Požadavky na certifikát infrastruktury veřejných klíčů služby Azure Stack Hub (PKI)
Azure Stack Hub má síť veřejné infrastruktury využívající externě přístupné veřejné IP adresy přiřazené malé sadě služeb Azure Stack Hub a případně virtuálních počítačů tenantů. Certifikáty PKI s příslušnými názvy DNS pro tyto koncové body veřejné infrastruktury služby Azure Stack Hub se vyžadují během nasazování služby Azure Stack Hub. Tento článek obsahuje informace o:
- Požadavky na certifikáty pro Azure Stack Hub
- Povinné certifikáty vyžadované pro nasazení služby Azure Stack Hub.
- Volitelné certifikáty vyžadované při nasazování zprostředkovatelů prostředků s přidanou hodnotou
Poznámka
Azure Stack Hub ve výchozím nastavení používá k ověřování mezi uzly také certifikáty vydané interní certifikační autoritou (CA) integrované služby Active Directory. Pokud chcete certifikát ověřit, všechny počítače infrastruktury služby Azure Stack Hub důvěřují kořenovému certifikátu interní certifikační autority tak, že tento certifikát přidají do místního úložiště certifikátů. Ve službě Azure Stack Hub není žádné připnutí ani filtrování certifikátů. SAN každého serverového certifikátu se ověřuje vůči plně kvalifikovanému názvu domény cíle. Ověřuje se také celý řetězec důvěryhodnosti spolu s datem vypršení platnosti certifikátu (standardní ověřování serveru TLS bez připnutí certifikátu).
Požadavky na certifikáty
Následující seznam popisuje obecné požadavky na vystavování, zabezpečení a formátování certifikátů:
- Certifikáty musí být vydány buď z interní certifikační autority, nebo veřejné certifikační autority. Pokud se používá veřejná certifikační autorita, musí být součástí základní image operačního systému jako součást programu Microsoft Trusted Root Authority Program. Úplný seznam najdete v tématu Seznam účastníků – program Microsoft Trusted Root Program.
- Vaše infrastruktura služby Azure Stack Hub musí mít síťový přístup k umístění seznamu odvolaných certifikátů certifikační autority (CRL) publikovanému v certifikátu. Tento CRL musí být koncovým bodem HTTP. Poznámka: Certifikáty vydané veřejnou certifikační autoritou (CA) nejsou podporovány pro odpojená nasazení, pokud není přístupný koncový bod CRL. Další podrobnosti najdete v tématu Funkce, které jsou v odpojených nasazeníchpoškozené nebo nedostupné.
- Při obměně certifikátů v sestaveních před 1903 musí být certifikáty vystaveny buď ze stejné interní certifikační autority, která slouží k podepisování certifikátů poskytovaných při nasazení, nebo z jakékoli veřejné certifikační autority, které byly uvedeny výše.
- Při obnovení certifikátů pro buildy 1903 a novější můžou být certifikáty vydány libovolnou podnikovou nebo veřejnou certifikační autoritou.
- Použití certifikátů podepsaných svým držitelem se nepodporuje.
- Pro nasazení a obměnu můžete použít jeden certifikát, který pokrývá všechny názvové prostory v názvu subjektu certifikátu a alternativním názvu subjektu (SAN). Alternativně můžete použít jednotlivé certifikáty pro každý z níže uvedených oborů názvů, které vyžadují služby Azure Stack Hub, jež plánujete využít. Oba přístupy vyžadují použití zástupných znaků pro koncové body, kde jsou potřeba, například KeyVault a KeyVaultInternal.
- Algoritmus podpisu certifikátu by neměl být SHA1.
- Formát certifikátu musí být PFX, protože pro instalaci služby Azure Stack Hub se vyžadují veřejné i privátní klíče. Privátní klíč musí mít nastavený atribut klíče místního počítače.
- Šifrování PFX musí být 3DES (toto šifrování je výchozí při exportu z klienta Windows 10 nebo úložiště certifikátů Windows Serveru 2016).
- Soubory pfx certifikátu musí mít v poli Použití klíče hodnotu Digitální podpis a KeyEncipherment.
- Soubory pfx certifikátu musí mít hodnoty Ověřování serveru (1.3.6.1.5.5.7.3.1) a Ověřování klienta (1.3.6.1.5.5.7.3.2) v poli Použití rozšířeného klíče.
- Pole "Vystaveno pro:" nesmí být stejné jako pole "Vystaveno kým:".
- Hesla ke všem souborům pfx certifikátu musí být v době nasazení stejná.
- Heslo k certifikátu pfx musí být složité heslo. Poznamenejte si toto heslo, protože ho použijete jako parametr nasazení. Heslo musí splňovat následující požadavky na složitost hesla:
- Minimální délka osmi znaků.
- Nejméně tři z následujících znaků: velká písmena, malá písmena, číslice od 0 do 9, speciální znaky, abecední znak, který není velkými nebo malými písmeny.
- Ujistěte se, že názvy subjektů a alternativní názvy subjektu v příponě alternativního názvu subjektu (x509v3_config) odpovídají. Pole alternativního názvu subjektu umožňuje zadat další názvy hostitelů (weby, IP adresy, běžné názvy), které mají být chráněny jedním certifikátem SSL.
Poznámka
Certifikáty podepsané svým držitelem nejsou podporované.
Při nasazování služby Azure Stack Hub v odpojeném režimu se doporučuje používat certifikáty vydané certifikační autoritou organizace. To je důležité, protože klienti, kteří přistupují ke koncovým bodům služby Azure Stack Hub, musí být schopni kontaktovat seznam odvolaných certifikátů (CRL).
Poznámka
Přítomnost zprostředkujících certifikačních autorit v řetězci důvěryhodnosti certifikátu je podporována.
Povinné certifikáty
Tabulka v této části popisuje certifikáty PKI veřejného koncového bodu služby Azure Stack Hub, které jsou vyžadovány pro nasazení Microsoft Entra ID i AD FS Azure Stack Hub. Požadavky na certifikáty jsou seskupené podle oblastí a používané obory názvů a certifikáty, které jsou požadovány pro každý obor názvů. Tabulka také popisuje složku, ve které váš poskytovatel řešení kopíruje různé certifikáty pro každý veřejný koncový bod.
Vyžadují se certifikáty s příslušnými názvy DNS pro každý koncový bod veřejné infrastruktury služby Azure Stack Hub. Název DNS každého koncového bodu je vyjádřen ve formátu: <prefix>.<regionu>.<fqdn>.
Pro vaše nasazení musí hodnoty <oblasti> a <> plně kvalifikovaný název domény odpovídat oblastem a externím názvům domén, které jste zvolili pro váš systém Azure Stack Hub. Pokud je například oblast Redmond a název externí domény je contoso.com, názvy DNS budou mít formát <předponu>.redmond.contoso.com. Předpona <> hodnot je předem určena Microsoftem, aby popsaly koncový bod zabezpečený certifikátem. Kromě toho hodnoty předpony <> koncových bodů externí infrastruktury závisí na službě Azure Stack Hub, která používá konkrétní koncový bod.
Pro produkční prostředí doporučujeme, aby se pro každý koncový bod vygenerovaly jednotlivé certifikáty a zkopírovaly se do odpovídajícího adresáře. Pro vývojová prostředí lze certifikáty poskytnout jako jeden zástupný certifikát pokrývající všechny obory názvů v polích Předmět a Alternativní název subjektu (SAN) zkopírované do všech adresářů. Jediný certifikát, který pokrývá všechny koncové body a služby, představuje nezabezpečený přístup, a proto je určen pouze pro vývojové účely. Nezapomeňte, že obě možnosti vyžadují, abyste pro koncové body, jako jsou acs a Key Vault, používali certifikáty se zástupnými znaky.
Poznámka
Během nasazování musíte zkopírovat certifikáty do složky pro nasazení, která odpovídající zprostředkovateli identity, kterého nasazujete (Microsoft Entra ID nebo AD FS). Pokud používáte jeden certifikát pro všechny koncové body, musíte tento soubor certifikátu zkopírovat do každé složky nasazení, jak je uvedeno v následujících tabulkách. Struktura složek je předem vytvořená v rámci nasazení virtuálního počítače a nalezneme ji v: C:\CloudDeployment\Setup\Certificates.
| Složka nasazení | Požadovaný subjekt certifikátu a alternativní názvy subjektu (SAN) | Rozsah (podle oblasti) | Jmenný prostor subdomény |
|---|---|---|---|
| Veřejný portál | portál.<oblast>.<plně kvalifikovaného názvu domény> | Portály | <region>.<plně kvalifikovaný název domény> |
| Portál pro správu | adminportal.<oblasti>.<plně kvalifikovaného názvu domény> | Portály | <oblasti>.<plně kvalifikovaný název domény> |
| Azure Resource Manager veřejný | management.<oblasti>.<fqdn> | Azure Resource Manager | <oblasti>.<plně kvalifikovaného názvu domény> |
| Správce Azure Resource Manageru | adminmanagement.<oblasti>.<plně kvalifikovaného názvu domény> | Azure Resource Manager | <oblasti>.<plně kvalifikovaného názvu domény> |
| ACSBlob | *.blob.<region>.<plně kvalifikovaného názvu domény> (Wildcard SSL certifikát) |
Blob Storage | kapka.<oblasti>.<plně kvalifikovaného názvu domény> |
| Tabulka ACS | *.tabulka.<oblasti>.<plně kvalifikovaný název domény> (Certifikát SSL Wildcard) |
Úložiště tabulek | stůl.<oblasti>.> plně kvalifikovaného názvu domény< |
| ACSQueue | *.fronta.<oblasti>.<plně kvalifikovaného názvu domény> Certifikát SSL s divokým znakem |
Úložiště front | fronta.<oblasti>.<plně kvalifikovaného názvu domény> |
| KeyVault | *.klenba.<region>.<plně kvalifikovaný název domény> Wildcard SSL certifikát |
Trezor klíčů | trezor.<oblasti>.<plně kvalifikovaný název domény> |
| KeyVaultInternal | *.adminvault.<oblast>.<plně kvalifikovaný název domény> (Certifikát SSL se zástupným znakem) |
Interní Keyvault | adminvault.<oblasti>.<plně kvalifikovaného názvu domény> |
| Hostitel rozšíření administrátora | *.adminhosting.<oblasti>.<plně kvalifikovaný doménový název> (certifikáty SSL se zástupnými znaky) | Hostitel rozšíření administrátora | adminhosting.<oblasti>.<plně kvalifikovaný název domény> |
| Hostitel veřejného rozšíření | *.hosting.<region>.<plně kvalifikovaný název domény> (certifikáty SSL se zástupnými znaky) | Hostitel veřejného rozšíření | hostování.<oblasti>.> plně kvalifikovaného názvu domény< |
Pokud nasadíte Službu Azure Stack Hub pomocí režimu nasazení Microsoft Entra, budete muset požádat pouze o certifikáty uvedené v předchozí tabulce. Pokud ale službu Azure Stack Hub nasadíte pomocí režimu nasazení SLUŽBY AD FS, musíte také požádat o certifikáty popsané v následující tabulce:
| Složka nasazení | Požadovaný subjekt certifikátu a alternativní názvy subjektu (SAN) | Rozsah (podle oblasti) | Jmenný prostor subdomény |
|---|---|---|---|
| ADFS | adfs.<region>.<oblasti plně kvalifikovaného názvu domény> (Certifikát SSL) |
ADFS | <oblasti>.<plně kvalifikovaný název domény> |
| Graf | graf.<oblasti>.<plně kvalifikovaného názvu domény> (Certifikát SSL) |
Graf | <oblasti>.<plně kvalifikovaného názvu domény> |
Důležitý
Všechny certifikáty uvedené v této části musí mít stejné heslo.
Volitelné certifikáty PaaS
Pokud plánujete nasadit služby PaaS služby Azure Stack Hub (například SQL, MySQL, App Service nebo Event Hubs) po nasazení a konfiguraci služby Azure Stack Hub, musíte požádat o další certifikáty pro pokrytí koncových bodů služeb PaaS.
Důležitý
Certifikáty, které používáte pro poskytovatele prostředků, musí mít stejnou kořenovou autoritu jako certifikáty používané pro globální koncové body služby Azure Stack Hub.
Následující tabulka popisuje koncové body a certifikáty vyžadované pro poskytovatele prostředků. Tyto certifikáty nemusíte kopírovat do složky nasazení služby Azure Stack Hub. Místo toho tyto certifikáty zadáte během instalace poskytovatele prostředků.
| Rozsah (podle oblasti) | Certifikát | Požadovaný předmět certifikátu a alternativní názvy subjektu (SANs) | Jmenný prostor subdomény |
|---|---|---|---|
| Služba aplikace | Výchozí SSL certifikát pro webový provoz | *.appservice.<oblasti>.<plně kvalifikovaného názvu domény> *.scm.appservice.<oblasti>.<plně kvalifikovaného názvu domény> *.sso.appservice.<region>.<plně kvalifikovaného názvu domény> (Certifikát SSL vícedoménový s zástupným znakem1) |
appservice.<oblasti>.><plně kvalifikovaného názvu domény scm.appservice.<oblast>. fqdn<> plně kvalifikovaného názvu domény |
| Služba aplikací | Rozhraní API | api.appservice.<oblast>.<plně kvalifikovaný název domény> (Certifikát SSL2) |
appservice.<oblast>.<plně kvalifikovaný název domény> scm.appservice.<oblast>.<plně kvalifikovaný název domény> |
| Služba aplikace | Protokol pro přenos souborů | ftp.appservice.<oblast>. plně kvalifikovaného názvu domény<> (Certifikát SSL2) |
appservice.<oblasti>.> plně kvalifikovaného názvu domény< scm.appservice.<oblast>.<> plně kvalifikovaného názvu domény |
| App Service | SSO | sso.appservice.<oblast>.<plně kvalifikovaný název domény> (Certifikát SSL2) |
appservice.<oblasti>.<plně kvalifikovaného názvu domény> scm.appservice.<oblast>.<plně kvalifikovaného názvu domény> |
| Event Hubs | SSL | *.eventhub.<oblasti>.<plně kvalifikovaný název domény> SSL certifikát typu Wildcard |
eventhub.<oblasti>.<plně kvalifikovaného názvu domény> |
| SQL, MySQL | SQL a MySQL | *.dbadapter.<oblasti>.> plně kvalifikovaného názvu domény< (Certifikát SSL se zástupným znakem) |
dbadapter.<regionu>.<fqdn> |
1 Vyžaduje jeden certifikát s několika alternativními názvy zástupných znaků. Některé veřejné certifikační autority nemusí podporovat více zástupných znaků SAN na jednom certifikátu.
2 A *.appservice.<oblast>.<plně kvalifikovaný název domény> certifikát se zástupným znakem nelze použít místo těchto tří certifikátů (api.appservice.<oblast>.<plně kvalifikovaný název domény>, ftp.appservice.<oblast>.<plně kvalifikovaný název domény>a sso.appservice.<oblast>.<plně kvalifikovaný název domény>. AppService explicitně vyžaduje použití samostatných certifikátů pro tyto koncové body.
Další kroky
Zjistěte, jak generovat certifikáty PKI pronasazení služby Azure Stack Hub.