CMG 服务器身份验证证书

  • 项目

适用于: Configuration Manager(current branch)

(CMG) 设置云管理网关时,第一步是获取服务器身份验证证书。 CMG 创建基于 Internet 的客户端连接到的 HTTPS 服务。 服务器需要服务器身份验证证书才能生成安全通道。 可以从公共提供程序获取用于此目的的证书,或者从公钥基础结构 (PKI) 颁发证书。

在 Configuration Manager 控制台中创建 CMG 时,请提供此证书。 此证书的公用名称 (CN) 定义 CMG 的服务名称。

注意

可能需要为客户端和管理点提供其他证书。 CMG 设置过程的第三步“ 配置客户端身份验证”中介绍了这些证书。

本文中使用的一些 CMG 术语提醒:

  • 服务名称:CMG 服务器身份验证证书 (CN) 的公用名。 客户端和 CMG 连接点站点系统角色与此服务名称通信。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • 部署名称:服务名称的第一部分加上云服务部署的 Azure 位置。 服务连接点的云服务管理器组件在 Azure 中部署 CMG 时使用此名称。 部署名称始终位于 Azure 域中。 Azure 位置取决于部署方法,例如:

    • 虚拟机规模集: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 经典部署: GraniteFalls.CloudApp.Net

    重要

    本文使用虚拟机规模集作为版本 2107 及更高版本中建议的部署方法的示例。 如果使用经典部署,请在阅读本文并准备服务器身份验证证书时注意差异。

选择证书类型

首先,确定要从何处获取证书。 有几个因素需要考虑。

客户端必须信任 CMG 服务器身份验证证书才能使用 CMG 服务建立 HTTPS 通道。 可通过两种方法实现此信任:

  1. 使用来自公共和全局受信任的证书提供程序的证书。

    • Windows 客户端包括受信任的根证书颁发机构 (CA) 这些提供程序。 通过使用这些提供程序之一颁发的证书,客户端会自动信任它。

    • 存在与此证书相关的费用,该证书特定于提供程序。

  2. 使用企业 CA 从公钥基础结构 (PKI) 颁发的证书。

    • 大多数企业 PKI 实现将受信任的根 CA 添加到 Windows 客户端。 例如,如果将 Active Directory 证书服务与组策略配合使用。 如果从客户端不自动信任的 CA 颁发 CMG 服务器身份验证证书,请将 CA 受信任的根证书添加到基于 Internet 的客户端。

      如果计划从 Intune 安装 Configuration Manager 客户端,还可以使用 Intune 证书配置文件在客户端上预配证书。 有关详细信息,请参阅 配置证书配置文件

    • 组织颁发证书可能有内部成本,但通常没有与此证书相关的外部成本。

重要

获取此证书之前,请确保服务名称对于云服务和存储帐户全局唯一。 此外,请确保名称使用支持的字符。 有关详细信息,请参阅 全局唯一名称

证书类型的摘要比较

公共提供程序 企业 PKI
客户端信任 默认情况下,在 Windows 中受信任 自动执行某些实现,否则需要部署
成本 非典型
服务名称示例 GraniteFalls.contoso.com GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com
需要 DNS CNAME 对于 Azure 域名服务名称 (GraniteFalls.WestUS.CloudApp.Azure.Com) 否

注意

CMG 服务器身份验证证书支持通配符。 某些证书颁发机构使用服务名称前缀的通配符颁发证书。 例如,*.contoso.com。 某些组织使用通配符证书来简化其 PKI 并降低维护成本。

有关如何将通配符证书与 CMG 配合使用的详细信息,请参阅 设置 CMG

全局唯一名称

此证书需要全局唯一的名称来标识 Azure 中的服务。 在请求证书之前,请确认所需的 Azure 部署名称 是唯一的。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

虚拟机规模集

  1. 登录 Azure 门户

  2. 在Azure 门户主页中,选择“Azure 服务”下的“创建资源”。

  3. 搜索 虚拟机规模集。 选择“创建”。

  4. 选择将用于 CMG 的“订阅”和“资源组”。

  5. “虚拟机规模集名称” 字段中,键入所需的前缀。 例如,GraniteFalls

  6. 选择将用于 CMG 的区域。 例如, (美国) 美国西部

接口反映域名是可用还是已被其他服务使用。

重要

不要在门户中创建服务,只需使用此过程来检查名称可用性。

密钥保管库资源重复此过程。 虚拟机规模集部署创建具有相同名称的密钥保管库,该保管库也需要全局唯一。

已启用内容的 CMG 存储帐户

如果同时为内容启用 CMG,请确认该 CMG 也是唯一的 Azure 存储帐户名称。 如果 CMG 部署名称是唯一的,但存储帐户不唯一,Configuration Manager无法在 Azure 中预配服务。 在Azure 门户中重复上述过程,并执行以下更改:

  • 搜索 “存储帐户”。

  • “存储帐户名称 ”字段中测试你的名称。

重要

DNS 名称前缀的长度应为 3 到 24 个字符,并且仅包含数字和小写字母。 不要使用特殊字符,如短划线 (-) 。 例如: granitefalls

颁发证书

CMG 服务器身份验证证书支持以下配置:

  • 2048 位或 4096 位密钥长度

  • 此证书支持证书私钥的密钥存储提供程序 (v3) 。 有关详细信息,请参阅 CNG v3 证书概述

使用公共提供程序证书

第三方证书提供程序无法为等 cloudapp.azure.comAzure 域创建证书,因为 Microsoft 拥有这些域。 只能获取为拥有的域颁发的证书。 从第三方提供程序获取证书的main原因是客户端已信任该提供程序的根证书。

获取此证书的特定过程因提供程序而异。 有关详细信息,请与第三方证书提供商联系。

对于 Web 服务器证书公用名称 (CN) :

  • 你已确保 部署名称 在 Azure 中对于云服务和存储帐户全局 一。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

  • 若要确定 服务名称,请将 部署名称 前缀 (GraniteFalls) 追加到组织的域名 (contoso.com) 。

  • 将此 服务名称 用作证书公用名称 (CN) 。 例如,GraniteFalls.contoso.com

接下来,需要 创建 DNS CNAME 别名

使用企业 PKI 证书

从组织的 PKI 颁发 Web 服务器证书因产品而异。 有关 为基于云的分发点部署服务证书 的说明适用于 Active Directory 证书服务。 此过程通常适用于 CMG 服务器身份验证证书。

对于 Web 服务器证书公用名称 (CN) :

  • 你已确保 部署名称 在 Azure 中对于云服务和存储帐户全局 一。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

  • 若要确定 服务名称,有两个选项:

    • 使用建议) (域名。 将 部署名称 前缀 (GraniteFalls) 追加到组织的域名 (contoso.com) 。 例如,GraniteFalls.contoso.com。 对于此选项,还需要 创建 DNS CNAME 别名

    • 使用 Azure 部署名称。 此选项不需要 DNS CNAME 别名。 例如:

      • 对于 Azure 公有云: GraniteFalls.WestUS.CloudApp.Azure.Com

      • 对于 Azure 美国政府云: GraniteFalls.usgovcloudapp.net

      注意

      如果 Azure 部署名称发生更改,则需要重新部署服务以更改此服务名称。 例如,如果服务名称位于 cloudapp.net 域中,则无法将经典云服务 CMG 转换为虚拟机规模集。 如果将域名用作 CMG 服务名称,则可以更新新部署名称的 DNS CNAME。

  • 将此 服务名称 用作证书公用名称 (CN) 。

创建 DNS CNAME 别名

如果 CMG 服务名称使用组织的域名 () GraniteFalls.contoso.com ,则需要 (CNAME) 创建 DNS 规范名称记录。 此别名将 服务名称 映射到 部署名称

在组织的公共 DNS 中创建 CNAME 记录。 Azure 中的 CMG 服务以及使用它的所有客户端都需要解析服务名称。 例如:

  • Contoso 为其 CMG GraniteFalls 命名

  • Azure 中的部署名称为 GraniteFalls.WestUS.CloudApp.Azure.Com

  • 在 Contoso 的公共 DNS contoso.com 命名空间中,DNS 管理员为 Azure 部署GraniteFalls.WestUS.CloudApp.Azure.Com名称 的服务名称GraniteFalls.contoso.com创建新的 CNAME 记录。

创建 CMG 时,虽然证书将 GraniteFalls.contoso.com 作为 CN,但Configuration Manager仅提取服务名称前缀,例如:GraniteFalls。 它将此前缀追加到 Azure 服务域 (cloudapp.azure.com) ,其中包含用于创建部署名称的区域 (westus) 。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com。 域的 DNS 命名空间中的 CNAME 别名 (contoso.com) 这两个 FQDN 映射在一起。

Configuration Manager客户端策略包括 CMG 服务名称 GraniteFalls.contoso.com。 客户端通过 CNAME 别名将服务名称解析为部署名称 GraniteFalls.WestUS.CloudApp.Azure.Com。 然后,它可以解析部署名称的 IP 地址,以便与 Azure 中的服务进行通信。

后续步骤

通过配置MICROSOFT ENTRA ID 继续 CMG 设置:

配置Microsoft Entra ID