest używana w tym artykule:A reminder of some CMG terminology that's used in this article:

  • Nazwa usługi: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG.Service name: The common name (CN) of the CMG server authentication certificate. Klienci i rola systemu lokacji punktu połączenia CMG komunikują się z tą nazwą usługi.Clients and the CMG connection point site system role communicate with this service name. Na przykład: GraniteFalls.contoso.com lub GraniteFalls.cloudapp.net.For example, GraniteFalls.contoso.com or GraniteFalls.cloudapp.net.

  • Nazwa wdrożenia: Pierwsza część nazwy usługi i lokalizacja platformy Azure dla wdrożenia usługi w chmurze.Deployment name: The first part of the service name plus the Azure location for the cloud service deployment. Na przykład GraniteFalls.cloudapp.net.For example, GraniteFalls.cloudapp.net. Składnik programu Cloud Service Manager punktu połączenia z usługą używa tej nazwy podczas wdrażania CMG na platformie Azure.The cloud service manager component of the service connection point uses this name when it deploys the CMG in Azure. Nazwa wdrożenia zawsze znajduje się w domenie platformy Azure.The deployment name is always in an Azure domain.

Wybierz typ certyfikatuChoose the certificate type

Najpierw zdecyduj, gdzie chcesz uzyskać certyfikat.First, decide where you want to get the certificate. Istnieje kilka czynników, które należy wziąć pod uwagę.There are several factors to consider.

Aby nawiązać kanał HTTPS z usługą CMG, klienci muszą ufać certyfikatowi uwierzytelniania serwera CMG.Clients must trust the CMG server authentication certificate to establish the HTTPS channel with the CMG service. Istnieją dwie metody do osiągnięcia tego zaufania:There are two methods to accomplish this trust:

  1. Użyj certyfikatu od publicznego i globalnego dostawcy certyfikatów zaufanych.Use a certificate from a public and globally trusted certificate provider. Na przykład, ale nie ograniczone do, DigiCert, Thawte lub VeriSign.For example, but not limited to, DigiCert, Thawte, or VeriSign.

    • Klienci z systemem Windows zawierają Zaufane główne urzędy certyfikacji od tych dostawców.Windows clients include trusted root certificate authorities (CAs) from these providers. Przy użyciu certyfikatu wystawionego przez jednego z tych dostawców klienci programu automatycznie ufają.By using a certificate issued by one of these providers, your clients automatically trust it.

    • Istnieje koszt związany z tym certyfikatem, który jest specyficzny dla dostawcy.There's a cost associated with this certificate, which is specific to the provider.

  2. Użyj certyfikatu wystawionego przez urząd certyfikacji przedsiębiorstwa z infrastruktury kluczy publicznych (PKI).Use a certificate issued by an enterprise CA from your public key infrastructure (PKI).

    • Większość implementacji infrastruktury PKI przedsiębiorstwa Dodawanie zaufanych głównych urzędów certyfikacji do klientów z systemem Windows.Most enterprise PKI implementations add the trusted root CAs to Windows clients. Jeśli na przykład używasz usług certyfikatów Active Directory z zasadami grupy.For example, if you use Active Directory Certificate Services with group policy. W przypadku wystawiania certyfikatu uwierzytelniania serwera CMG z urzędu certyfikacji, którego klienci nie ufają automatycznie, Dodaj zaufany certyfikat główny urzędu certyfikacji do klientów internetowych.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

    • Organizacja może mieć koszt wewnętrzny, aby wystawiać certyfikaty, ale zazwyczaj nie ma kosztów zewnętrznych skojarzonych z tym certyfikatem.Your organization may have an internal cost to issue certificates, but there are generally no external costs associated with this certificate.

Ważne

Przed uzyskaniem tego certyfikatu upewnij się, że nazwa usługi jest globalnie unikatowa dla usługi w chmurze i konta magazynu.Before you get this certificate, make sure the service name is globally unique for the cloud service and storage account. Upewnij się również, że nazwa używa obsługiwanych znaków.Also make sure the name uses supported characters. Aby uzyskać więcej informacji, zobacz globalnie unikatowa nazwa.For more information, see Globally unique name.

Porównanie podsumowań typów certyfikatówSummary comparison of certificate types

Dostawca publicznyPublic provider Infrastruktura PKI przedsiębiorstwaEnterprise PKI
Zaufanie klientaClient trust Domyślnie zaufane w systemie WindowsTrusted in Windows by default Automatyczne w przypadku niektórych implementacji, w przeciwnym razie należy wdrożyćAutomatic with some implementations, otherwise need to deploy
KosztyCost TakYes NietypoweNot typical
Przykład nazwy usługiService name example GraniteFalls.contoso.com GraniteFalls.contoso.com lub GraniteFalls.cloudapp.netGraniteFalls.contoso.com or GraniteFalls.cloudapp.net
Wymagany rekord CNAME DNSDNS CNAME required TakYes Nie dla nazwy usługi Azure Domain Service ( GraniteFalls.cloudapp.net )No for Azure domain service name (GraniteFalls.cloudapp.net)

Uwaga

Certyfikat uwierzytelniania serwera CMG obsługuje symbole wieloznaczne.The CMG server authentication certificate supports wildcards. Niektóre urzędy certyfikacji wystawiają certyfikaty przy użyciu symbolu wieloznacznego dla prefiksu nazwy usługi.Some certificate authorities issue certificates using a wildcard character for the service name prefix. Na przykład *.contoso.com.For example, *.contoso.com. Niektóre organizacje używają symboli wieloznacznych do uproszczenia infrastruktury kluczy publicznych i obniżenia kosztów konserwacji.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

Aby uzyskać więcej informacji na temat używania certyfikatu wieloznacznego z CMG, zobacz set up a CMG.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

Nazwa unikatowa w skali globalnejGlobally unique name

Ten certyfikat wymaga globalnie unikatowej nazwy do identyfikowania usługi na platformie Azure.This certificate requires a globally unique name to identify the service in Azure. Przed zażądaniem certyfikatu upewnij się, że nazwa wdrożenia platformy Azure, której chcesz użyć, jest unikatowa.Before you request a certificate, confirm that the Azure deployment name you want is unique. Na przykład GraniteFalls.cloudapp.net.For example, GraniteFalls.cloudapp.net.

  1. Zaloguj się w witrynie Azure Portal.Sign in to the Azure portal.

  2. Na stronie głównej Azure Portal wybierz pozycję Utwórz zasób w obszarze usługi platformy Azure.From the Azure portal home page, select Create a resource under Azure services.

  3. Wyszukaj usługę w chmurze.Search for Cloud service. Wybierz pozycję Utwórz.Select Create.

  4. W polu nazwa DNS wpisz żądany prefiks, na przykład GraniteFalls .In the DNS name field, type the prefix you want, for example GraniteFalls. Interfejs wskazuje, czy nazwa domeny jest dostępna lub jest już używana przez inną usługę.The interface reflects whether the domain name is available or already in use by another service.

    Ważne

    Nie twórz usługi w portalu, po prostu Użyj tego procesu, aby sprawdzić dostępność nazwy.Don't create the service in the portal, just use this process to check the name availability.

Jeśli włączysz również CMG dla zawartości, upewnij się, że jest ona również unikatową nazwą konta usługi Azure Storage.If you also enable the CMG for content, confirm that it's also a unique Azure storage account name. Jeśli nazwa usługi w chmurze CMG jest unikatowa, ale konto magazynu nie jest, Configuration Manager nie można zainicjować obsługi administracyjnej usługi na platformie Azure.If the CMG cloud service name is unique, but the storage account isn't, Configuration Manager fails to provision the service in Azure. Powtórz powyższy proces w Azure Portal z następującymi zmianami:Repeat the above process in the Azure portal with the following changes:

  • Wyszukaj konto magazynu.Search for Storage account.

  • Przetestuj swoją nazwę w polu nazwa konta magazynu .Test your name in the Storage account name field.

Ważne

Prefiks nazwy DNS, na przykład GraniteFalls , powinien mieć długość od 3 do 24 znaków i używać tylko znaków alfanumerycznych.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. Nie używaj znaków specjalnych, takich jak kreska ( - ).Don't use special characters, like a dash (-).

Wystaw certyfikatIssue the certificate

Certyfikat uwierzytelniania serwera CMG obsługuje następujące konfiguracje:The CMG server authentication certificate supports the following configurations:

  • 2048-bitowa lub 4096-bitowa długość klucza2048-bit or 4096-bit key length

  • Ten certyfikat obsługuje dostawców magazynu kluczy dla kluczy prywatnych certyfikatu (V3).This certificate supports key storage providers for certificate private keys (v3). Aby uzyskać więcej informacji, zobacz Omówienie certyfikatów CNG v3.For more information, see CNG v3 certificates overview.

Użyj certyfikatu dostawcy publicznegoUse a public provider certificate

Dostawca certyfikatu innej firmy nie może utworzyć certyfikatu dla domeny platformy Azure cloudapp.net , na przykład ponieważ firma Microsoft jest właścicielem tych domen.A third-party certificate provider can't create a certificate for an Azure domain like cloudapp.net, because Microsoft owns those domains. Można uzyskać tylko certyfikat wystawiony dla posiadanej domeny.You can only get a certificate issued for a domain you own. Głównym powodem uzyskiwania certyfikatu od innego dostawcy jest fakt, że klienci już ufają certyfikatowi głównemu tego dostawcy.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

Konkretny proces uzyskiwania tego certyfikatu różni się w zależności od dostawcy.The specific process to get this certificate varies by provider. Aby uzyskać więcej informacji, skontaktuj się z dostawcą certyfikatu innej firmy.For more information, contact your third-party certificate provider.

W przypadku nazwy pospolitej certyfikatu serwera sieci Web (CN):For the web server certificate common name (CN):

  • Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla usługi w chmurze i konta magazynu.You've made sure the deployment name is globally unique in Azure for the cloud service and storage account. Na przykład GraniteFalls.cloudapp.net.For example, GraniteFalls.cloudapp.net.

  • Aby określić nazwę usługi, Dołącz prefiks nazwy wdrożenia ( GraniteFalls ) do nazwy domeny organizacji ( contoso.com ).To determine the service name, append the deployment name prefix (GraniteFalls) to your organization's domain name (contoso.com).

  • Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN).Use this service name for the certificate common name (CN). Na przykład GraniteFalls.contoso.com.For example, GraniteFalls.contoso.com.

Następnie należy utworzyć alias CNAME DNS.Next, you need to create a DNS CNAME alias.

Korzystanie z certyfikatu PKI przedsiębiorstwaUse an enterprise PKI certificate

Wystawianie certyfikatu serwera sieci Web z infrastruktury PKI organizacji różni się w zależności od produktu.Issuing a web server certificate from your organization's PKI varies by product. Instrukcje dotyczące wdrażania certyfikatu usługi dla chmurowych punktów dystrybucji dotyczą Active Directory usług certyfikatów.The instructions for Deploying the service certificate for cloud-based distribution points are for Active Directory Certificate Services. Ten proces ma zastosowanie zwykle do certyfikatu uwierzytelniania serwera CMG.This process generally applies for the CMG server authentication certificate.

W przypadku nazwy pospolitej certyfikatu serwera sieci Web (CN):For the web server certificate common name (CN):

  • Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla usługi w chmurze i konta magazynu.You've made sure the deployment name is globally unique in Azure for the cloud service and storage account. Na przykład GraniteFalls.cloudapp.net.For example, GraniteFalls.cloudapp.net.

  • Aby określić nazwę usługi, dostępne są dwie opcje:To determine the service name, you have two options:

    • Użyj nazwy domeny.Use your domain name. Dołącz prefiks nazwy wdrożenia ( GraniteFalls ) do nazwy domeny organizacji ( contoso.com ).Append the deployment name prefix (GraniteFalls) to your organization's domain name (contoso.com). Na przykład GraniteFalls.contoso.com.For example, GraniteFalls.contoso.com. W przypadku tej opcji należy również utworzyć alias CNAME DNS.For this option, you also need to create a DNS CNAME alias.

    • Użyj nazwy wdrożenia platformy Azure.Use the Azure deployment name. Ta opcja nie wymaga aliasu CNAME DNS.This option doesn't require a DNS CNAME alias. Na przykład:For example:

      • W przypadku chmury publicznej platformy Azure: GraniteFalls.cloudapp.net .For the Azure public cloud: GraniteFalls.cloudapp.net.

      • W chmurze platformy Azure dla instytucji rządowych: GraniteFalls.usgovcloudapp.net .For the Azure US Government cloud: GraniteFalls.usgovcloudapp.net.

  • Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN).Use this service name for the certificate common name (CN).

Tworzenie aliasu CNAME DNSCreate a DNS CNAME alias

Jeśli nazwa usługi CMG używa nazwy domeny organizacji ( GraniteFalls.contoso.com ), należy utworzyć kanoniczny rekord nazw DNS (CNAME).If the CMG service name uses your organization's domain name (GraniteFalls.contoso.com), you need to create a DNS canonical name record (CNAME). Ten alias mapuje nazwę usługi na nazwę wdrożenia.This alias maps the service name to the deployment name.

Utwórz rekord CNAME w publicznej usłudze DNS swojej organizacji.Create a CNAME record in your organization's public DNS. Usługa CMG na platformie Azure i wszyscy klienci, którzy korzystają z niej, muszą rozpoznać nazwę usługi.The CMG service in Azure and all clients that use it need to resolve the service name. Na przykład:For example:

  • Firma Contoso nazywa ich CMG GraniteFalls.Contoso names their CMG GraniteFalls.

  • Nazwa wdrożenia na platformie Azure to GraniteFalls.cloudapp.net .The deployment name in Azure is GraniteFalls.cloudapp.net.

  • W publicznym obszarze nazw DNS firmy Contoso contoso.com administrator DNS tworzy nowy rekord CNAME dla nazwy usługi GraniteFalls.contoso.com na nazwę wdrożenia platformy Azure GraniteFalls.cloudapp.net .In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for the service name GraniteFalls.contoso.com to the Azure deployment name, GraniteFalls.cloudapp.net.

Podczas tworzenia CMG, gdy certyfikat ma GraniteFalls.contoso.com jako nazwę pospolitą, Configuration Manager wyodrębnia tylko prefiks nazwy usługi, na przykład: GraniteFalls.When you create the CMG, while the certificate has GraniteFalls.contoso.com as the CN, Configuration Manager only extracts the service name prefix, for example: GraniteFalls. Dołącza ten prefiks do domeny usługi platformy Azure ( cloudapp.net ) w celu utworzenia nazwy wdrożenia.It appends this prefix to the Azure service domain (cloudapp.net) to create the deployment name. Na przykład GraniteFalls.cloudapp.net.For example, GraniteFalls.cloudapp.net. Alias CNAME w przestrzeni nazw DNS dla domeny ( contoso.com ) mapuje te dwie nazwy FQDN.The CNAME alias in the DNS namespace for your domain (contoso.com) maps together these two FQDNs.

Zasady klienta Configuration Manager zawierają nazwę usługi CMG GraniteFalls.contoso.com .The Configuration Manager client policy includes the CMG service name, GraniteFalls.contoso.com. Klient rozpoznaje nazwę usługi za pośrednictwem aliasu CNAME do nazwy wdrożenia GraniteFalls.cloudapp.net .The client resolves the service name via the CNAME alias to the deployment name, GraniteFalls.cloudapp.net. Następnie może rozpoznać adres IP nazwy wdrożenia w celu komunikowania się z usługą na platformie Azure.It then can resolve the IP address of the deployment name to communicate with the service in Azure.

Następne krokiNext steps

Kontynuuj instalację programu CMG, konfigurując Azure Active Directory (Azure AD):Continue your CMG setup by configuring Azure Active Directory (Azure AD):

Configure Azure AD (Konfigurowanie usługi Azure AD)Configure Azure AD