Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimleriAzure Stack Hub public key infrastructure (PKI) certificate requirements

Azure Stack hub, küçük bir Azure Stack hub hizmeti kümesine ve muhtemelen Kiracı VM 'lerine atanan, dışarıdan erişilebilen genel IP adresleri kullanan genel bir altyapı ağına sahiptir.Azure Stack Hub has a public infrastructure network using externally accessible public IP addresses assigned to a small set of Azure Stack Hub services and possibly tenant VMs. Bu Azure Stack hub ortak altyapı uç noktaları için uygun DNS adlarına sahip PKI sertifikaları Azure Stack hub dağıtımı sırasında gereklidir.PKI certificates with the appropriate DNS names for these Azure Stack Hub public infrastructure endpoints are required during Azure Stack Hub deployment. Bu makalede hakkında bilgi verilmektedir:This article provides information about:

  • Azure Stack Hub için sertifika gereksinimleri.Certificate requirements for Azure Stack Hub.
  • Azure Stack hub dağıtımı için gereken zorunlu sertifikalar.Mandatory certificates required for Azure Stack Hub deployment.
  • Değer-kaynak sağlayıcıları dağıtımı sırasında gerekli olan isteğe bağlı sertifikalar.Optional certificates required when deploying value-add resource providers.

Not

Azure Stack hub varsayılan olarak düğümler arasında kimlik doğrulaması için Dahili Active Directory tümleşik bir sertifika yetkilisinden (CA) verilen sertifikaları kullanır.Azure Stack Hub by default also uses certificates issued from an internal Active Directory-integrated certificate authority (CA) for authentication between the nodes. Sertifikayı doğrulamak için, tüm Azure Stack hub altyapı makineleri, bu sertifikayı yerel sertifika depolama alanına ekleyerek iç CA 'nın kök sertifikasına güvenir.To validate the certificate, all Azure Stack Hub infrastructure machines trust the root certificate of the internal CA by means of adding that certificate to their local certificate store. Azure Stack hub 'ında sertifikaların sabitlenmesi veya filtrelenmesi yoktur.There's no pinning or filtering of certificates in Azure Stack Hub. Her bir sunucu sertifikasının SAN 'ı hedefin FQDN 'sine göre onaylanır.The SAN of each server certificate is validated against the FQDN of the target. Tüm güven zinciri de, sertifika sona erme tarihi (sertifika sabitleme olmadan standart TLS sunucu kimlik doğrulaması) ile birlikte da onaylanır.The entire chain of trust is also validated, along with the certificate expiration date (standard TLS server authentication without certificate pinning).

Sertifika gereksinimleriCertificate requirements

Aşağıdaki listede genel sertifika verme, güvenlik ve biçimlendirme gereksinimleri açıklanmaktadır:The following list describes the general certificate issuance, security, and formatting requirements:

  • Sertifikalar, bir iç sertifika yetkilisinden veya bir genel sertifika yetkilisinden verilmelidir.Certificates must be issued from either an internal certificate authority or a public certificate authority. Ortak bir sertifika yetkilisi kullanılıyorsa, Microsoft güvenilir kök yetkilisi programının bir parçası olarak temel işletim sistemi görüntüsüne dahil edilmelidir.If a public certificate authority is used, it must be included in the base operating system image as part of the Microsoft Trusted Root Authority Program. Tam liste için bkz. katılımcılar listesi-Microsoft güvenilen kök program.For the full list, see List of Participants - Microsoft Trusted Root Program.
  • Azure Stack hub altyapınız, sertifika yetkilisinin sertifika Iptal listesi (CRL) konumunda yayımlanan sertifika için ağ erişimine sahip olmalıdır.Your Azure Stack Hub infrastructure must have network access to the certificate authority's Certificate Revocation List (CRL) location published in the certificate. Bu CRL bir http uç noktası olmalıdır.This CRL must be an http endpoint.
  • 1903 öncesi yapılarda sertifika döndürürken, sertifikaların dağıtımda veya yukarıdaki herhangi bir genel sertifika yetkilisinde verilen sertifikaları imzalamak için kullanılan dahili sertifika yetkilisinden verilmiş olması gerekir.When rotating certificates in pre-1903 builds, certificates must be either issued from the same internal certificate authority used to sign certificates provided at deployment or any public certificate authority from above.
  • 1903 ve üzeri derlemeler için sertifika döndürürken, sertifikalar herhangi bir kurumsal veya ortak sertifika yetkilisi tarafından verilebilir.When rotating certificates for builds 1903 and later, certificates can be issued by any enterprise or public certificate authority.
  • Otomatik olarak imzalanan sertifikaların kullanımı desteklenmez.The use of self-signed certificates aren't supported.
  • Dağıtım ve döndürme için, sertifikanın konu adı ve konu alternatif adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir sertifika kullanabilir veya kullanmayı planladığınız Azure Stack hub hizmetlerinin her biri için tek tek sertifikaları kullanabilirsiniz.For deployment and rotation, you can either use a single certificate covering all name spaces in the certificate's Subject Name and Subject Alternative Name (SAN) fields OR you can use individual certificates for each of the namespaces below that the Azure Stack Hub services you plan to utilize require. Her iki yaklaşım da, gerektiğinde Anahtar Kasası ve keyvaultınternal gibi uç noktalar için joker karakterler kullanılmasını gerektirir.Both approaches require using wild cards for endpoints where they're required, such as KeyVault and KeyVaultInternal.
  • Sertifika imza algoritması SHA1 olmamalıdır.The certificate signature algorithm shouldn't be SHA1.
  • Azure Stack hub yüklemesi için hem ortak hem de özel anahtarlar gerekli olduğundan, sertifika biçiminin PFX olması gerekir.The certificate format must be PFX, as both the public and private keys are required for Azure Stack Hub installation. Özel anahtarın yerel makine anahtarı özniteliği ayarlanmış olmalıdır.The private key must have the local machine key attribute set.
  • PFX şifrelemesi 3DES olmalıdır (bir Windows 10 istemcisinden veya Windows Server 2016 sertifika deposundan dışarı aktarılırken bu şifreleme varsayılandır).The PFX encryption must be 3DES (this encryption is default when exporting from a Windows 10 client or Windows Server 2016 certificate store).
  • Sertifika PFX dosyalarının "anahtar kullanımı" alanında "Digital Signature" ve "KeyEncipherment" değeri olmalıdır.The certificate pfx files must have a value "Digital Signature" and "KeyEncipherment" in its "Key Usage" field.
  • Sertifika PFX dosyaları "Gelişmiş anahtar kullanımı" alanında "sunucu kimlik doğrulaması (1.3.6.1.5.5.7.3.1)" ve "Istemci kimlik doğrulaması (1.3.6.1.5.5.7.3.2)" değerlerine sahip olmalıdır.The certificate pfx files must have the values "Server Authentication (1.3.6.1.5.5.7.3.1)" and "Client Authentication (1.3.6.1.5.5.7.3.2)" in the "Enhanced Key Usage" field.
  • Sertifikanın "verilen:" alanı, "Issued by:" alanıyla aynı olmamalıdır.The certificate's "Issued to:" field must not be the same as its "Issued by:" field.
  • Tüm sertifika PFX dosyalarının parolaları, dağıtım sırasında aynı olmalıdır.The passwords to all certificate pfx files must be the same at the time of deployment.
  • Sertifika PFX parolasının parolası karmaşık bir parola olmalıdır.Password to the certificate pfx has to be a complex password. Dağıtım parametresi olarak kullanacağınız için bu parolayı unutmayın.Make note of this password because you'll use it as a deployment parameter. Parolanın aşağıdaki parola karmaşıklığı gereksinimlerini karşılaması gerekir:The password must meet the following password complexity requirements:
    • En az sekiz karakter uzunluğunda.A minimum length of eight characters.
    • Şu karakterlerden en az üçünü: büyük harf, küçük harf, 0-9 arasındaki sayılar, özel karakterler, büyük harf veya küçük harf olmayan alfabetik karakter.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.
  • Konu adı ve konu diğer adlarının konu alternatif adı uzantısı (x509v3_config) ile eşleştiğinden emin olun.Ensure that the subject names and subject alternative names in the subject alternative name extension (x509v3_config) match. Konu diğer adı alanı, tek bir SSL sertifikasıyla korunabilecek ek ana bilgisayar adlarını (Web siteleri, IP adresleri, ortak adlar) belirtmenize imkan tanır.The subject alternative name field lets you specify additional host names (websites, IP addresses, common names) to be protected by a single SSL certificate.

Not

Otomatik olarak imzalanan sertifikalar desteklenmez.Self-signed certificates aren't supported.
Azure Stack hub 'ı bağlantısı kesik modda dağıtıldığında, bir kurumsal sertifika yetkilisi tarafından verilen sertifikaların kullanılması önerilir.When deploying Azure Stack Hub in disconnected mode it is recommended to use certificates issued by an enterprise certificate authority. Bu önemlidir çünkü Azure Stack hub uç noktalarına erişen istemcilerin sertifika iptal listesi (CRL) ile iletişim kurabilmesi gerekir.This is important because clients accessing Azure Stack Hub endpoints must be able to contact the certificate revocation list (CRL).

Not

Bir sertifikanın güven zincirinde ara sertifika yetkililerinin varlığı desteklenir.The presence of Intermediary Certificate Authorities in a certificate's chain-of-trusts is supported.

Zorunlu sertifikalarMandatory certificates

Bu bölümdeki tabloda hem Azure AD hem de AD FS Azure Stack hub dağıtımları için gereken Azure Stack merkezi genel uç nokta PKI sertifikaları açıklanmaktadır.The table in this section describes the Azure Stack Hub public endpoint PKI certificates that are required for both Azure AD and AD FS Azure Stack Hub deployments. Sertifika gereksinimleri alana göre gruplandırılır ve kullanılan ad alanları ve her ad alanı için gereken sertifikalar.Certificate requirements are grouped by area, as well as the namespaces used and the certificates that are required for each namespace. Tablo ayrıca, çözüm sağlayıcınızın genel uç nokta başına farklı sertifikaları kopyaladığı klasörü de açıklar.The table also describes the folder in which your solution provider copies the different certificates per public endpoint.

Her bir Azure Stack merkezi ortak altyapı uç noktası için uygun DNS adlarına sahip sertifikalar gereklidir.Certificates with the appropriate DNS names for each Azure Stack Hub public infrastructure endpoint are required. Her uç noktanın DNS adı şu biçimde ifade edilir: < ön ek>. < bölge>. < FQDN>.Each endpoint's DNS name is expressed in the format: <prefix>.<region>.<fqdn>.

Dağıtımınız için, [Region] ve [externalfqdn] değerlerinin Azure Stack hub sisteminiz için seçtiğiniz bölge ve dış etki alanı adlarıyla eşleşmesi gerekir.For your deployment, the [region] and [externalfqdn] values must match the region and external domain names that you chose for your Azure Stack Hub system. Örnek olarak, bölge adı Redmond ve dış etki alanı adı contoso.com ise DNS adlarında <>. Redmond.contoso.com biçim öneki olur.As an example, if the region name was Redmond and the external domain name was contoso.com, the DNS names would have the format <prefix>.redmond.contoso.com. < Ön ek> değerleri, sertifika tarafından güvenliği sağlanmış uç noktayı tanımlayacak şekilde Microsoft tarafından önceden belirlenir.The <prefix> values are predesignated by Microsoft to describe the endpoint secured by the certificate. Ayrıca, dış altyapı bitiş noktalarının < ön ek> değerleri, belirli uç noktayı kullanan Azure Stack hub hizmetine bağlıdır.In addition, the <prefix> values of the external infrastructure endpoints depend on the Azure Stack Hub service that uses the specific endpoint.

Üretim ortamları için, her bir uç nokta için ayrı ayrı sertifikaların oluşturulmasını ve ilgili dizine kopyalanmasını öneririz.For the production environments, we recommend individual certificates are generated for each endpoint and copied into the corresponding directory. Geliştirme ortamları için, sertifikalar tüm dizinlere kopyalanmış konu ve konu alternatif adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir joker karakter sertifikası olarak sağlanabilirler.For development environments, certificates can be provided as a single wildcard certificate covering all namespaces in the Subject and Subject Alternative Name (SAN) fields copied into all directories. Tüm uç noktaları ve hizmetleri kapsayan tek bir sertifika, güvenli olmayan bir sonudır ve bu nedenle yalnızca geliştirme amaçlıdır.A single certificate covering all endpoints and services is an insecure posture and hence development-only. Her iki seçenek de, ACS gibi uç noktalar ve gerektiğinde Key Vault için joker karakter sertifikaları kullanmanızı gerektirdiğini unutmayın.Remember, both options require you to use wildcard certificates for endpoints like acs and Key Vault where they're required.

Not

Dağıtım sırasında, dağıtımı yaptığınız kimlik sağlayıcısıyla (Azure AD veya AD FS) eşleşen dağıtım klasörüne sertifikaları kopyalamanız gerekir.During deployment, you must copy certificates to the deployment folder that matches the identity provider you're deploying against (Azure AD or AD FS). Tüm uç noktalar için tek bir sertifika kullanıyorsanız, bu sertifika dosyasını aşağıdaki tablolarda özetlenen her dağıtım klasörüne kopyalamanız gerekir.If you use a single certificate for all endpoints, you must copy that certificate file into each deployment folder as outlined in the following tables.Klasör yapısı, dağıtım sanal makinesinde önceden oluşturulmuştur ve şurada bulunabilir: C:\CloudDeployment\Setup\Certificates. The folder structure is pre-built in the deployment virtual machine and can be found at: C:\CloudDeployment\Setup\Certificates.

Dağıtım klasörüDeployment folder Gerekli sertifika konusu ve konu diğer adları (SAN)Required certificate subject and subject alternative names (SAN) Kapsam (bölge başına)Scope (per region) Alt etki alanı adıSubdomain namespace
Ortak PortalPublic Portal Portal. < bölge>. < FQDN>portal.<region>.<fqdn> PortallarPortals <bölge>. < FQDN><region>.<fqdn>
Yönetim PortalıAdmin Portal adminportal. < bölge>. < FQDN>adminportal.<region>.<fqdn> PortallarPortals <bölge>. < FQDN><region>.<fqdn>
Azure Resource Manager genelAzure Resource Manager Public Yönetim. < bölge>. < FQDN>management.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <bölge>. < FQDN><region>.<fqdn>
Yönetici Azure Resource ManagerAzure Resource Manager Admin adminmanagement. < bölge>. < FQDN>adminmanagement.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <bölge>. < FQDN><region>.<fqdn>
ACSBlobACSBlob *. blob. < bölge>. < FQDN>*.blob.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
Blob DepolamaBlob Storage BLOB. < bölge>. < FQDN>blob.<region>.<fqdn>
ACSTableACSTable *. Table. < bölge>. < FQDN>*.table.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
Tablo DepolamaTable Storage tablo. < bölge>. < FQDN>table.<region>.<fqdn>
ACSQueueACSQueue *. Queue. < bölge>. < FQDN>*.queue.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
Kuyruk DepolamaQueue Storage kuyruk. < bölge>. < FQDN>queue.<region>.<fqdn>
KeyVaultKeyVault *. kasa. < bölge>. < FQDN>*.vault.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
Key VaultKey Vault kasa. < bölge>. < FQDN>vault.<region>.<fqdn>
KeyvaultınternalKeyVaultInternal *. adminkasa. < bölge>. < FQDN>*.adminvault.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
İç KeykasasıInternal Keyvault Yönetim Kasası. < bölge>. < FQDN>adminvault.<region>.<fqdn>
Yönetici uzantısı ana bilgisayarıAdmin Extension Host *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> (Joker karakter SSL sertifikaları)(Wildcard SSL Certificates) Yönetici uzantısı ana bilgisayarıAdmin Extension Host adminhosting. <region> .<fqdn>adminhosting.<region>.<fqdn>
Ortak uzantı KonağıPublic Extension Host * <region> . barındırma.<fqdn>*.hosting.<region>.<fqdn> (Joker karakter SSL sertifikaları)(Wildcard SSL Certificates) Ortak uzantı KonağıPublic Extension Host barındırma. <region> .<fqdn>hosting.<region>.<fqdn>

Azure AD Dağıtım modunu kullanarak Azure Stack hub 'ı dağıtırsanız, yalnızca önceki tabloda listelenen sertifikaları istemeniz gerekir.If you deploy Azure Stack Hub using the Azure AD deployment mode, you only need to request the certificates listed in previous table. Ancak, AD FS Dağıtım modunu kullanarak Azure Stack hub dağıtırsanız, aşağıdaki tabloda açıklanan sertifikaları da istemeniz gerekir:But, if you deploy Azure Stack Hub using the AD FS deployment mode, you must also request the certificates described in the following table:

Dağıtım klasörüDeployment folder Gerekli sertifika konusu ve konu diğer adları (SAN)Required certificate subject and subject alternative names (SAN) Kapsam (bölge başına)Scope (per region) Alt etki alanı adıSubdomain namespace
ADFSADFS FS. < bölge>. < FQDN>adfs.<region>.<fqdn>
(SSL sertifikası)(SSL Certificate)
ADFSADFS <bölge>. < FQDN><region>.<fqdn>
GrafGraph çıkarılamıyor. < bölge>. < FQDN>graph.<region>.<fqdn>
(SSL sertifikası)(SSL Certificate)
GrafGraph <bölge>. < FQDN><region>.<fqdn>

Önemli

Bu bölümde listelenen tüm sertifikaların parolası aynı olmalıdır.All the certificates listed in this section must have the same password.

İsteğe bağlı PaaS sertifikalarıOptional PaaS certificates

Azure Stack hub dağıtıldıktan ve yapılandırıldıktan sonra ek Azure Stack hub PaaS hizmetlerini (SQL, MySQL, App Service veya Event Hubs gibi) dağıtmayı planlıyorsanız PaaS hizmetlerinin uç noktalarını kapsayacak ek sertifikalar istemeniz gerekir.If you're planning to deploy the additional Azure Stack Hub PaaS services (such as SQL, MySQL, App Service, or Event Hubs) after Azure Stack Hub has been deployed and configured, you must request additional certificates to cover the endpoints of the PaaS services.

Önemli

Kaynak sağlayıcıları için kullandığınız sertifikalar, genel Azure Stack hub uç noktaları için kullanılanlarla aynı kök yetkilere sahip olmalıdır.The certificates that you use for resource providers must have the same root authority as those used for the global Azure Stack Hub endpoints.

Aşağıdaki tabloda, kaynak sağlayıcıları için gereken uç noktalar ve sertifikalar açıklanmaktadır.The following table describes the endpoints and certificates required for resource providers. Bu sertifikaları Azure Stack hub dağıtım klasörüne kopyalamanız gerekmez.You don't need to copy these certificates to the Azure Stack Hub deployment folder. Bunun yerine, bu sertifikaları kaynak sağlayıcısı yüklemesi sırasında sağlarsınız.Instead, you provide these certificates during resource provider installation.

Kapsam (bölge başına)Scope (per region) SertifikaCertificate Gerekli sertifika konusu ve konu diğer adları (San 'Lar)Required certificate subject and Subject Alternative Names (SANs) Alt etki alanı adıSubdomain namespace
App ServiceApp Service Web trafiği varsayılan SSL sertifikasıWeb Traffic Default SSL Cert *. appservice. < bölge>. < FQDN>*.appservice.<region>.<fqdn>
*. scm. appservice. < bölge>. < FQDN>*.scm.appservice.<region>.<fqdn>
*. SSO. appservice. < bölge>. < FQDN>*.sso.appservice.<region>.<fqdn>
(Çok etki alanı joker karakter SSL sertifikası1)(Multi Domain Wildcard SSL Certificate1)
appservice. < bölge>. < FQDN>appservice.<region>.<fqdn>
SCM. appservice. < bölge>. < FQDN>scm.appservice.<region>.<fqdn>
App ServiceApp Service APIAPI api. appservice. < bölge>. < FQDN>api.appservice.<region>.<fqdn>
(SSL sertifikası2)(SSL Certificate2)
appservice. < bölge>. < FQDN>appservice.<region>.<fqdn>
SCM. appservice. < bölge>. < FQDN>scm.appservice.<region>.<fqdn>
App ServiceApp Service FTPFTP FTP. appservice. < bölge>. < FQDN>ftp.appservice.<region>.<fqdn>
(SSL sertifikası2)(SSL Certificate2)
appservice. < bölge>. < FQDN>appservice.<region>.<fqdn>
SCM. appservice. < bölge>. < FQDN>scm.appservice.<region>.<fqdn>
App ServiceApp Service SSOSSO SSO. appservice. < bölge>. < FQDN>sso.appservice.<region>.<fqdn>
(SSL sertifikası2)(SSL Certificate2)
appservice. < bölge>. < FQDN>appservice.<region>.<fqdn>
SCM. appservice. < bölge>. < FQDN>scm.appservice.<region>.<fqdn>
Event HubsEvent Hubs SSLSSL *. eventhub. < bölge>. < FQDN>*.eventhub.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
eventhub. < bölge>. < FQDN>eventhub.<region>.<fqdn>
IoT HubIoT Hub SSLSSL *. mgmtiotub. < bölge>. < FQDN>*.mgmtiothub.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
mgmtiotub. < bölge>. < FQDN>mgmtiothub.<region>.<fqdn>
SQL, MySQLSQL, MySQL SQL ve MySQLSQL and MySQL *. dbadapter. < bölge>. < FQDN>*.dbadapter.<region>.<fqdn>
(Joker karakter SSL sertifikası)(Wildcard SSL Certificate)
dbadapter. < bölge>. < FQDN>dbadapter.<region>.<fqdn>

1 birden çok joker karakter konu diğer adına sahip bir sertifika gerektirir.1 Requires one certificate with multiple wildcard subject alternative names. Tek bir sertifikadaki birden çok joker karakter, tüm genel sertifika yetkilileri tarafından desteklenmiyor olabilir.Multiple wildcard SANs on a single certificate might not be supported by all public certificate authorities.

2 bir *. appservice. < bölge>. < bu üç sertifika (API. appservice) yerine fqdn>joker karakter sertifikası kullanılamaz.< bölge>. < FQDN>, FTP. appservice. < bölge>. < FQDN> ve SSO. appservice. < bölge>. < FQDN>.2 A *.appservice.<region>.<fqdn> wildcard certificate can't be used in place of these three certificates (api.appservice.<region>.<fqdn>, ftp.appservice.<region>.<fqdn>, and sso.appservice.<region>.<fqdn>. Appservice, bu uç noktalar için ayrı sertifikaların kullanılmasını açıkça gerektirir.Appservice explicitly requires the use of separate certificates for these endpoints.

Daha fazla bilgi edininLearn more

Azure Stack hub dağıtımı IÇIN PKI sertifikaları oluşturmayıöğrenin.Learn how to generate PKI certificates for Azure Stack Hub deployment.

Sonraki adımlarNext steps

AD FS kimliğini Azure Stack Hub veri merkezinizle tümleştirin.Integrate AD FS identity with your Azure Stack Hub datacenter.