Требования к сертификату инфраструктуры открытых ключей Azure Stack Hub (PKI)
В Azure Stack Hub есть сеть общедоступной инфраструктуры с использованием внешних общедоступных IP-адресов, назначенных небольшому набору служб Azure Stack Hub и, возможно, виртуальным машинам клиента. Сертификаты PKI с соответствующими DNS-именами для этих конечных точек общедоступной инфраструктуры Azure Stack Hub требуются во время развертывания Azure Stack Hub. В этой статье содержатся сведения о следующем:
- Требования к сертификату для Azure Stack Hub.
- Обязательные сертификаты, необходимые для развертывания Azure Stack Hub.
- Опциональные сертификаты, необходимые при развертывании поставщиков ресурсов с добавленной стоимостью.
Заметка
Azure Stack Hub по умолчанию также использует сертификаты, выданные внутренним центром сертификации Active Directory (ЦС) для проверки подлинности между узлами. Чтобы проверить сертификат, все компьютеры инфраструктуры Azure Stack Hub доверяют корневому сертификату внутреннего ЦС путем добавления этого сертификата в локальное хранилище сертификатов. В Azure Stack Hub не предусмотрено закрепление или фильтрация сертификатов. San каждого сертификата сервера проверяется в отношении полного доменного имени целевого объекта. Также проверяется вся цепочка доверия, а также дата окончания срока действия сертификата (стандартная проверка подлинности сервера TLS без закрепления сертификатов).
Требования к сертификату
В следующем списке описаны общие требования к выпуску сертификатов, безопасности и форматированию:
- Сертификаты должны быть выданы из внутреннего центра сертификации или общедоступного центра сертификации. Если используется общедоступный центр сертификации, он должен быть включен в базовый образ операционной системы в рамках программы доверенного корневого центра Майкрософт. Полный список см. в Список участников — Доверенная корневая программа Майкрософт.
- Инфраструктура Azure Stack Hub должна иметь сетевой доступ к расположению Списка отзыва сертификатов (CRL), указанному в сертификате центра сертификации. Этот CRL (список отзыва сертификатов) должен быть HTTP-адресом. Примечание. для отключенных развертываний сертификаты, выданные общедоступным центром сертификации (ЦС), не поддерживаются, если конечная точка CRL недоступна. Дополнительные сведения см. в разделе Функции, которые ограничены или недоступны в отключенных развертываниях.
- При смене сертификатов в сборках до версии 1903 сертификаты должны быть выданы либо из того же внутреннего центра сертификации, который использовался для подписания сертификатов, предоставленных при развертывании, либо из любого из вышеупомянутых общедоступных центров сертификации.
- При смене сертификатов для сборок 1903 и более поздних версий сертификаты могут выдаваться любым корпоративным или публичным центром сертификации.
- Использование самозаверяющего сертификата не поддерживается.
- Для развертывания и ротации вы можете использовать один сертификат, охватывающий все пространства имен в строке Subject Name и Subject Alternative Name (SAN). В качестве альтернативы, вы можете использовать отдельные сертификаты для каждого из перечисленных ниже пространств имен, которые требуются службам Azure Stack Hub, планируемым к использованию. Оба подхода требуют использования подстановочных знаков для конечных точек в тех случаях, когда это необходимо, например, KeyVault и KeyVaultInternal.
- Алгоритм подписи сертификата не должен быть SHA1.
- Формат сертификата должен быть PFX, так как для установки Azure Stack Hub требуются открытые и закрытые ключи. Закрытый ключ должен иметь набор атрибутов ключа локального компьютера.
- Шифрование PFX должно быть 3DES (это шифрование по умолчанию при экспорте из клиента Windows 10 или хранилища сертификатов Windows Server 2016).
- PFX-файлы сертификата должны иметь значение Digital Signature и KeyEncipherment в поле "Использование ключа".
- PFX-файлы сертификата должны иметь значения "Проверка подлинности сервера" (1.3.6.1.5.5.7.3.1)" и "Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)" в поле "Расширенное использование ключей".
- Поле "Выдано для:" сертификата не должно совпадать с полем "Выдано кем:".
- Пароли для всех PFX-файлов сертификата должны совпадать во время развертывания.
- Пароль для PFX сертификата должен быть сложным паролем. Запишите этот пароль, так как вы будете использовать его в качестве параметра развертывания. Пароль должен соответствовать следующим требованиям к сложности паролей:
- Минимальная длина восьми символов.
- По крайней мере три из следующих символов: прописная буква, строчная буква, цифры от 0 до 9, специальные символы, алфавитные символы, которые не имеют верхнего или нижнего регистра.
- Убедитесь, что имена субъектов и альтернативные имена субъектов в расширении альтернативного имени субъекта (x509v3_config) совпадают. Поле альтернативного имени субъекта позволяет указать дополнительные имена узлов (веб-сайты, IP-адреса, общие имена) для защиты одним SSL-сертификатом.
Заметка
Самозаверяющий сертификат не поддерживается.
При развертывании Azure Stack Hub в отключенном режиме рекомендуется использовать сертификаты, выданные центром сертификации предприятия. Это важно, так как клиенты, обращающиеся к конечным точкам Azure Stack Hub, должны иметь возможность связаться со списком отзыва сертификатов (CRL).
Заметка
Наличие промежуточных центров сертификации в цепочке доверия сертификата поддерживается.
Обязательные сертификаты
В таблице в этом разделе описываются сертификаты PKI общедоступной конечной точки Azure Stack Hub, необходимые для развертываний Microsoft Entra ID и AD FS Azure Stack Hub. Требования к сертификатам группируются по областям, а также перечисляются пространства имен и сертификаты, необходимые для каждого из них. В таблице также описывается папка, в которой поставщик решений копирует различные сертификаты на общедоступную конечную точку.
Требуются сертификаты с соответствующими DNS-именами для каждой конечной точки общедоступной инфраструктуры Azure Stack Hub. DNS-имя каждой конечной точки выражается в формате: <префикс>.<регион>.<fqdn>.
Для развертывания значения <региона> и <fqdn> должны соответствовать регионам и внешним доменным именам, выбранным для системы Azure Stack Hub. Например, если регион Redmond, а внешнее доменное имя — contoso.com, dns-имена будут иметь формат <префикса>.redmond.contoso.com. Значения префикса><предварительно спроектированы корпорацией Майкрософт для описания конечной точки, защищенной сертификатом. Кроме того, префикс <> значений конечных точек внешней инфраструктуры зависит от службы Azure Stack Hub, которая использует конкретную конечную точку.
В рабочих средах рекомендуется создавать отдельные сертификаты для каждой конечной точки и копировать их в соответствующий каталог. В средах разработки сертификаты могут быть предоставлены в виде одного подстановочного сертификата, который охватывает все пространства имен, указанные в полях "Субъект" и "Альтернативное имя субъекта" (SAN), и такие сертификаты можно скопировать во все каталоги. Единый сертификат, охватывающий все конечные точки и службы, является небезопасной практикой и, следовательно, предназначен только для разработки. Помните, что оба варианта требуют использования подстановочных сертификатов для конечных точек, таких как acs и Key Vault, когда они необходимы.
Заметка
Во время развертывания необходимо скопировать сертификаты в папку развертывания, соответствующую поставщику удостоверений, против которого вы проводите развертывание (Microsoft Entra ID или AD FS). При использовании одного сертификата для всех конечных точек необходимо скопировать этот файл сертификата в каждую папку развертывания, как описано в следующих таблицах. Структура папок предварительно создана в виртуальной машине развертывания и находится по адресу: C:\CloudDeployment\Setup\Certificates.
| Папка развертывания | Обязательный субъект сертификата и альтернативные имена субъектов (SAN) | Область (на регион) | Пространство имен поддомена |
|---|---|---|---|
| Общедоступный портал | портал.<регион>.<fqdn> | Порталы | <регионе>.<fqdn> |
| Портал администрирования | adminportal.<регион>.<fqdn> | Порталы | <регион>.<fqdn> |
| Общедоступная служба Azure Resource Manager | управление.<регион>.<fqdn> | Azure Resource Manager | Регион <>.<fqdn> |
| Администратор Azure Resource Manager | adminmanagement.<регион>.<fqdn> | Azure Resource Manager | <регион>.<fqdn> |
| ACSBlob | *.блоб.<в регионе>.<fqdn> (Wildcard SSL-сертификат) |
Хранилище Blob-объектов | блоб.<регион>.<fqdn> |
| ACSTable | *.таблица.<регионе>.<fqdn> (Wildcard SSL-сертификат) |
Хранилище таблиц | таблица.<регион>.<fqdn> |
| ACSQueue | *.очередь.<в регионе>.<fqdn> (Wildcard SSL-сертификат) |
Хранилище очередей | очередь.<регион>.<fqdn> |
| KeyVault | *.хранилище.<регион>.<fqdn> SSL-сертификат Wildcard |
Хранилище ключей | хранилище.<регион>.<fqdn> |
| KeyVaultInternal | *.adminvault.<регион>.<fqdn> (Wildcard SSL-сертификат) |
Внутреннее хранилище ключей | adminvault. в<регионе>.<fqdn> |
| Хост расширения администратора | *.adminhosting. в регионе<>.<FQDN> (Подстановочные SSL-сертификаты) | Хост расширения администратора | adminhosting.<регионе>.<fqdn> |
| Хост публичного расширения | *.хостинг.<регион>.<fqdn> (SSL-сертификаты с подстановочными знаками) | Хост публичного расширения | хостинг.<регионе>.<fqdn> |
При развертывании Azure Stack Hub с помощью режима развертывания Microsoft Entra необходимо запросить только сертификаты, перечисленные в предыдущей таблице. Но при развертывании Azure Stack Hub с помощью режима развертывания AD FS необходимо также запросить сертификаты, описанные в следующей таблице:
| Папка развертывания | Обязательные имена субъектов сертификатов и альтернативных имен субъектов (SAN) | Область (на регион) | Пространство имен поддомена |
|---|---|---|---|
| ADFS | adfs.<регион>.<fqdn> (SSL-сертификат) |
ADFS | Регион><.<fqdn> |
| График | граф.<регион>.<fqdn> (SSL-сертификат) |
График | регион <>.<fqdn> |
Важный
Все сертификаты, перечисленные в этом разделе, должны иметь один и тот же пароль.
Необязательные сертификаты PaaS
Если вы планируете развернуть службы PaaS Azure Stack Hub (такие как SQL, MySQL, Служба приложений или Центры событий) после развертывания и настройки Azure Stack Hub, необходимо запросить дополнительные сертификаты для покрытия конечных точек служб PaaS.
Важный
Сертификаты, используемые для поставщиков ресурсов, должны иметь тот же корневой центр, что и те, которые используются для глобальных конечных точек Azure Stack Hub.
В следующей таблице описываются конечные точки и сертификаты, необходимые для поставщиков ресурсов. Эти сертификаты не нужно копировать в папку развертывания Azure Stack Hub. Вместо этого вы предоставляете эти сертификаты во время установки поставщика ресурсов.
| Область (на регион) | Сертификат | Требуемые субъекты сертификата и альтернативные имена субъектов (SAN) | Пространство имен поддомена |
|---|---|---|---|
| Служба приложений | SSL-сертификат по умолчанию для веб-трафика | *.appservice.<региона>.<fqdn> *.scm.appservice.<регионе>.<fqdn> *.sso.appservice.<регион>.<fqdn> (Multi Domain Wildcard SSL-сертификат1) |
appservice.<в регионе>.<fqdn> scm.appservice.<регион>.<fqdn> |
| Служба приложений | API | api.appservice.<регион>.<fqdn> (SSL-сертификат2) |
appservice.<регионе>.<fqdn> scm.appservice.<регион>.<fqdn> |
| Служба приложений | FTP | ftp.appservice.<регионе>.<fqdn> (SSL-сертификат2) |
appservice.<регион>.<fqdn> scm.appservice.<регион>.<fqdn> |
| Служба приложений | Система единого входа (SSO) | sso.appservice.<регион>.<fqdn> (SSL-сертификат2) |
appservice.<регион>.<fqdn> scm.appservice.<регион>.<fqdn> |
| Центры событий | SSL | *.eventhub.<в регионе>.<fqdn> (SSL-сертификат подстановочного знака) |
eventhub.<в регионе>.<fqdn> |
| SQL, MySQL | SQL и MySQL | *.dbadapter.<region>.<fqdn> (Подстановочный SSL-сертификат) |
dbadapter.<регион>.<fqdn> |
1 Требуется один сертификат с несколькими подстановочными альтернативными именами субъектов. Несколько SAN с подстановочными знаками в одном сертификате могут не поддерживаться всеми публичными центрами сертификации.
2 A *.appservice.<регион>.<полное доменное имя> сертификат подстановочного знака нельзя использовать взамен этих трех сертификатов (api.appservice.<регион>.<полное доменное имя>, ftp.appservice.<регион>.<полное доменное имя>и sso.appservice.<регион>.<полное доменное имя>. Служба приложений явно требует использования отдельных сертификатов для этих конечных точек.
Дальнейшие действия
Узнайте, как генерировать PKI-сертификаты для развертывания Azure Stack Hub.