Поделиться через


Требования к сертификатам инфраструктуры открытых ключей (PKI) Azure Stack Hub

В Azure Stack Hub есть открытая сеть инфраструктуры, которая использует общедоступные IP-адреса. Эти IP-адреса назначаются небольшому набору служб Azure Stack Hub и по возможности виртуальным машинам клиента. Во время развертывания Azure Stack Hub требуются сертификаты PKI с соответствующими DNS-именами для общедоступных конечных точек инфраструктуры Azure Stack Hub. Эта статья описывает следующее:

  • Требования к сертификатам для Azure Stack Hub.
  • Обязательные сертификаты, необходимые для развертывания Azure Stack Hub.
  • Необязательные сертификаты, необходимые при развертывании поставщиков ресурсов с добавленной стоимостью.

Примечание

Azure Stack Hub также по умолчанию использует сертификаты, выданные внутренним центром сертификации (ЦС), интегрированным с Active Directory, для проверки подлинности между узлами. Для проверки сертификата все виртуальные машины инфраструктуры Azure Stack Hub устанавливают отношения доверия с корневым сертификатом внутреннего ЦС, добавляя этот сертификат в локальное хранилище сертификатов. В Azure Stack Hub не выполняется закрепление или фильтрация сертификатов. SAN каждого сертификата сервера проверяется по полному доменному имени целевого объекта. Также проверяется вся цепочка доверия вместе с датой истечения срока действия сертификата (стандартная проверка подлинности сервера TLS без закрепления сертификата).

Требования к сертификатам

В следующем списке описаны общие требования к выдаче сертификатов, безопасности и форматированию.

  • Сертификаты должны быть выданы внутренним или общедоступным центром сертификации. При использовании общедоступного центра сертификации он должен быть включен в базовый образ операционной системы как часть программы "Доверенный корневой центр сертификации Майкрософт". Полный список см. в разделе Список участников — Доверенные корневые программы Майкрософт.
  • У инфраструктуры Azure Stack Hub должен быть сетевой доступ к расположению списка отзыва сертификатов (CRL) центра сертификации, опубликованного в сертификате. Этот список отзыва сертификатов должен быть конечной точкой HTTP. Примечание. Для отключенных развертываний сертификаты, выданные общедоступным центром сертификации (ЦС), не поддерживаются, если конечная точка списка отзыва сертификатов недоступна. Дополнительные сведения см. в разделе Функции, которые не работают или недоступны в отключенных развертываниях.
  • При смене сертификатов в сборках, предшествующих сборке 1903, их должен выдавать либо тот же внутренний центр сертификации, который используется для подписывания сертификатов, предъявляемых при развертывании, либо любой общедоступный центра сертификации из указанного выше списка.
  • При смене сертификатов для сборок 1903 и более поздних версий сертификаты могут быть выданы любым корпоративным или общедоступным центром сертификации.
  • Использование самозаверяющих сертификатов не поддерживается.
  • Для развертывания и смены можно использовать один сертификат, охватывающий все пространства имен в имени субъекта и альтернативном имени субъекта (SAN). Кроме того, вы можете использовать отдельные сертификаты для каждого из пространств имен ниже, которые требуются службам Azure Stack Hub, которые вы планируете использовать. Оба подхода требуют использования подстановочных знаков для конечных точек (в случаях, когда они необходимы), таких как KeyVault и KeyVaultInternal.
  • В сертификате не должен использоваться алгоритм подписи SHA1.
  • Сертификат должен быть PFX-файлом, так как и открытый, и закрытый ключи являются обязательными для установки Azure Stack Hub. Для закрытого ключа должен быть установлен атрибут ключа локального компьютера.
  • Для шифрования PFX нужно использовать 3DES (это шифрование по умолчанию при экспорте из клиента Windows 10 или хранилища сертификатов Windows Server 2016).
  • PFX-файлы сертификатов должны иметь значение Digital Signature и KeyEncipherment в поле Key Usage.
  • PFX-файлы сертификатов должны иметь значения "Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)" и "Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)" в поле "Улучшенное использование ключа".
  • Значение в поле сертификата "Issued to:" должно отличаться от значения в поле "Issued by:".
  • Пароли для всех PFX-файлов сертификатов должны быть одинаковыми во время развертывания.
  • Пароль для PFX-файла сертификата должен быть сложным. Запишите этот пароль, так как он будет использоваться в качестве параметра развертывания. Пароль должен соответствовать следующим требованиям к сложности.
    • Минимальная длина — 8 знаков.
    • По крайней мере три из следующих символов: прописная буква, строчная буква, цифры 0–9, специальные символы, алфавитный символ, не являющийся прописным или строчным.
  • Убедитесь, что имена субъекта и альтернативные имена субъектов в расширении альтернативного имени субъекта (x509v3_config) совпадают. В поле альтернативного имени субъекта можно указать дополнительные имена узлов (веб-сайты, IP-адреса, общие имена), которые необходимо защитить одним сертификатом SSL.

Примечание

Самозаверяющие сертификаты не поддерживаются.
При развертывании Azure Stack Hub в отключенном режиме рекомендуем использовать сертификаты, выданные корпоративным центром сертификации. Это важно, так как клиенты, осуществляющие доступ к конечным точкам Azure Stack Hub, должны иметь возможность обратиться к списку отзыва сертификатов (CRL).

Примечание

Наличие промежуточных центров сертификации в цепочках доверия сертификата поддерживается.

Обязательные сертификаты

В таблице в этом разделе описаны PKI-сертификаты общедоступной конечной точки Azure Stack Hub, необходимые для развертываний Azure Stack Hub Microsoft Entra ID и AD FS. Требования к сертификатам группируются по областям, используемым пространствам имен и сертификатам, необходимым для каждого пространства имен. В таблице также описаны папки, в которые поставщик решений копирует разные сертификаты для каждой общедоступной конечной точки.

Требуются сертификаты с соответствующими DNS-именами для общедоступной конечной точки инфраструктуры Azure Stack Hub. DNS-имя каждой конечной точки выражается в формате:< префикс>.<регион>.<полное доменное имя>.

Для развертывания значения региона> и полного<доменного имени> должны соответствовать именам регионов и внешних доменов, выбранных для системы Azure Stack Hub.< Например, если регион — Redmond, а внешнее доменное имя — contoso.com, DNS-имена будут иметь формат <prefix.redmond.contoso.com>. Значения <префикса> предварительно определены корпорацией Майкрософт для описания конечной точки, защищенной сертификатом. Кроме того, <значения префикса> внешних конечных точек инфраструктуры зависят от службы Azure Stack Hub, которая использует определенную конечную точку.

Для рабочих сред мы рекомендуем создавать отдельные сертификаты для каждой конечной точки и копировать их в соответствующий каталог. Для сред разработки сертификаты можно предоставить в виде единого сертификата с подстановочным знаком, охватывающего все пространства имен в полях Субъект и Альтернативное имя субъекта (SAN), скопированные во все каталоги. Отдельный сертификат, охватывающий все конечные точки и службы, является небезопасным и поэтому подходит только для разработки. Обратите внимание, что в обоих вариантах необходимо использовать шаблоны сертификатов для конечных точек, таких как ACS и хранилище ключей, где они необходимы.

Примечание

Во время развертывания необходимо скопировать сертификаты в папку развертывания, соответствующую поставщику удостоверений, к которому выполняется развертывание (идентификатор Microsoft Entra или AD FS). Если вы используете один сертификат для всех конечных точек, необходимо скопировать этот файл сертификата в каждую папку развертывания, как описано в следующих таблицах. Структура папок предварительно встроена в виртуальную машину развертывания и находится по адресу C:\CloudDeployment\Setup\Certificates.

Папка развертывания Требуемый субъект сертификата и альтернативное имя субъекта Область (для каждого региона) Пространство имен поддомена
Общедоступный портал Портал.<регион>.<Полное доменное имя> Порталы <регион>.<полное_доменное_имя>
Портал администрирования adminportal.<регион>.<полное_доменное_имя> Порталы <регион>.<полное_доменное_имя>
Общедоступный Azure Resource Manager management.<регион>.<полное_доменное_имя> Azure Resource Manager <регион>.<полное_доменное_имя>
Администратор Azure Resource Manager adminmanagement.<регион>.<полное_доменное_имя> Azure Resource Manager <регион>.<полное_доменное_имя>
ACSBlob *.Blob.<регион>.<Полное доменное имя>
Групповой SSL-сертификат
Хранилище BLOB-объектов blob.<регион>.<полное_доменное_имя>
ACSTable *.Таблице.<регион>.<Полное доменное имя>
Групповой SSL-сертификат
Хранилище таблиц table.<регион>.<полное_доменное_имя>
ACSQueue *.Очереди.<регион>.<Полное доменное имя>
Групповой SSL-сертификат
Хранилище очередей queue.<регион>.<полное_доменное_имя>
Хранилище ключей *.Хранилища.<регион>.<Полное доменное имя>
Групповой SSL-сертификат
Key Vault vault.<регион>.<полное_доменное_имя>
Внутреннее хранилище Key Vault *.adminvault.<регион>.<Полное доменное имя>
Групповой SSL-сертификат
Внутреннее хранилище Key Vault adminvault.<регион>.<полное_доменное_имя>
Хост-процесс для расширений администратора *.adminhosting.<регион>.<fqdn> (ssl-сертификаты с подстановочными знаками) Хост-процесс для расширений администратора adminhosting.<регион>.<полное_доменное_имя>
Общедоступный хост-процесс для расширений *.Хостинг.<регион>.<fqdn> (ssl-сертификаты с подстановочными знаками) Общедоступный хост-процесс для расширений Хостинг.<регион>.<Полное доменное имя>

Если вы развертываете Azure Stack Hub в режиме развертывания Microsoft Entra, вам потребуется запросить только сертификаты, перечисленные в предыдущей таблице. При развертывании Azure Stack Hub в режиме AD FS также необходимо запросить сертификаты, описанные в следующей таблице:

Папка развертывания Требуемый субъект сертификата и альтернативное имя субъекта Область (для каждого региона) Пространство имен поддомена
ADFS Adfs. <регион>.<Полное доменное имя>
(SSL-сертификат)
ADFS <регион>.<Полное доменное имя>
Graph График. <регион>.<Полное доменное имя>
(SSL-сертификат)
Graph <регион>.<Полное доменное имя>

Важно!

Все сертификаты, перечисленные в этом разделе, должны иметь один и тот же пароль.

Необязательные сертификаты PaaS

Если вы планируете развернуть службы PaaS Azure Stack Hub (например, SQL, MySQL, Служба приложений или Центры событий) после развертывания и настройки Azure Stack Hub, необходимо запросить дополнительные сертификаты для охвата конечных точек служб PaaS.

Важно!

Сертификаты, используемые для поставщиков ресурсов, должны иметь тот же корневой центр, что и сертификаты, используемые для глобальных конечных точек Azure Stack Hub.

В следующей таблице описаны конечные точки и сертификаты, необходимые для поставщиков ресурсов. Вам не нужно копировать эти сертификаты в папку развертывания Azure Stack Hub. Вместо этого вы предоставляете эти сертификаты во время установки поставщика ресурсов.

Область (для каждого региона) Сертификат Требуемый субъект сертификата и альтернативное имя субъекта Пространство имен поддомена
Служба приложений SSL-сертификат по умолчанию для веб-трафика *.appservice. <регион>.<Полное доменное имя>
*.scm.appservice. <регион>.<Полное доменное имя>
*.sso.appservice. <регион>.<Полное доменное имя>
(Групповой SSL-сертификат для нескольких доменов1)
appservice. <регион>.<Полное доменное имя>
scm.appservice. <регион>.<Полное доменное имя>
Служба приложений API api.appservice. <регион>.<Полное доменное имя>
(SSL-сертификат2)
appservice. <регион>.<Полное доменное имя>
scm.appservice. <регион>.<Полное доменное имя>
Служба приложений FTP ftp.appservice. <регион>.<Полное доменное имя>
(SSL-сертификат2)
appservice. <регион>.<Полное доменное имя>
scm.appservice. <регион>.<Полное доменное имя>
Служба приложений Единый вход sso.appservice. <регион>.<Полное доменное имя>
(SSL-сертификат2)
appservice. <регион>.<Полное доменное имя>
scm.appservice. <регион>.<Полное доменное имя>
Центры событий SSL *.eventhub. <регион>.<Полное доменное имя>
Групповой SSL-сертификат
eventhub. <регион>.<Полное доменное имя>
SQL, MySQL SQL и MySQL *.dbadapter. <регион>.<Полное доменное имя>
Групповой SSL-сертификат
dbadapter. <регион>.<Полное доменное имя>

1 Требует один сертификат с несколькими шаблонами SAN-сертификата. Не все общедоступные центры сертификации поддерживают применение нескольких шаблонов SAN-сертификата на один сертификат.

2 * .appservice. <регион>.<Вместо этих трех сертификатов нельзя использовать подстановочный сертификат fqdn> (api.appservice.<регион>.<fqdn>, ftp.appservice. <регион>.<fqdn> и sso.appservice. <регион>.<полное доменное имя>. Служба приложений явно требует использовать отдельные сертификаты для этих конечных точек.

Дальнейшие действия

Узнайте, как создать сертификаты PKI для развертывания Azure Stack Hub.