CMG 伺服器驗證憑證

  • 發行項

適用於:Configuration Manager (目前的分支)

當您 (CMG) 設定雲端管理閘道時,第一個步驟是取得伺服器驗證憑證。 CMG 會建立以網際網路為基礎的用戶端所連線的 HTTPS 服務。 伺服器需要伺服器驗證憑證才能建置安全通道。 您可以從公用提供者取得此用途的憑證,或從您的公開金鑰基礎結構 (PKI) 發行憑證。

當您在 Configuration Manager 主控台中建立 CMG 時,您會提供此憑證。 此憑證的 CN) (一般名稱會定義 CMG 的服務名稱。

注意事項

您可能需要用戶端和管理點的其他憑證。 這些憑證涵蓋在 CMG 設定程式設定 用戶端驗證的第三個步驟中。

本文中所使用的一些 CMG 術語提醒:

  • 服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點月臺系統角色會與此服務名稱通訊。 例如,GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com

  • 部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:

    • 虛擬機器擴展集: GraniteFalls.WestUS.CloudApp.Azure.Com
    • 傳統部署: GraniteFalls.CloudApp.Net

    重要事項

    本文使用範例搭配虛擬機器擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並準備伺服器驗證憑證時記下差異。

選擇憑證類型

首先,決定要取得憑證的位置。 有幾個因素需要考慮。

用戶端必須信任 CMG 伺服器驗證憑證,才能與 CMG 服務建立 HTTPS 通道。 有兩種方法可以完成此信任:

  1. 使用來自公用和全域信任憑證提供者的憑證。

    • Windows 用戶端包含受信任的根憑證授權單位, (來自這些提供者的 CA) 。 藉由使用其中一個提供者所簽發的憑證,您的用戶端會自動信任它。

    • 此憑證有相關聯的成本,這是提供者特有的。

  2. 使用企業 CA 從您的公開金鑰基礎結構 (PKI) 簽發的憑證。

    • 大部分的企業 PKI 實作都會將受信任的根 CA 新增至 Windows 用戶端。 例如,如果您使用 Active Directory 憑證服務搭配群組原則。 如果您從用戶端不會自動信任的 CA 發出 CMG 伺服器驗證憑證,請將 CA 受信任的根憑證新增至以網際網路為基礎的用戶端。

      如果您打算從 Intune 安裝Configuration Manager客戶端,您也可以使用 Intune 憑證設定檔在用戶端上布建憑證。 如需詳細資訊, 請參閱設定憑證設定檔

    • 您的組織可能會有核發憑證的內部成本,但通常不會有與此憑證相關聯的外部成本。

重要事項

取得此憑證之前,請確定雲端服務和儲存體帳戶的服務名稱是全域唯一的。 也請確定名稱使用支援的字元。 如需詳細資訊,請參閱 全域唯一名稱

憑證類型的摘要比較

公用提供者 企業 PKI
用戶端信任 預設在 Windows 中受信任 使用某些實作自動執行,否則需要部署
成本 不一般
服務名稱範例 GraniteFalls.contoso.com GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com
需要 DNS CNAME 對於 Azure 域服務名稱, () GraniteFalls.WestUS.CloudApp.Azure.Com

注意事項

CMG 伺服器驗證憑證支援萬用字元。 某些憑證授權單位單位會使用萬用字元來發行憑證作為服務名稱前置詞。 例如,*.contoso.com。 有些組織會使用萬用字元憑證來簡化其 PKI 並降低維護成本。

如需如何搭配 CMG 使用萬用字元憑證的詳細資訊,請參閱 設定 CMG

全域唯一名稱

此憑證需要全域唯一的名稱,才能識別 Azure 中的服務。 在您要求憑證之前,請確認您想要的 Azure 部署名稱 是唯一的。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

虛擬機器擴展集

  1. 登入 Azure 入口網站

  2. 從 [Azure 入口網站] 首頁,選取 [在 Azure 服務下建立資源]。

  3. 搜尋 虛擬機器擴展集。 選取 [建立]

  4. 選取您將用於 CMG 的 用帳戶和 資源群組

  5. 在 [ 虛擬機器擴展集名稱] 字 段中,輸入您想要的前置詞。 例如,GraniteFalls

  6. 選取您將用於 CMG 的 [區域 ]。 例如, (美國西部)

介面會反映功能變數名稱是否可供其他服務使用或已在使用中。

重要事項

請勿在入口網站中建立服務,只要使用此程式來檢查名稱可用性即可。

針對金鑰保存庫資源重複此程式。 虛擬機器擴展集部署會建立具有相同名稱的金鑰保存庫,這也必須是全域唯一的。

啟用內容的 CMG 儲存體帳戶

如果您也啟用內容的 CMG,請確認它也是唯一的 Azure 儲存體帳戶名稱。 如果 CMG 部署名稱是唯一的,但儲存體帳戶不是,Configuration Manager無法在 Azure 中布建服務。 在Azure 入口網站中重複上述程式,並進行下列變更:

  • 搜尋 儲存體帳戶

  • 在 [ 儲存體帳戶名稱 ] 欄位中測試您的名稱。

重要事項

DNS 名稱前置詞長度應為 3 到 24 個字元,且只包含數位和小寫字母。 請勿使用特殊字元,例如虛線 (-) 。 例如: granitefalls

發出憑證

CMG 伺服器驗證憑證支援下列設定:

  • 2048 位或 4096 位金鑰長度

  • 此憑證支援憑證私密金鑰的金鑰儲存提供者, (v3) 。 如需詳細資訊,請參閱 CNG v3 憑證概觀

使用公用提供者憑證

協力廠商憑證提供者無法為像 是 cloudapp.azure.com 的 Azure 網域建立憑證,因為 Microsoft 擁有這些網域。 您只能取得針對您擁有的網域簽發的憑證。 從協力廠商提供者取得憑證的主要原因,是您的用戶端已經信任該提供者的根憑證。

取得此憑證的特定程式會依提供者而有所不同。 如需詳細資訊,請連絡您的協力廠商憑證提供者。

針對網頁伺服器憑證的一般名稱 (CN) :

  • 您已確定雲端服務和儲存體帳戶的部署 名稱 在 Azure 中是 全域唯 一的。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

  • 若要判斷 服務名稱,請將 部署名稱 前置詞 (GraniteFalls) 附加至您組織的功能變數名稱 (contoso.com) 。

  • 使用此 服務名稱 作為憑證通用名稱 (CN) 。 例如,GraniteFalls.contoso.com

接下來,您必須 建立 DNS CNAME 別名

使用企業 PKI 憑證

從組織的 PKI 發行 Web 服務器證書會因產品而異。 針對雲端 式發佈點部署服務憑證的 指示適用于 Active Directory 憑證服務。 此程式通常適用于 CMG 伺服器驗證憑證。

針對網頁伺服器憑證的一般名稱 (CN) :

  • 您已確定雲端服務和儲存體帳戶的部署 名稱 在 Azure 中是 全域唯 一的。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com

  • 若要判斷 服務名稱,您有兩個選項:

    • 使用您的功能變數名稱 (建議的) 。 將 部署名稱 前置詞 (GraniteFalls) 附加至貴組織的功能變數名稱 (contoso.com) 。 例如,GraniteFalls.contoso.com。 針對此選項,您也需要 建立 DNS CNAME 別名

    • 使用 Azure 部署名稱。 此選項不需要 DNS CNAME 別名。 例如:

      • 針對 Azure 公用雲端: GraniteFalls.WestUS.CloudApp.Azure.Com

      • 針對 Azure 美國政府雲端: GraniteFalls.usgovcloudapp.net

      注意事項

      如果 Azure 部署名稱變更,您必須重新部署服務以變更此服務名稱。 例如,如果您的服務名稱位於網域中 cloudapp.net ,您就無法將傳統雲端服務 CMG 轉換成虛擬機器擴展集。 如果您將功能變數名稱用於 CMG 服務名稱,則可以更新新部署名稱的 DNS CNAME。

  • 使用此 服務名稱 作為憑證通用名稱 (CN) 。

建立 DNS CNAME 別名

如果 CMG 服務名稱使用您組織的功能變數名稱 (GraniteFalls.contoso.com) ,您必須建立 DNS 標準名稱記錄 (CNAME) 。 此別名會將 服務名稱 對應至 部署名稱

在組織的公用 DNS 中建立 CNAME 記錄。 Azure 中的 CMG 服務和使用它的所有用戶端都需要解析服務名稱。 例如:

  • Contoso 會將其 CMG GraniteFalls命名為 。

  • Azure 中的部署名稱是 GraniteFalls.WestUS.CloudApp.Azure.Com

  • 在 Contoso 的公用 DNS contoso.com 命名空間中,DNS 系統管理員會將服務名稱 GraniteFalls.contoso.com 的新 CNAME 記錄建立為 Azure 部署名稱 。 GraniteFalls.WestUS.CloudApp.Azure.Com

當您建立 CMG 時,雖然憑證具有 GraniteFalls.contoso.com CN,Configuration Manager只會擷取服務名稱前置詞,例如:GraniteFalls。 它會將此前置詞附加至 Azure 服務網域, (cloudapp.azure.com) 區域 (westus) 來建立部署名稱。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com。 網域的 DNS 命名空間中的 CNAME 別名 (contoso.com) 將這兩個 FQDN 對應在一起。

Configuration Manager用戶端原則包含 CMG 服務名稱 。 GraniteFalls.contoso.com 用戶端會透過 CNAME 別名將服務名稱解析為部署名稱 GraniteFalls.WestUS.CloudApp.Azure.Com 。 然後,它可以解析部署名稱的 IP 位址,以與 Azure 中的服務通訊。

後續步驟

設定Microsoft Entra識別碼,以繼續您的 CMG 設定:

設定Microsoft Entra識別碼