Certifikatkrav för Azure Stack Hub Public Key Infrastructure (PKI)

Azure Stack Hub har ett offentligt infrastrukturnätverk med externt tillgängliga offentliga IP-adresser tilldelade till en liten uppsättning Azure Stack Hub-tjänster och eventuellt virtuella klientdatorer. PKI-certifikat med lämpliga DNS-namn för dessa slutpunkter för offentlig infrastruktur i Azure Stack Hub krävs under Azure Stack Hub-distributionen. Den här artikeln innehåller information om:

  • Certifikatkrav för Azure Stack Hub.
  • Obligatoriska certifikat som krävs för Azure Stack Hub-distribution.
  • Valfria certifikat som krävs vid distribution av resursproviders för mervärde.

Anteckning

Azure Stack Hub använder som standard även certifikat som utfärdats från en intern Active Directory-integrerad certifikatutfärdare (CA) för autentisering mellan noderna. För att verifiera certifikatet litar alla Azure Stack Hub-infrastrukturdatorer på rotcertifikatet för den interna certifikatutfärdare genom att lägga till certifikatet i sitt lokala certifikatarkiv. Det går inte att fästa eller filtrera certifikat i Azure Stack Hub. SAN för varje servercertifikat verifieras mot målets FQDN. Hela förtroendekedjan verifieras också, tillsammans med certifikatets förfallodatum (standard-TLS-serverautentisering utan certifikatanslutning).

Certifikatkrav

I följande lista beskrivs allmänna krav för certifikatutfärdning, säkerhet och formatering:

  • Certifikat måste utfärdas från antingen en intern certifikatutfärdare eller en offentlig certifikatutfärdare. Om en offentlig certifikatutfärdare används måste den ingå i den grundläggande operativsystemavbildningen som en del av Microsoft Trusted Root Authority Program. En fullständig lista finns i Lista över deltagare – Microsofts betrodda rotprogram.
  • Din Azure Stack Hub-infrastruktur måste ha nätverksåtkomst till certifikatutfärdares crl-plats (Certificate Revocation List) som publicerats i certifikatet. Denna CRL måste vara en http-slutpunkt. Obs! För frånkopplade distributioner stöds inte certifikat som utfärdats av en offentlig certifikatutfärdare (CA) om CRL-slutpunkten inte är tillgänglig. Mer information finns i Funktioner som är nedsatta eller otillgängliga i frånkopplade distributioner.
  • När du roterar certifikat i versioner före 1903 måste certifikat antingen utfärdas från samma interna certifikatutfärdare som används för att signera certifikat som tillhandahålls vid distributionen eller från någon offentlig certifikatutfärdare ovan.
  • När du roterar certifikat för version 1903 och senare kan certifikat utfärdas av alla företags- eller offentliga certifikatutfärdare.
  • Användning av självsignerade certifikat stöds inte.
  • För distribution och rotation kan du antingen använda ett enda certifikat som täcker alla namnutrymmen i certifikatets ämnesnamn och alternativt ämnesnamn (SAN). Du kan också använda enskilda certifikat för vart och ett av namnrymderna nedan som de Azure Stack Hub-tjänster som du planerar att använda kräver. Båda metoderna kräver att jokertecken används för slutpunkter där de krävs, till exempel KeyVault och KeyVaultInternal.
  • Algoritmen för certifikatsignatur bör inte vara SHA1.
  • Certifikatformatet måste vara PFX eftersom både offentliga och privata nycklar krävs för Azure Stack Hub-installation. Den privata nyckeln måste ha det lokala datornyckelattributet inställt.
  • PFX-krypteringen måste vara 3DES (den här krypteringen är standard när du exporterar från en Windows 10 klient eller Windows Server 2016 certifikatarkiv).
  • Certifikatets pfx-filer måste ha värdet "Digital signatur" och "KeyEncipherment" i fältet "Nyckelanvändning".
  • Certifikatets pfx-filer måste ha värdena "Serverautentisering (1.3.6.1.5.5.7.3.1)" och "Klientautentisering (1.3.6.1.5.5.7.3.2)" i fältet "Förbättrad nyckelanvändning".
  • Certifikatets "Utfärdat till:"-fält får inte vara samma som fältet "Utfärdat av:".
  • Lösenorden för alla pfx-certifikatfiler måste vara samma vid tidpunkten för distributionen.
  • Lösenord till certifikatets pfx måste vara ett komplext lösenord. Anteckna det här lösenordet eftersom du ska använda det som en distributionsparameter. Lösenordet måste uppfylla följande krav på lösenordskomplexitet:
    • En minsta längd på åtta tecken.
    • Minst tre av följande tecken: versaler, gemener, siffror mellan 0 och 9, specialtecken, alfabetiska tecken som inte är versaler eller gemener.
  • Se till att ämnesnamnen och alternativa ämnesnamnen i tillägget för alternativt ämnesnamn (x509v3_config) matchar. Med fältet alternativt ämnesnamn kan du ange ytterligare värdnamn (webbplatser, IP-adresser, gemensamma namn) som ska skyddas av ett enda SSL-certifikat.

Anteckning

Självsignerade certifikat stöds inte.
När du distribuerar Azure Stack Hub i frånkopplat läge rekommenderar vi att du använder certifikat som utfärdats av en företagscertifikatutfärdare. Detta är viktigt eftersom klienter som har åtkomst till Azure Stack Hub-slutpunkter måste kunna kontakta listan över återkallade certifikat (CRL).

Anteckning

Förekomsten av mellanliggande certifikatutfärdare i ett certifikats förtroendekedja stöds .

Obligatoriska certifikat

I tabellen i det här avsnittet beskrivs de offentliga PKI-certifikat för Azure Stack Hub-slutpunkter som krävs för både Microsoft Entra-ID och AD FS Azure Stack Hub-distributioner. Certifikatkraven grupperas efter område, de namnområden som används och de certifikat som krävs för varje namnområde. Tabellen beskriver också mappen där din lösningsleverantör kopierar de olika certifikaten per offentlig slutpunkt.

Certifikat med lämpliga DNS-namn för varje slutpunkt för offentlig infrastruktur i Azure Stack Hub krävs. Varje slutpunkts DNS-namn uttrycks i formatet: <prefix>.<region>.<fqdn>.

För din distribution <måste värdena för region> och <fqdn> matcha den region och de externa domännamn som du har valt för Ditt Azure Stack Hub-system. Om regionen till exempel är Redmond och det externa domännamnet är contoso.com har DNS-namnen formatet <prefix.redmond.contoso.com>. Prefixvärdena<> är fördesignade av Microsoft för att beskriva slutpunkten som skyddas av certifikatet. Dessutom <beror prefixvärdena> för slutpunkterna för den externa infrastrukturen på den Azure Stack Hub-tjänst som använder den specifika slutpunkten.

För produktionsmiljöerna rekommenderar vi att enskilda certifikat genereras för varje slutpunkt och kopieras till motsvarande katalog. För utvecklingsmiljöer kan certifikat tillhandahållas som ett enskilt jokerteckencertifikat som täcker alla namnrymder i fälten Ämne och Alternativt namn för certifikatmottagare (SAN) som kopierats till alla kataloger. Ett enda certifikat som omfattar alla slutpunkter och tjänster är en osäker hållning och därmed endast utveckling. Kom ihåg att båda alternativen kräver att du använder jokerteckencertifikat för slutpunkter som acs och Key Vault där de krävs.

Anteckning

Under distributionen måste du kopiera certifikat till distributionsmappen som matchar den identitetsprovider som du distribuerar mot (Microsoft Entra-ID eller AD FS). Om du använder ett enda certifikat för alla slutpunkter måste du kopiera certifikatfilen till varje distributionsmapp enligt beskrivningen i följande tabeller. Mappstrukturen är förbyggd på den virtuella distributionsdatorn och finns på: C:\CloudDeployment\Setup\Certificates.

Distributionsmapp Obligatoriskt certifikatmottagare och alternativa namn på certifikatmottagare (SAN) Omfång (per region) Namnområde för underdomän
Offentlig portal Portal.<region>.<Fqdn> Portaler <region>.<Fqdn>
Administratörsportal adminportal.<region>.<Fqdn> Portaler <region>.<Fqdn>
Azure Resource Manager Public Management.<region>.<Fqdn> Azure Resource Manager <region>.<Fqdn>
Azure Resource Manager Admin adminmanagement.<region>.<Fqdn> Azure Resource Manager <region>.<Fqdn>
ACSBlob *.Blob.<region>.<Fqdn>
(SSL-certifikat med jokertecken)
Blob Storage Blob.<region>.<Fqdn>
ACSTable *.Tabell.<region>.<Fqdn>
(SSL-certifikat med jokertecken)
Table Storage Tabell.<region>.<Fqdn>
ACSQueue *.Kö.<region>.<Fqdn>
(SSL-jokerteckencertifikat)
Queue Storage Kö.<region>.<Fqdn>
KeyVault *.Valv.<region>.<Fqdn>
(SSL-jokerteckencertifikat)
Key Vault Valv.<region>.<Fqdn>
KeyVaultInternal *.adminvault.<region>.<Fqdn>
(SSL-jokerteckencertifikat)
Intern nyckelvalv adminvault.<region>.<Fqdn>
Admin-tilläggsvärd *.adminhosting.<region>.<fqdn> (SSL-jokerteckencertifikat) Admin-tilläggsvärd adminhosting.<region>.<Fqdn>
Värd för offentligt tillägg *.Hosting.<region>.<fqdn> (SSL-jokerteckencertifikat) Värd för offentligt tillägg Hosting.<region>.<Fqdn>

Om du distribuerar Azure Stack Hub med Microsoft Entra distributionsläge behöver du bara begära certifikaten som anges i föregående tabell. Men om du distribuerar Azure Stack Hub med hjälp av AD FS-distributionsläget måste du också begära certifikaten som beskrivs i följande tabell:

Distributionsmapp Obligatoriskt certifikatämne och alternativa namn på certifikatmottagare (SAN) Omfång (per region) Namnområde för underdomän
ADFS Adfs. <region>.<Fqdn>
(SSL-certifikat)
ADFS <region>.<Fqdn>
Graph Diagram. <region>.<Fqdn>
(SSL-certifikat)
Graph <region>.<Fqdn>

Viktigt

Alla certifikat som anges i det här avsnittet måste ha samma lösenord.

Valfria PaaS-certifikat

Om du planerar att distribuera Azure Stack Hub PaaS-tjänster (till exempel SQL, MySQL, App Service eller Event Hubs) när Azure Stack Hub har distribuerats och konfigurerats måste du begära ytterligare certifikat för att täcka slutpunkterna för PaaS-tjänsterna.

Viktigt

De certifikat som du använder för resursprovidrar måste ha samma rotutfärdare som de som används för de globala Azure Stack Hub-slutpunkterna.

I följande tabell beskrivs de slutpunkter och certifikat som krävs för resursprovidrar. Du behöver inte kopiera dessa certifikat till Azure Stack Hub-distributionsmappen. I stället anger du dessa certifikat under installationen av resursprovidern.

Omfång (per region) Certifikat Obligatoriskt certifikatämne och alternativa namn för certifikatmottagare (SAN) Namnområde för underdomän
App Service Standard-SSL-certifikat för webbtrafik *.appservice. <region>.<Fqdn>
*.scm.appservice. <region>.<Fqdn>
*.sso.appservice. <region>.<Fqdn>
(SSL-certifikat med jokertecken för flera domäner1)
appservice. <region>.<Fqdn>
scm.appservice. <region>.<Fqdn>
App Service API api.appservice. <region>.<Fqdn>
(SSL-certifikat2)
appservice. <region>.<Fqdn>
scm.appservice. <region>.<Fqdn>
App Service FTP ftp.appservice. <region>.<Fqdn>
(SSL-certifikat2)
appservice. <region>.<Fqdn>
scm.appservice. <region>.<Fqdn>
App Service Enkel inloggning sso.appservice. <region>.<Fqdn>
(SSL-certifikat2)
appservice. <region>.<Fqdn>
scm.appservice. <region>.<Fqdn>
Event Hubs SSL *.eventhub. <region>.<Fqdn>
(SSL-jokerteckencertifikat)
eventhub. <region>.<Fqdn>
SQL, MySQL SQL och MySQL *.dbadapter. <region>.<Fqdn>
(SSL-jokerteckencertifikat)
dbadapter. <region>.<Fqdn>

1 Kräver ett certifikat med flera alternativa namn på jokertecken. Flera jokertecken-SAN på ett enda certifikat kanske inte stöds av alla offentliga certifikatutfärdare.

2 A *.appservice. <region>.<FQDN-jokerteckencertifikatet> kan inte användas i stället för dessa tre certifikat (api.appservice.<region>.<fqdn>, ftp.appservice. <region>.<fqdn> och sso.appservice. <region>.<fqdn>. Appservice kräver uttryckligen att separata certifikat används för dessa slutpunkter.

Nästa steg

Lär dig hur du genererar PKI-certifikat för Azure Stack Hub-distribution.