Certificado de autenticação do servidor CMG
Aplica-se a: Configuration Manager (branch atual)
A primeira etapa ao configurar um CMG (gateway de gerenciamento de nuvem) é obter o certificado de autenticação do servidor. O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam. O servidor requer um certificado de autenticação de servidor para criar o canal seguro. Você pode adquirir um certificado para essa finalidade de um provedor público ou emiti-lo de sua PKI (infraestrutura de chave pública).
Ao criar o CMG no console Configuration Manager, você fornece esse certificado. O CN (nome comum) desse certificado define o nome do serviço do CMG.
Observação
Você pode precisar de certificados adicionais para clientes e pontos de gerenciamento. Esses certificados são abordados na terceira etapa do processo de instalação do CMG, Configurar a autenticação do cliente.
Um lembrete de alguma terminologia CMG usada neste artigo:
Nome do serviço: o CN (nome comum) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de conexão CMG se comunicam com esse nome de serviço. Por exemplo:
GraniteFalls.contoso.comouGraniteFalls.WestUS.CloudApp.Azure.Com.Nome da implantação: a primeira parte do nome do serviço mais o local do Azure para a implantação do serviço de nuvem. O componente do gerenciador de serviços de nuvem do ponto de conexão de serviço usa esse nome quando implanta o CMG no Azure. O nome da implantação está sempre em um domínio do Azure. O local do Azure depende do método de implantação, por exemplo:
- Conjunto de dimensionamento de máquinas virtuais:
GraniteFalls.WestUS.CloudApp.Azure.Com - Implantação clássica:
GraniteFalls.CloudApp.Net
Importante
Este artigo usa exemplos com um conjunto de dimensionamento de máquinas virtuais como o método de implantação recomendado na versão 2107 e posterior. Se você usar uma implantação clássica, observe a diferença ao ler este artigo e prepare o certificado de autenticação do servidor.
- Conjunto de dimensionamento de máquinas virtuais:
Escolha o tipo de certificado
Primeiro, decida onde deseja obter o certificado. Há vários fatores a serem considerados.
Os clientes devem confiar no certificado de autenticação do servidor CMG para estabelecer o canal HTTPS com o serviço CMG. Há dois métodos para realizar essa confiança:
Use um certificado de um provedor de certificados público e globalmente confiável.
Os clientes Windows incluem CAs (autoridades de certificado raiz confiáveis) desses provedores. Usando um certificado emitido por um desses provedores, seus clientes confiam automaticamente nele.
Há um custo associado a esse certificado, que é específico para o provedor.
Use um certificado emitido por uma AC corporativa de sua PKI (infraestrutura de chave pública).
A maioria das implementações PKI corporativas adiciona os CAs raiz confiáveis aos clientes Windows. Por exemplo, se você usar os Serviços de Certificado do Active Directory com a política de grupo. Se você emitir o certificado de autenticação do servidor CMG de uma AC em que seus clientes não confiam automaticamente, adicione o certificado raiz confiável da AC a clientes baseados na Internet.
Se você planeja instalar o Configuration Manager cliente do Intune, também poderá usar perfis de certificado do Intune para provisionar certificados em clientes. Para obter mais informações, consulte Configurar um perfil de certificado.
Sua organização pode ter um custo interno para emitir certificados, mas geralmente não há custos externos associados a esse certificado.
Importante
Antes de obter esse certificado, verifique se o nome do serviço é globalmente exclusivo para o serviço de nuvem e a conta de armazenamento. Verifique se o nome usa caracteres com suporte. Para obter mais informações, consulte Nome globalmente exclusivo.
Comparação resumida de tipos de certificado
| Provedor público | Enterprise PKI | |
|---|---|---|
| Confiança do cliente | Confiável no Windows por padrão | Automático com algumas implementações, caso contrário, precisa implantar |
| Custo | Sim | Não é típico |
| Exemplo de nome de serviço | GraniteFalls.contoso.com |
GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com |
| CNAME DNS necessária | Sim | Não para o nome do serviço de domínio do Azure (GraniteFalls.WestUS.CloudApp.Azure.Com) |
Observação
O certificado de autenticação do servidor CMG dá suporte a curingas. Algumas autoridades de certificado emitem certificados usando um caractere curinga para o prefixo de nome do serviço. Por exemplo, *.contoso.com. Algumas organizações usam certificados curinga para simplificar seu PKI e reduzir os custos de manutenção.
Para obter mais informações sobre como usar um certificado curinga com um CMG, consulte Configurar um CMG.
Nome globalmente exclusivo
Esse certificado requer um nome globalmente exclusivo para identificar o serviço no Azure. Antes de solicitar um certificado, confirme se o nome de implantação do Azure desejado é exclusivo. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.
Conjunto de dimensionamento de máquinas virtuais
Entre no portal do Azure.
Na página inicial portal do Azure, selecione Criar um recurso nos serviços do Azure.
Pesquise o conjunto de dimensionamento de máquinas virtuais. Selecione Criar.
Selecione o grupo Assinatura e Recursos que você usará para o CMG.
No campo Nome do conjunto de dimensionamento de máquina virtual , digite o prefixo desejado. Por exemplo,
GraniteFalls.Selecione a Região que você usará para o CMG. Por exemplo, (EUA) Oeste dos EUA.
A interface reflete se o nome de domínio está disponível ou já está em uso por outro serviço.
Importante
Não crie o serviço no portal, basta usar esse processo para marcar a disponibilidade do nome.
Repita esse processo para o recurso Key Vault. A implantação do conjunto de dimensionamento de máquinas virtuais cria um cofre de chaves com o mesmo nome, que também precisa ser globalmente exclusivo.
Conta de armazenamento CMG habilitada para conteúdo
Se você também habilitar o CMG para conteúdo, confirme se ele também é um nome de conta de armazenamento exclusivo do Azure. Se o nome de implantação do CMG for exclusivo, mas a conta de armazenamento não for, Configuration Manager não provisionar o serviço no Azure. Repita o processo acima no portal do Azure com as seguintes alterações:
Pesquise por conta de armazenamento.
Teste seu nome no campo Nome da conta de armazenamento .
Importante
O prefixo de nome DNS deve ter de 3 a 24 caracteres e conter apenas números e letras minúsculas. Não use caracteres especiais, como um traço (-). Por exemplo: granitefalls.
Emitir o certificado
O certificado de autenticação do servidor CMG dá suporte às seguintes configurações:
Comprimento da chave de 2048 bits ou 4096 bits
Esse certificado dá suporte aos principais provedores de armazenamento para chaves privadas de certificado (v3). Para obter mais informações, confira Visão geral dos certificados CNG v3.
Usar um certificado de provedor público
Um provedor de certificados de terceiros não pode criar um certificado para um domínio do Azure como cloudapp.azure.com, porque a Microsoft possui esses domínios. Você só pode obter um certificado emitido para um domínio que você possui. O main motivo para adquirir um certificado de um provedor de terceiros é que seus clientes já confiam no certificado raiz desse provedor.
O processo específico para obter esse certificado varia de acordo com o provedor. Para obter mais informações, entre em contato com seu provedor de certificados de terceiros.
Para o CN (nome comum do certificado do servidor Web):
Você garantiu que o nome da implantação seja globalmente exclusivo no Azure para o serviço de nuvem e a conta de armazenamento. Por exemplo,
GraniteFalls.WestUS.CloudApp.Azure.Com.Para determinar o nome do serviço, anexe o prefixo de nome de implantação (
GraniteFalls) ao nome de domínio da sua organização (contoso.com).Use esse nome de serviço para o CN (nome comum do certificado). Por exemplo,
GraniteFalls.contoso.com.
Em seguida, você precisa criar um alias CNAME DNS.
Usar um certificado PKI corporativo
A emissão de um certificado de servidor Web do PKI da sua organização varia de acordo com o produto. As instruções para implantar o certificado de serviço para pontos de distribuição baseados em nuvem são para os Serviços de Certificado do Active Directory. Esse processo geralmente se aplica ao certificado de autenticação do servidor CMG.
Para o CN (nome comum do certificado do servidor Web):
Você garantiu que o nome da implantação seja globalmente exclusivo no Azure para o serviço de nuvem e a conta de armazenamento. Por exemplo,
GraniteFalls.WestUS.CloudApp.Azure.Com.Para determinar o nome do serviço, você tem duas opções:
Use seu nome de domínio (recomendado). Anexe o prefixo de nome de implantação (
GraniteFalls) ao nome de domínio da sua organização (contoso.com). Por exemplo,GraniteFalls.contoso.com. Para essa opção, você também precisa criar um alias CNAME DNS.Use o nome da implantação do Azure. Essa opção não requer um alias CNAME DNS. Por exemplo:
Para a nuvem pública do Azure:
GraniteFalls.WestUS.CloudApp.Azure.Com.Para a nuvem do Azure US Government:
GraniteFalls.usgovcloudapp.net.
Observação
Se o nome da implantação do Azure for alterado, você precisará reimplantar o serviço para alterar esse nome de serviço. Por exemplo, se o nome do
cloudapp.netserviço estiver no domínio, você não poderá converter o CMG do serviço de nuvem clássico em um conjunto de dimensionamento de máquinas virtuais. Se você usar o nome de domínio para o nome do serviço CMG, poderá atualizar o CNAME DNS para o novo nome de implantação.
Use esse nome de serviço para o CN (nome comum do certificado).
Criar um alias CNAME DNS
Se o nome do serviço CMG usar o nome de domínio da sua organização (GraniteFalls.contoso.com), você precisará criar um CNAME (registro de nome canônico DNS). Esse alias mapeia o nome do serviço para o nome da implantação.
Crie um registro CNAME no DNS público da sua organização. O serviço CMG no Azure e todos os clientes que o usam precisam resolve o nome do serviço. Por exemplo:
Contoso nomeia suas CMG GraniteFalls.
O nome da implantação no Azure é
GraniteFalls.WestUS.CloudApp.Azure.Com.No namespace DNS
contoso.compúblico da Contoso, o administrador do DNS cria um novo registro CNAME para o nomeGraniteFalls.contoso.comdo serviço para o nome da implantação do Azure,GraniteFalls.WestUS.CloudApp.Azure.Com.
Quando você cria o CMG, enquanto o certificado tem GraniteFalls.contoso.com como CN, Configuration Manager extrai apenas o prefixo de nome do serviço, por exemplo: GraniteFalls. Ele acrescenta esse prefixo ao domínio de serviço do Azure (cloudapp.azure.com) com a região (westus) para criar o nome da implantação. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com. O alias CNAME no namespace DNS para seu domínio (contoso.com) mapeia juntos esses dois FQDNs.
A política de cliente Configuration Manager inclui o nome do serviço CMG, GraniteFalls.contoso.com. O cliente resolve o nome do serviço por meio do alias CNAME para o nome da implantação, GraniteFalls.WestUS.CloudApp.Azure.Com. Em seguida, ele pode resolve o endereço IP do nome da implantação para se comunicar com o serviço no Azure.
Próximas etapas
Continue a configuração do CMG configurando Microsoft Entra ID:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de