Сертификат проверки подлинности сервера CMG

  • Статья

Относится к Configuration Manager (Current Branch)

Первым шагом при настройке шлюза управления облаком (CMG) является получение сертификата проверки подлинности сервера. CMG создает службу HTTPS, к которой подключаются интернет-клиенты. Серверу требуется сертификат проверки подлинности сервера для создания безопасного канала. Вы можете получить сертификат для этой цели у общедоступного поставщика или выдать его в инфраструктуре открытых ключей (PKI).

При создании шлюза управления облачными клиентами в консоли Configuration Manager вы предоставляете этот сертификат. Общее имя (CN) этого сертификата определяет имя службы CMG.

Примечание.

Для клиентов и точек управления могут потребоваться дополнительные сертификаты. Эти сертификаты рассматриваются на третьем шаге процесса настройки CMG — Настройка проверки подлинности клиента.

Напоминание о терминологии CMG, используемой в этой статье:

  • Имя службы: общее имя (CN) сертификата проверки подлинности сервера CMG. Клиенты и роль системы сайта точки подключения ШЛЮЗа управления облачными клиентами связываются с этим именем службы. Например, GraniteFalls.contoso.com или GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Имя развертывания: первая часть имени службы и расположение Azure для развертывания облачной службы. Компонент диспетчера облачных служб точки подключения службы использует это имя при развертывании CMG в Azure. Имя развертывания всегда находится в домене Azure. Расположение Azure зависит от метода развертывания, например:

    • Масштабируемый набор виртуальных машин: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Классическое развертывание: GraniteFalls.CloudApp.Net

    Важно!

    В этой статье используются примеры с масштабируемым набором виртуальных машин в качестве рекомендуемого метода развертывания в версии 2107 и более поздних версиях. Если вы используете классическое развертывание, обратите внимание на разницу при прочтении этой статьи и подготовке сертификата проверки подлинности сервера.

Выбор типа сертификата

Сначала определите, где вы хотите получить сертификат. Необходимо учитывать несколько факторов.

Клиенты должны доверять сертификату проверки подлинности сервера CMG, чтобы установить канал HTTPS со службой CMG. Существует два метода для достижения этого доверия:

  1. Используйте сертификат от общедоступного и глобально доверенного поставщика сертификатов.

    • Клиенты Windows включают доверенные корневые центры сертификации (ЦС) этих поставщиков. Используя сертификат, выданный одним из этих поставщиков, клиенты автоматически доверяют ему.

    • С этим сертификатом связаны затраты, относящиеся к поставщику.

  2. Используйте сертификат, выданный корпоративным ЦС из инфраструктуры открытых ключей (PKI).

    • Большинство корпоративных реализаций PKI добавляют доверенные корневые ЦС в клиенты Windows. Например, если вы используете службы сертификатов Active Directory с групповой политикой. Если вы выдаете сертификат проверки подлинности сервера CMG из ЦС, которому клиенты не доверяют автоматически, добавьте доверенный корневой сертификат ЦС в интернет-клиенты.

      Если вы планируете установить клиент Configuration Manager из Intune, вы также можете использовать профили сертификатов Intune для подготовки сертификатов на клиентах. Дополнительные сведения см. в разделе Настройка профиля сертификата.

    • У вашей организации могут быть внутренние затраты на выдачу сертификатов, но, как правило, с этим сертификатом не связаны внешние затраты.

Важно!

Прежде чем получить этот сертификат, убедитесь, что имя службы глобально уникально для облачной службы и учетной записи хранения. Также убедитесь, что в имени используются поддерживаемые символы. Дополнительные сведения см. в статье Глобальное уникальное имя.

Сводные сравнения типов сертификатов

Общедоступный поставщик PKI предприятия
Доверие клиента Доверенный в Windows по умолчанию Автоматический с некоторыми реализациями, в противном случае потребуется развернуть
Cost Да Нетипичная
Пример имени службы GraniteFalls.contoso.com GraniteFalls.contoso.com или GraniteFalls.WestUS.CloudApp.Azure.Com
Требуется DNS CNAME Да Нет для имени доменной службы Azure (GraniteFalls.WestUS.CloudApp.Azure.Com)

Примечание.

Сертификат проверки подлинности сервера CMG поддерживает подстановочные знаки. Некоторые центры сертификации выдают сертификаты с подстановочным знаком для префикса имени службы. Например, *.contoso.com. Некоторые организации используют сертификаты с подстановочными знаками для упрощения PKI и снижения затрат на обслуживание.

Дополнительные сведения об использовании сертификата с подстановочными знаками с CMG см. в разделе Настройка CMG.

Глобально уникальное имя

Для этого сертификата требуется глобально уникальное имя для идентификации службы в Azure. Прежде чем запросить сертификат, убедитесь, что нужное имя развертывания Azure уникально. Например, GraniteFalls.WestUS.CloudApp.Azure.Com.

Масштабируемый набор виртуальных машин

  1. Войдите на портал Azure.

  2. На домашней странице портал Azure выберите Создать ресурс в разделе Службы Azure.

  3. Выполните поиск по запросу Масштабируемый набор виртуальных машин. Нажмите Создать.

  4. Выберите подписку и группу ресурсов , которые будут использоваться для шлюза управления облачными клиентами.

  5. В поле Имя масштабируемого набора виртуальных машин введите нужный префикс. Например, GraniteFalls.

  6. Выберите регион , который будет использоваться для шлюза управления облачными клиентами. Например, (США) — западная часть США.

Интерфейс отражает, доступно ли доменное имя или уже используется другой службой.

Важно!

Не создавайте службу на портале, просто используйте этот процесс, чтобы проверка доступность имени.

Повторите этот процесс для ресурса Key Vault. Развертывание масштабируемого набора виртуальных машин создает хранилище ключей с тем же именем, которое также должно быть глобально уникальным.

Учетная запись хранения CMG с поддержкой содержимого

Если вы также включите CMG для содержимого, убедитесь, что это также уникальное имя учетной записи хранения Azure. Если имя развертывания CMG уникально, а учетная запись хранения — нет, Configuration Manager не удается подготовить службу в Azure. Повторите описанный выше процесс в портал Azure со следующими изменениями:

  • Выполните поиск по запросу Учетная запись хранения.

  • Проверьте свое имя в поле Имя учетной записи хранения .

Важно!

Префикс DNS-имени должен содержать от 3 до 24 символов и содержать только цифры и строчные буквы. Не используйте специальные символы, такие как тире (-). Например: granitefalls.

Выдача сертификата

Сертификат проверки подлинности сервера CMG поддерживает следующие конфигурации:

  • Длина ключа 2048 или 4096 бит

  • Этот сертификат поддерживает поставщиков хранилища ключей для закрытых ключей сертификатов (версия 3). Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

Использование сертификата общедоступного поставщика

Сторонний поставщик сертификатов не может создать сертификат для домена Azure, например cloudapp.azure.com, так как эти домены принадлежат корпорации Майкрософт. Вы можете получить сертификат, выданный только для домена, который у вас есть. Main причина получения сертификата от стороннего поставщика заключается в том, что клиенты уже доверяют корневому сертификату этого поставщика.

Конкретный процесс получения этого сертификата зависит от поставщика. За дополнительными сведениями обратитесь к стороннему поставщику сертификатов.

Для общего имени сертификата веб-сервера (CN):

  • Вы убедились, что имя развертыванияглобально уникально в Azure для облачной службы и учетной записи хранения. Например, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Чтобы определить имя службы, добавьте префикс имени развертывания (GraniteFalls) к доменному имени организации (contoso.com).

  • Используйте это имя службы для общего имени сертификата (CN). Например, GraniteFalls.contoso.com.

Затем необходимо создать псевдоним CNAME DNS.

Использование корпоративного PKI-сертификата

Выдача сертификата веб-сервера из PKI вашей организации зависит от продукта. Инструкции по развертыванию сертификата службы для облачных точек распространения относятся к службам сертификатов Active Directory. Этот процесс обычно применяется к сертификату проверки подлинности сервера CMG.

Для общего имени сертификата веб-сервера (CN):

  • Вы убедились, что имя развертыванияглобально уникально в Azure для облачной службы и учетной записи хранения. Например, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Чтобы определить имя службы, можно выбрать два варианта:

    • Используйте доменное имя (рекомендуется). Добавьте префикс имени развертывания (GraniteFalls) к доменному имени организации (contoso.com). Например, GraniteFalls.contoso.com. Для этого параметра также необходимо создать псевдоним DNS CNAME.

    • Используйте имя развертывания Azure. Для этого параметра не требуется псевдоним DNS CNAME. Например:

      • Для общедоступного облака Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Для облака Azure для государственных организаций США: GraniteFalls.usgovcloudapp.net.

      Примечание.

      Если имя развертывания Azure изменится, необходимо повторно развернуть службу, чтобы изменить это имя службы. Например, если имя службы находится в домене cloudapp.net , вы не сможете преобразовать классическую облачную службу CMG в масштабируемый набор виртуальных машин. Если для имени службы CMG используется доменное имя, можно обновить DNS CNAME для нового имени развертывания.

  • Используйте это имя службы для общего имени сертификата (CN).

Создание псевдонима CNAME DNS

Если имя службы CMG использует доменное имя вашей организации (GraniteFalls.contoso.com), необходимо создать запись канонического dns-имени (CNAME). Этот псевдоним сопоставляет имя службы с именем развертывания.

Создайте запись CNAME в общедоступной службе DNS организации. Служба CMG в Azure и все клиенты, которые ее используют, должны разрешить имя службы. Например:

  • Contoso называет их CMG GraniteFalls.

  • Имя развертывания в Azure — GraniteFalls.WestUS.CloudApp.Azure.Com.

  • В общедоступном пространстве имен DNS contoso.com Contoso администратор DNS создает новую запись CNAME для имени GraniteFalls.contoso.com службы с именем развертывания Azure. GraniteFalls.WestUS.CloudApp.Azure.Com

При создании CMG, хотя сертификат имеет значение GraniteFalls.contoso.com CN, Configuration Manager извлекает только префикс имени службы, например GraniteFalls. Он добавляет этот префикс к домену службы Azure (cloudapp.azure.com) с регионом (westus), чтобы создать имя развертывания. Например, GraniteFalls.WestUS.CloudApp.Azure.Com. Псевдоним CNAME в пространстве имен DNS для вашего домена (contoso.com) сопоставляет эти два полных доменных имени.

Политика клиента Configuration Manager включает имя GraniteFalls.contoso.comслужбы CMG . Клиент разрешает имя службы с помощью псевдонима CNAME в имя развертывания . GraniteFalls.WestUS.CloudApp.Azure.Com Затем он может разрешить IP-адрес имени развертывания для связи со службой в Azure.

Дальнейшие действия

Продолжите настройку CMG, настроив идентификатор Microsoft Entra:

Настройка идентификатора Microsoft Entra