Certificado de autenticação de servidor CMG

Aplica-se ao: Configuration Manager (branch atual)

A primeira etapa ao configurar um gateway de gerenciamento de nuvem (CMG) é obter o certificado de autenticação do servidor. O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam. O servidor requer um certificado de autenticação de servidor para criar o canal seguro. Você pode adquirir um certificado para essa finalidade de um provedor público ou emiá-lo a partir de sua infraestrutura de chave pública (PKI).

Ao criar o CMG no console do Configuration Manager, você fornece esse certificado. O nome comum (CN) deste certificado define o nome de serviço do CMG.

Observação

Você pode precisar de certificados adicionais para clientes e pontos de gerenciamento. Esses certificados são abordados na terceira etapa do processo de instalação do CMG, Configure client authentication.

Um lembrete de alguma terminologia CMG usada neste artigo:

  • Nome do serviço : o nome comum (CN) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de conexão CMG se comunicam com esse nome de serviço. Por exemplo, GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com .

  • Nome da implantação : a primeira parte do nome do serviço mais o local do Azure para a implantação do serviço de nuvem. O componente do gerenciador de serviços de nuvem do ponto de conexão de serviço usa esse nome quando implanta o CMG no Azure. O nome da implantação está sempre em um domínio do Azure. O local do Azure depende do método de implantação, por exemplo:

    • Conjunto de escala de máquina virtual: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Implantação clássica: GraniteFalls.CloudApp.Net

    Importante

    Este artigo usa exemplos com uma escala de máquina virtual definida como o método de implantação recomendado na versão 2107 e posterior. Se você usar uma implantação clássica, observe a diferença ao ler este artigo e preparar o certificado de autenticação do servidor.

Escolha o tipo de certificado

Primeiro, decida onde deseja obter o certificado. Há vários fatores a considerar.

Os clientes devem confiar no certificado de autenticação do servidor CMG para estabelecer o canal HTTPS com o serviço CMG. Há dois métodos para atingir essa confiança:

  1. Use um certificado de um provedor de certificados público e globalmente confiável.

    • Windows clientes incluem autoridades de certificado raiz confiáveis (CAs) desses provedores. Usando um certificado emitido por um desses provedores, seus clientes confiarão nele automaticamente.

    • Há um custo associado a esse certificado, que é específico para o provedor.

  2. Use um certificado emitido por uma AC corporativa da sua infraestrutura de chave pública (PKI).

    • A maioria das implementações PKI corporativas adicionam os CAs raiz confiáveis aos Windows clientes. Por exemplo, se você usar os Serviços de Certificado do Active Directory com a política de grupo. Se você emitir o certificado de autenticação do servidor CMG de uma AC em que seus clientes não confiem automaticamente, adicione o certificado raiz confiável da AC a clientes baseados na Internet.

      Se você planeja instalar o cliente do Configuration Manager no Intune,também poderá usar perfis de certificado do Intune para provisionar certificados em clientes. Para obter mais informações, consulte Configure a certificate profile.

    • Sua organização pode ter um custo interno para emitir certificados, mas geralmente não há custos externos associados a esse certificado.

Importante

Antes de obter esse certificado, certifique-se de que o nome do serviço seja globalmente exclusivo para a conta de armazenamento e serviço de nuvem. Também certifique-se de que o nome use caracteres com suporte. Para obter mais informações, consulte Globally unique name.

Comparação resumida de tipos de certificado

Provedor público Enterprise PKI
Confiança do cliente Confiável no Windows por padrão Automático com algumas implementações, caso contrário, precisa implantar
Custo Sim Não típico
Exemplo de nome de serviço GraniteFalls.contoso.com GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com
CNAME DNS obrigatório Sim Não para o nome do serviço de domínio do Azure ( GraniteFalls.WestUS.CloudApp.Azure.Com )

Observação

O certificado de autenticação do servidor CMG dá suporte a caracteres curinga. Algumas autoridades de certificado emito certificados usando um caractere curinga para o prefixo de nome de serviço. Por exemplo, *.contoso.com. Algumas organizações usam certificados curinga para simplificar sua PKI e reduzir os custos de manutenção.

Para obter mais informações sobre como usar um certificado curinga com um CMG, consulte Configurar um CMG.

Nome global exclusivo

Esse certificado requer um nome global exclusivo para identificar o serviço no Azure. Antes de solicitar um certificado, confirme se o nome de implantação do Azure que você deseja é exclusivo. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

Conjunto de escala de máquina virtual

  1. Entre no portal do Azure.

  2. Na home page do portal do Azure, selecione Criar um recurso em Serviços do Azure.

  3. Pesquisar conjunto de escala de máquina virtual. Selecionar Criar.

  4. Selecione o grupo Assinatura e Recurso que você usará para o CMG.

  5. No campo Nome do conjunto de escala de máquina virtual, digite o prefixo que você deseja. Por exemplo, GraniteFalls.

  6. Selecione a Região que você usará para o CMG. Por exemplo, (EUA) Oeste dos EUA.

A interface reflete se o nome de domínio está disponível ou já está em uso por outro serviço.

Importante

Não crie o serviço no portal, basta usar esse processo para verificar a disponibilidade do nome.

Conta de armazenamento CMG habilitada para conteúdo

Se você também habilitar o CMG para conteúdo, confirme se ele também é um nome exclusivo da conta de armazenamento do Azure. Se o nome de implantação cmg for exclusivo, mas a conta de armazenamento não for, o Configuration Manager não provisiona o serviço no Azure. Repita o processo acima no portal do Azure com as seguintes alterações:

  • Pesquise Armazenamento conta.

  • Teste seu nome no campo Armazenamento nome da conta.

Importante

O prefixo de nome DNS deve ter de 3 a 24 caracteres e conter apenas números e letras minúsculas. Não use caracteres especiais, como um traço ( - ). Por exemplo: granitefalls.

Emitir o certificado

O certificado de autenticação do servidor CMG dá suporte às seguintes configurações:

  • Comprimento da chave de 2048 bits ou 4096 bits

  • Este certificado dá suporte a provedores de armazenamento principais para chaves privadas de certificado (v3). Para obter mais informações, consulte CNG v3 certificates overview.

Usar um certificado de provedor público

Um provedor de certificados de terceiros não pode criar um certificado para um domínio do Azure como , porque a cloudapp.azure.com Microsoft é proprietária desses domínios. Você só pode obter um certificado emitido para um domínio que você possui. O principal motivo para adquirir um certificado de um provedor de terceiros é que seus clientes já confiam no certificado raiz do provedor.

O processo específico para obter esse certificado varia de acordo com o provedor. Para obter mais informações, entre em contato com seu provedor de certificados de terceiros.

Para o nome comum do certificado do servidor Web (CN):

  • Você se certificará de que o nome da implantação seja globalmente exclusivo no Azure para a conta de armazenamento e serviço de nuvem. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome do serviço, adendo o prefixo de nome de implantação ( ) ao nome de domínio da sua organização GraniteFalls ( contoso.com ).

  • Use esse nome de serviço para o nome comum do certificado (CN). Por exemplo, GraniteFalls.contoso.com.

Em seguida, você precisa criar um alias CNAME DNS.

Usar um certificado PKI empresarial

A emissão de um certificado de servidor Web do PKI da sua organização varia de acordo com o produto. As instruções para Implantar o certificado de serviço para pontos de distribuição baseados em nuvem são para Os Serviços de Certificado do Active Directory. Esse processo geralmente se aplica ao certificado de autenticação do servidor CMG.

Para o nome comum do certificado do servidor Web (CN):

  • Você se certificará de que o nome da implantação seja globalmente exclusivo no Azure para a conta de armazenamento e serviço de nuvem. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome do serviço, você tem duas opções:

    • Use seu nome de domínio (recomendado). Anexar o prefixo de nome de implantação ( ) ao nome de domínio da GraniteFalls sua organização ( contoso.com ). Por exemplo, GraniteFalls.contoso.com. Para essa opção, você também precisa criar um alias CNAME DNS.

    • Use o nome de implantação do Azure. Essa opção não exige um alias CNAME DNS. Por exemplo:

      • Para a nuvem pública do Azure: GraniteFalls.WestUS.CloudApp.Azure.Com .

      • Para a nuvem do Azure US Government: GraniteFalls.usgovcloudapp.net .

      Observação

      Se o nome de implantação do Azure mudar, você precisará reimplantar o serviço para alterar esse nome de serviço. Por exemplo, se seu nome de serviço estiver no domínio, você não poderá converter o CMG do serviço de nuvem clássico em um conjunto de escala cloudapp.net de máquina virtual. Se você usar seu nome de domínio para o nome de serviço CMG, poderá atualizar o CNAME DNS para o novo nome de implantação.

  • Use esse nome de serviço para o nome comum do certificado (CN).

Criar um alias CNAME DNS

Se o nome do serviço CMG usar o nome de domínio da sua organização ( ), você precisará criar um registro de nome GraniteFalls.contoso.com canônico DNS (CNAME). Esse alias mapeia o nome do serviço para o nome de implantação.

Crie um registro CNAME no DNS público da sua organização. O serviço CMG no Azure e todos os clientes que o usam precisam resolver o nome do serviço. Por exemplo:

  • Contoso nomeia seus CMG GraniteFalls.

  • O nome da implantação no Azure é GraniteFalls.WestUS.CloudApp.Azure.Com .

  • No namespace DNS público da Contoso, o administrador DNS cria um novo registro CNAME para o nome do serviço para o nome de implantação contoso.com GraniteFalls.contoso.com do Azure, GraniteFalls.WestUS.CloudApp.Azure.Com .

Quando você cria o CMG, enquanto o certificado tem como CN, o Configuration Manager apenas extrai o prefixo de nome de serviço, por GraniteFalls.contoso.com exemplo: GraniteFalls. Ele anexa esse prefixo ao domínio de serviço do Azure ( ) com a cloudapp.azure.com região ( ) para criar o nome da westus implantação. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com. O alias CNAME no namespace DNS do seu domínio ( contoso.com ) mapeia esses dois FQDNs.

A política de cliente do Configuration Manager inclui o nome do serviço CMG, GraniteFalls.contoso.com . O cliente resolve o nome do serviço por meio do alias CNAME para o nome da implantação, GraniteFalls.WestUS.CloudApp.Azure.Com . Em seguida, ele pode resolver o endereço IP do nome da implantação para se comunicar com o serviço no Azure.

Próximas etapas

Continue a configuração do CMG configurando Azure Active Directory (Azure AD):