Certificado de autenticação do servidor CMG

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

O primeiro passo quando configura um gateway de gestão da cloud (CMG) é obter o certificado de autenticação do servidor. O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se ligam. O servidor requer um certificado de autenticação de servidor para criar o canal seguro. Pode adquirir um certificado para esta finalidade a partir de um fornecedor público ou emiti-lo a partir da sua infraestrutura de chaves públicas (PKI).

Quando cria o CMG na consola do Configuration Manager, fornece este certificado. O nome comum (CN) deste certificado define o nome do serviço do CMG.

Observação

Poderá precisar de certificados adicionais para clientes e pontos de gestão. Estes certificados são abrangidos no terceiro passo do processo de configuração do CMG, Configurar autenticação de cliente.

Um lembrete de alguma terminologia cmg utilizada neste artigo:

  • Nome do serviço: o nome comum (CN) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de sites do ponto de ligação CMG comunicam com este nome de serviço. Por exemplo: GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome da implementação: a primeira parte do nome do serviço e a localização do Azure para a implementação do serviço cloud. O componente do gestor de serviços cloud do ponto de ligação de serviço utiliza este nome quando implementa o CMG no Azure. O nome da implementação está sempre num domínio do Azure. A localização do Azure depende do método de implementação, por exemplo:

    • Conjunto de dimensionamento de máquinas virtuais: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Implementação clássica: GraniteFalls.CloudApp.Net

    Importante

    Este artigo utiliza exemplos com um conjunto de dimensionamento de máquinas virtuais como o método de implementação recomendado na versão 2107 e posterior. Se utilizar uma implementação clássica, tenha em atenção a diferença ao ler este artigo e preparar o certificado de autenticação do servidor.

Escolher o tipo de certificado

Primeiro, decida onde pretende obter o certificado. Existem vários fatores a considerar.

Os clientes têm de confiar no certificado de autenticação do servidor CMG para estabelecer o canal HTTPS com o serviço CMG. Existem dois métodos para alcançar esta confiança:

  1. Utilize um certificado de um fornecedor de certificados público e globalmente fidedigno.

    • Os clientes Windows incluem autoridades de certificação de raiz fidedigna (ACs) destes fornecedores. Ao utilizar um certificado emitido por um destes fornecedores, os seus clientes confiam automaticamente no mesmo.

    • Existe um custo associado a este certificado, que é específico do fornecedor.

  2. Utilize um certificado emitido por uma AC empresarial a partir da sua infraestrutura de chaves públicas (PKI).

    • A maioria das implementações de PKI empresariais adiciona as ACs de raiz fidedigna aos clientes Windows. Por exemplo, se utilizar os Serviços de Certificados do Active Directory com a política de grupo. Se emitir o certificado de autenticação do servidor CMG a partir de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado de raiz fidedigna da AC aos clientes baseados na Internet.

      Se planear instalar o cliente do Configuration Manager a partir do Intune, também pode utilizar perfis de certificado do Intune para aprovisionar certificados em clientes. Para obter mais informações, veja Configurar um perfil de certificado.

    • A sua organização pode ter um custo interno para emitir certificados, mas geralmente não existem custos externos associados a este certificado.

Importante

Antes de obter este certificado, certifique-se de que o nome do serviço é globalmente exclusivo para o serviço cloud e a conta de armazenamento. Certifique-se também de que o nome utiliza carateres suportados. Para obter mais informações, veja Nome exclusivo global.

Comparação de resumo dos tipos de certificado

Fornecedor público Enterprise PKI
Confiança do cliente Fidedigno no Windows por predefinição Automático com algumas implementações, caso contrário, tem de implementar
Custo Sim Não é típico
Exemplo de nome de serviço GraniteFalls.contoso.com GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME necessário Sim Não para o nome do serviço de domínio do Azure (GraniteFalls.WestUS.CloudApp.Azure.Com)

Observação

O certificado de autenticação do servidor CMG suporta carateres universais. Algumas autoridades de certificação emitem certificados com um caráter universal para o prefixo do nome do serviço. Por exemplo, *.contoso.com. Algumas organizações utilizam certificados de caráter universal para simplificar a PKI e reduzir os custos de manutenção.

Para obter mais informações sobre como utilizar um certificado de caráter universal com um CMG, veja Configurar um CMG.

Nome exclusivo global

Este certificado requer um nome globalmente exclusivo para identificar o serviço no Azure. Antes de pedir um certificado, confirme que o nome de implementação do Azure que pretende é exclusivo. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

Conjunto de dimensionamento de máquinas virtuais

  1. Entre no portal do Azure.

  2. Na home page do portal do Azure, selecione Criar um recurso em Serviços do Azure.

  3. Procure Conjunto de dimensionamento de máquinas virtuais. Selecione Criar.

  4. Selecione a Subscrição e o Grupo de recursos que irá utilizar para o CMG.

  5. No campo Nome do conjunto de dimensionamento de máquinas virtuais , escreva o prefixo pretendido. Por exemplo, GraniteFalls.

  6. Selecione a Região que irá utilizar para o CMG. Por exemplo, (E.U.A.) E.U.A. Oeste.

A interface reflete se o nome de domínio está disponível ou já está a ser utilizado por outro serviço.

Importante

Não crie o serviço no portal, basta utilizar este processo para verificar a disponibilidade do nome.

Repita este processo para o recurso do Key Vault . A implementação do conjunto de dimensionamento de máquinas virtuais cria um cofre de chaves com o mesmo nome, que também tem de ser globalmente exclusivo.

Conta de armazenamento CMG compatível com conteúdo

Se também ativar o CMG para conteúdo, confirme que também é um nome exclusivo da conta de armazenamento do Azure. Se o nome da implementação do CMG for exclusivo, mas a conta de armazenamento não for, o Configuration Manager não aprovisiona o serviço no Azure. Repita o processo acima no portal do Azure com as seguintes alterações:

  • Procure Conta de armazenamento.

  • Teste o seu nome no campo Nome da conta de armazenamento .

Importante

O prefixo de nome DNS deve ter entre 3 e 24 carateres e conter apenas números e letras minúsculas. Não utilize carateres especiais, como um travessão (-). Por exemplo: granitefalls.

Emitir o certificado

O certificado de autenticação do servidor CMG suporta as seguintes configurações:

  • Comprimento da chave de 2048 bits ou 4096 bits

  • Este certificado suporta fornecedores de armazenamento chave para chaves privadas de certificado (v3). Para obter mais informações, veja Descrição geral dos certificados CNG v3.

Utilizar um certificado de fornecedor público

Um fornecedor de certificados de terceiros não pode criar um certificado para um domínio do Azure como cloudapp.azure.com, porque a Microsoft é proprietária desses domínios. Só pode obter um certificado emitido para um domínio que possua. O principal motivo para adquirir um certificado de um fornecedor de terceiros é que os seus clientes já confiam no certificado de raiz desse fornecedor.

O processo específico para obter este certificado varia consoante o fornecedor. Para obter mais informações, contacte o seu fornecedor de certificados de terceiros.

Para o nome comum do certificado de servidor Web (CN):

  • Confirmou que o nome da implementação é globalmente exclusivo no Azure para o serviço cloud e a conta de armazenamento. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome do serviço, acrescente o prefixo de nome de implementação (GraniteFalls) ao nome de domínio da sua organização (contoso.com).

  • Utilize este nome de serviço para o nome comum do certificado (CN). Por exemplo, GraniteFalls.contoso.com.

Em seguida, tem de criar um alias DNS CNAME.

Utilizar um certificado PKI empresarial

A emissão de um certificado de servidor Web a partir da PKI da sua organização varia consoad de produto. As instruções para Implementar o certificado de serviço para pontos de distribuição baseados na cloud destinam-se aos Serviços de Certificados do Active Directory. Geralmente, este processo aplica-se ao certificado de autenticação do servidor CMG.

Para o nome comum do certificado de servidor Web (CN):

  • Confirmou que o nome da implementação é globalmente exclusivo no Azure para o serviço cloud e a conta de armazenamento. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome do serviço, tem duas opções:

    • Utilize o seu nome de domínio (recomendado). Acrescente o prefixo de nome de implementação (GraniteFalls) ao nome de domínio da sua organização (contoso.com). Por exemplo, GraniteFalls.contoso.com. Para esta opção, também tem de criar um alias CNAME DNS.

    • Utilize o nome da implementação do Azure. Esta opção não requer um alias CNAME DNS. Por exemplo:

      • Para a cloud pública do Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Para a cloud do Azure US Government: GraniteFalls.usgovcloudapp.net.

      Observação

      Se o nome da implementação do Azure for alterado, terá de reimplementar o serviço para alterar este nome de serviço. Por exemplo, se o nome do cloudapp.net serviço estiver no domínio, não poderá converter o CMG do serviço cloud clássico num conjunto de dimensionamento de máquinas virtuais. Se utilizar o nome de domínio para o nome do serviço CMG, pode atualizar o CNAME de DNS para o novo nome de implementação.

  • Utilize este nome de serviço para o nome comum do certificado (CN).

Criar um alias CNAME DNS

Se o nome do serviço CMG utilizar o nome de domínio da sua organização (GraniteFalls.contoso.com), terá de criar um registo de nome canónico DNS (CNAME). Este alias mapeia o nome do serviço para o nome da implementação.

Crie um registo CNAME no DNS público da sua organização. O serviço CMG no Azure e todos os clientes que o utilizam precisam de resolver o nome do serviço. Por exemplo:

  • A Contoso atribui o nome GraniteFalls aos respetivos CMGs.

  • O nome da implementação no Azure é GraniteFalls.WestUS.CloudApp.Azure.Com.

  • No espaço de nomes DNS contoso.com público da Contoso, o administrador DNS cria um novo registo CNAME para o nome GraniteFalls.contoso.com do serviço para o nome da implementação do Azure, GraniteFalls.WestUS.CloudApp.Azure.Com.

Quando cria o CMG, enquanto o certificado tem GraniteFalls.contoso.com como CN, o Configuration Manager extrai apenas o prefixo do nome do serviço, por exemplo: GraniteFalls. Acrescenta este prefixo ao domínio de serviço do Azure (cloudapp.azure.com) com a região (westus) para criar o nome da implementação. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com. O alias CNAME no espaço de nomes DNS do seu domínio (contoso.com) mapeia estes dois FQDNs.

A política de cliente do Configuration Manager inclui o nome do serviço CMG, GraniteFalls.contoso.com. O cliente resolve o nome do serviço através do alias CNAME para o nome da implementação, GraniteFalls.WestUS.CloudApp.Azure.Com. Em seguida, pode resolver o endereço IP do nome da implementação para comunicar com o serviço no Azure.

Próximas etapas

Continue a configuração do CMG ao configurar o Microsoft Entra ID:

Configurar o ID do Microsoft Entra