Aktivera fjärråtkomst från intranät med TLS/SSL-certifikat (avancerat)
I den här självstudien får du lära dig hur du konfigurerar en lokalt installerad integrationskörning med flera lokala datorer och aktiverar fjärråtkomst från intranätet med TLS/SSL-certifikat (Avancerat) för att skydda kommunikationen mellan integrationskörningsnoder.
Förutsättningar
- En introduktion till stark SSL/TLS-kryptering.
- Certifikatet kan vara ett allmänt TLS-certifikat för en webbserver. Krav:
- Certifikatet måste vara ett offentligt betrott X509 v3-certifikat. Vi rekommenderar att du använder certifikat som utfärdas av en offentlig partnercertifikatutfärdare (CA).
- Varje Integration Runtime-nod måste lita på det här certifikatet.
- Vi rekommenderar CERTIFIKAT för alternativt namn på certifikatmottagare (SAN) eftersom alla fullständigt kvalificerade domännamn (FQDN) för Integration Runtime-noder måste skyddas av det här certifikatet. (WCF TLS/SSL kontrollerar endast att det senaste DNS-namnet i SAN har åtgärdats i .NET Framework 4.6.1. Mer information finns i Riskreducering: X509CertificateClaimSet.FindClaims-metoden.)
- Jokerteckencertifikat (*) stöds inte.
- Certifikatet måste ha en privat nyckel (som PFX-format).
- Certifikatet kan använda valfri nyckelstorlek som stöds av Windows Server 2012 R2 för TLS/SSL-certifikat.
- Hittills har vi bara stöd för CSP-certifikat (kryptografiprovider). Certifikat som använder CNG-nycklar (nyckellagringsprovider) stöds inte.
Steg
Kör powershell-kommandot nedan på alla datorer för att hämta deras FQDN:
[System.Net.Dns]::GetHostByName("localhost").HostName
FQDN:erna är till exempel node1.domain.contoso.com och node2.domain.contoso.com.
Generera ett certifikat med FQDN för alla datorer i Alternativt namn för certifikatmottagare.
Installera certifikatet på alla noder på den lokala datorn –>Personligt så att det kan väljas i konfigurationshanteraren för Integration Runtime:
Klicka på certifikatet och installera det.
Välj Lokal dator och ange lösenordet.
Välj Placera alla certifikat i följande arkiv. Klicka på Browse (Bläddra). Välj Personligt.
Välj Slutför för att installera certifikatet.
Aktivera fjärråtkomst från intranätet:
Under den lokala integrationskörningens nodregistrering:
Välj Aktivera fjärråtkomst från intranätet och välj Nästa.
Ange Tcp-porten (8060 som standard). Kontrollera att porten är öppen i brandväggen.
Klicka på Välj. I popup-fönstret väljer du rätt certifikat och sedan Slutför.
När den lokala integrationskörningsnoden har registrerats:
Anteckning
Integration Runtime med egen värd kan bara ändra inställningarna för fjärråtkomst när den har en enda nod, vilket är avsiktligt. Annars går det inte att markera alternativknappen.
Gå till lokalt installerad Integration Runtime Configuration Manager ->Inställningar ->Fjärråtkomst från intranätet. Klicka på Ändra.
Välj Aktivera med TLS/SSL-certifikat (avancerat).
Klicka på Välj. Välj rätt certifikat i popup-fönstret och välj OK.
Kontrollera inställningarna för fjärråtkomst i Integration Runtime Configuration Manager med egen värd.
Använda ett självsignerat certifikat om du inte har det offentligt betrodda certifikatet:
Generera och exportera ett självsignerat certifikat (det här steget kan hoppas över om du redan har certifikatet):
Generera ett självsignerat certifikat via PowerShell (med utökade privilegier):
New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
Om du vill exportera det genererade certifikatet med en privat nyckel till en lösenordsskyddad PFX-fil behöver du dess tumavtryck. Den kan kopieras från resultatet av
New-SelfSignedCertificate
kommandot. Det ärCEB5B4372AA7BF877E56BCE27542F9F0A1AD197F
till exempel .Exportera det genererade certifikatet med den privata nyckeln via PowerShell (med förhöjd behörighet):
$CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText Export-PfxCertificate -Cert cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword
Du har exporterat certifikatet med den privata nyckeln till C:\self-signedcertificate.pfx.
Installera certifikatet på alla noder till: Lokal dator –>Arkiv för betrodda rotcertifikatutfärdare:
- Klicka på certifikatet och installera det.
- Välj Lokal dator och ange lösenordet.
- Välj Placera alla certifikat i följande arkiv. Klicka på Browse (Bläddra). Välj Betrodda rotcertifikatutfärdare.
- Välj Slutför för att installera certifikatet.
Felsökning
Kontrollera att certifikatet finns i målarkivet:
Följ den här proceduren Gör så här : Visa certifikat med MMC-snapin-modulen – WCF för att visa certifikat (lokal dator) i MMC-snapin-modulen.
Bekräfta att certifikatet har installerats i arkivet Personliga och betrodda rotcertifikatutfärdare (om det är ett självsignerat certifikat).
Kontrollera att certifikatet har en privat nyckel och inte har upphört att gälla.
Kontrollera att tjänstkontot för lokalt installerad integrationskörning (standardkontot är NT SERVICE\DIAHostService) har läsbehörighet till certifikatets privata nycklar:
Högerklicka på certifikatet ->Alla uppgifter ->Hantera privata nycklar.
Om nej beviljar du behörigheten Tillämpa och spara.