Chứng chỉ bảo mật bắt buộc do khách hàng cung cấp
Microsoft Azure Stack Hub có mạng cơ sở hạ tầng công cộng chứa các địa chỉ IP công cộng hoặc có thể truy cập bên ngoài được gán cho một nhóm nhỏ các dịch vụ Azure Stack Hub, phần còn lại được sử dụng bởi các máy ảo đối tượng thuê. Cung cấp chứng chỉ có tên DNS thích hợp cho các điểm cuối cơ sở hạ tầng công cộng Azure Stack Hub này.
Có một số hạn chế về chứng chỉ trong phiên bản Azure Stack Hub hiện tại. Yêu cầu chứng chỉ để triển khai Azure Stack Hub là:
- Chứng chỉ phải được cấp từ cơ quan cấp chứng chỉ nội bộ hoặc cơ quan cấp chứng chỉ công cộng. Nếu cơ quan cấp chứng chỉ công cộng được sử dụng thì cơ quan này phải được đưa vào hình ảnh hệ điều hành cơ sở như một phần của Chương trình cơ quan cấp quyền gốc đáng tin cậy của Microsoft. Để biết danh sách đầy đủ, hãy xem Chương trình chứng chỉ gốc đáng tin cậy của TechNet Microsoft: Người tham gia .
- Cơ sở hạ tầng Azure Stack Hub của bạn phải có quyền truy cập mạng vào vị trí Danh sách thu hồi chứng chỉ (CRL) của tổ chức phát hành chứng chỉ được xuất bản trong chứng chỉ. CRL này phải là điểm cuối HTTP.
- Khi bạn xoay vòng chứng chỉ, chứng chỉ phải được cấp từ cùng một cơ quan cấp chứng chỉ nội bộ được sử dụng để ký các chứng chỉ được cung cấp khi triển khai hoặc bất kỳ cơ quan cấp chứng chỉ công khai nào từ CRL.
- Chứng chỉ có thể là một chứng chỉ ký tự đại diện duy nhất bao gồm tất cả các không gian tên trong trường Tên thay thế chủ đề (SAN). Ngoài ra, bạn có thể sử dụng các chứng chỉ riêng lẻ bằng ký tự đại diện cho điểm cuối, chẳng hạn như ACS và Key Vault, nếu cần.
- Thuật toán chữ ký chứng chỉ không thể là SHA1; nó phải mạnh mẽ hơn.
- Định dạng chứng chỉ phải là PFX vì cả khóa chung và khóa riêng đều được yêu cầu để cài đặt Azure Stack Hub.
- Các tệp PFX chứng chỉ phải có các giá trị Chữ ký số và Mã hóa khóa trong trường Sử dụng khóa .
- Tệp PFX chứng chỉ phải có các giá trị Xác thực máy chủ (1.3.6.1.5.5.7.3.1) và Xác thực ứng dụng khách (1.3.6.1.5.5.7.3.2) trong trường Sử dụng khóa nâng cao .
- Trường chứng chỉ được cấp cho: không được giống với trường do: cấp.
- Mật khẩu cho tất cả các tệp PFX chứng chỉ phải giống nhau tại thời điểm triển khai.
- Mật khẩu cho chứng chỉ PFX phải là mật khẩu phức tạp.
- Tên chủ đề và tên thay thế chủ đề trong phần mở rộng SAN (x509v3_config) phải khớp nhau. Trường tên thay thế chủ đề cho phép bạn chỉ định tên máy chủ bổ sung (trang web, địa chỉ IP, tên chung) sẽ được bảo vệ bằng một chứng chỉ SSL duy nhất.
Chứng chỉ bắt buộc
Bảng sau đây mô tả các chứng chỉ PKI điểm cuối công khai của Microsoft Azure Stack Hub được yêu cầu cho cả quá trình triển khai AAD và ADFS Azure Stack Hub. Yêu cầu chứng chỉ được nhóm theo khu vực, không gian tên được sử dụng và chứng chỉ được yêu cầu cho từng không gian tên. Bảng này cũng mô tả thư mục mà nhà cung cấp giải pháp của bạn sao chép các chứng chỉ khác nhau cho mỗi điểm cuối công khai.
Thư mục triển khai | Đối tượng chứng chỉ bắt buộc và SAN |
Phạm vi (mỗi khu vực) |
Không gian tên miền phụ |
Cổng thông tin công cộng | cổng thông tin.<khu vực>.<fqdn> | Cổng thông tin | <khu vực>.<fqdn> |
Cổng quản trị | cổng thông tin quản trị.<khu vực>.<fqdn> | Cổng thông tin | <khu vực>.<fqdn> |
Trình quản lý tài nguyên Azure công khai | quản lý.<khu vực>.<fqdn> | Trình quản lý tài nguyên Azure | <khu vực>.<fqdn> |
Quản trị viên quản lý tài nguyên Azure | quản lý quản trị.<khu vực>.<fqdn> | Trình quản lý tài nguyên Azure | <khu vực>.<fqdn> |
ACSBlob |
*.blob.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Bộ nhớ blob | blob.<khu vực>.<fqdn> |
ACSTable |
*.table.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Lưu trữ bảng | bảng.<khu vực>.<fqdn> |
Hàng đợi ACS |
*.queue.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Lưu trữ hàng đợi | hàng đợi.<khu vực>.<fqdn> |
KeyVault |
*.vault.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Kho chìa khóa | vault.<khu vực>.<fqdn> |
KeyVaultNội bộ |
*.adminvault.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Keyvault nội bộ | quản trị viên.<khu vực>.<fqdn> |
Máy chủ mở rộng |
*.hosting.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Máy chủ mở rộng | lưu trữ.<khu vực>.<fqdn> |
*.adminhosting.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Máy chủ mở rộng | adminhosting. <khu vực>.<fqdn> |
Sử dụng chứng chỉ có tên DNS thích hợp cho từng điểm cuối cơ sở hạ tầng công cộng Azure Stack Hub. Mỗi tên DNS điểm cuối được thể hiện theo định dạng sau: <tiền tố>.<khu vực>.<fqdn>.
Để triển khai, các giá trị [khu vực] và [externalfqdn] phải khớp với khu vực và tên miền bên ngoài mà bạn chọn cho hệ thống Azure Stack Hub của mình. Ví dụ: nếu tên vùng là “Redmond” và tên miền bên ngoài là “company.com”, thì tên DNS có định dạng < tiền tố >.redmond.company.com. Microsoft chỉ định trước các giá trị < tiền tố > để mô tả điểm cuối được chứng chỉ bảo mật. Ngoài ra, các giá trị < tiền tố > của điểm cuối cơ sở hạ tầng bên ngoài phụ thuộc vào dịch vụ Azure Stack Hub sử dụng điểm cuối cụ thể.
Đối với môi trường Azure Stack Hub trên các phiên bản phát hành trước năm 1803, hãy xem bảng sau. Nếu triển khai Azure Stack Hub bằng chế độ triển khai AAD, bạn chỉ cần yêu cầu các chứng chỉ được liệt kê.
Thư mục triển khai | Đối tượng chứng chỉ bắt buộc và SAN | Phạm vi (mỗi khu vực) | Không gian tên miền phụ |
Cổng thông tin công cộng | cổng thông tin.<khu vực>.<fqdn> | Cổng thông tin | <khu vực>.<fqdn> |
Cổng quản trị | cổng thông tin quản trị.<khu vực>.<fqdn> | Cổng thông tin | <khu vực>.<fqdn> |
Trình quản lý tài nguyên Azure công khai | quản lý.<khu vực>.<fqdn> | Trình quản lý tài nguyên Azure | <khu vực>.<fqdn> |
Quản trị viên quản lý tài nguyên Azure | quản lý quản trị.<khu vực>.<fqdn> | Trình quản lý tài nguyên Azure | <khu vực>.<fqdn> |
ACS |
Một chứng chỉ ký tự đại diện nhiều tên miền phụ với Chủ đề Tên thay thế cho: *.blob.<khu vực>.<fqdn> *.queue.<khu vực>.<fqdn> *.table.<khu vực>.<fqdn> |
Kho |
blob.<khu vực>.<fqdn> bảng.<khu vực>.<fqdn> hàng đợi.<khu vực>.<fqdn> |
KeyVault |
*.vault.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Kho chìa khóa | vault.<khu vực>.<fqdn> |
KeyVaultNội bộ |
*.adminvault.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
Keyvault nội bộ | quản trị viên.<khu vực>.<fqdn> |
Tuy nhiên, nếu triển khai Azure Stack Hub bằng chế độ triển khai ADFS, bạn cũng phải yêu cầu các chứng chỉ được mô tả trong bảng sau.
Thư mục triển khai | Đối tượng chứng chỉ bắt buộc và SAN | Phạm vi (mỗi khu vực) | Không gian tên miền phụ |
ADFS |
adfs.<khu vực>.<fqdn> (Chứng chỉ SSL) |
ADFS | <khu vực>.<fqdn> |
đồ thị |
đồ thị.<khu vực>.<fqdn> (Chứng chỉ SSL) |
đồ thị | <khu vực>.<fqdn> |
Chứng chỉ PaaS tùy chọn
Lưu ý Tất cả các chứng chỉ được liệt kê trong phần này phải có cùng mật khẩu.
Nếu bạn dự định triển khai các dịch vụ Azure Stack Hub PaaS bổ sung (SQL, MySQL và App Service) sau khi Azure Stack Hub được triển khai và đặt cấu hình, bạn phải yêu cầu chứng chỉ bổ sung để bao gồm các điểm cuối của dịch vụ PaaS.
Bảng sau đây mô tả các điểm cuối và chứng chỉ cần thiết cho bộ điều hợp SQL và MySQL cũng như cho Dịch vụ ứng dụng. Bạn không cần sao chép các chứng chỉ này vào thư mục triển khai Azure Stack Hub. Thay vào đó, hãy cung cấp các chứng chỉ này khi bạn cài đặt các nhà cung cấp tài nguyên bổ sung.
Giấy chứng nhận |
Phạm vi (mỗi khu vực) |
Đối tượng chứng chỉ bắt buộc và SAN | Không gian tên miền phụ |
SQL và MySQL | SQL, MySQL |
*.dbadapter.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện) |
dbadapter.<khu vực>.<fqdn> |
Chứng chỉ SSL mặc định của lưu lượng truy cập web | Dịch vụ ứng dụng |
*.appservice.<khu vực>.<fqdn> *.scm.appservice.<khu vực>.<fqdn> *.sso.appservice.<khu vực>.<fqdn> (Chứng chỉ SSL ký tự đại diện đa miền) |
dịch vụ ứng dụng.<khu vực>.<fqdn> scm.appservice.<khu vực>.<fqdn> |
API | Dịch vụ ứng dụng |
api.appservice.<khu vực>.<fqdn> (Chứng chỉ SSL) |
dịch vụ ứng dụng.<khu vực>.<fqdn> scm.appservice.<khu vực>.<fqdn> |
FTP | Dịch vụ ứng dụng |
ftp.appservice.<khu vực>.<fqdn> (Chứng chỉ SSL) |
dịch vụ ứng dụng.<khu vực>.<fqdn> scm.appservice.<khu vực>.<fqdn> |
SSO | Dịch vụ ứng dụng |
sso.appservice.<khu vực>.<fqdn> (Chứng chỉ SSL) |
dịch vụ ứng dụng.<khu vực>.<fqdn> scm.appservice.<khu vực>.<fqdn> |
Yêu cầu về chứng chỉ và xác nhận
Công cụ Kiểm tra mức độ sẵn sàng của Microsoft Azure Stack Hub có sẵn trong Thư viện PowerShell . Công cụ này tạo Yêu cầu ký chứng chỉ (CSR) để triển khai Azure Stack Hub. Chứng chỉ phải được yêu cầu, tạo và xác thực với đủ thời gian để kiểm tra trước khi triển khai.
Công cụ Trình kiểm tra tính sẵn sàng của ngăn xếp Azure (AzsReadinessChecker) thực hiện các yêu cầu chứng chỉ sau:
- Yêu cầu chứng chỉ tiêu chuẩn —Yêu cầu theo Tạo chứng chỉ PKI để triển khai ngăn xếp Azure
- Loại yêu cầu —Xác định xem Yêu cầu ký chứng chỉ là một yêu cầu hay nhiều yêu cầu
- Nền tảng dưới dạng dịch vụ (PaaS )—Tùy chọn yêu cầu tên PaaS cho chứng chỉ, như được chỉ định trong yêu cầu chứng chỉ cơ sở hạ tầng khóa công khai của Azure Stack Hub > Chứng chỉ PaaS tùy chọn
Chứng chỉ máy chủ mở rộng bắt buộc
Việc triển khai Máy chủ mở rộng của Microsoft yêu cầu hai chứng chỉ SSL ký tự đại diện, một cho cổng quản trị và một cho cổng thông tin đối tượng thuê. Khách hàng đã triển khai hệ thống Azure Stack Hub phải cung cấp hai chứng chỉ bổ sung này.
Xác thực chứng chỉ
Bạn có thể sử dụng công cụ Azure Stack Readiness Checker để xác thực rằng chứng chỉ PKI được tạo có phù hợp để triển khai trước hay không. Khi bạn xác thực chứng chỉ, hãy sắp xếp đủ thời gian để kiểm tra và cấp lại chứng chỉ nếu cần.
Yêu cầu về giấy phép
Đăng ký Azure bao gồm Active Directory phải có sẵn trước khi triển khai Microsoft Azure Stack Hub. Mua đăng ký này từ Dell Technologies, Microsoft hoặc các nhà cung cấp khác.
Giải pháp này bao gồm các giấy phép bắt buộc của Dell Technologies và Microsoft:
- Azure Stack Hub với Phiên bản trung tâm dữ liệu Microsoft Windows Server 2019
Cấp phép Azure Stack Hub
Giải pháp này được cấp phép thông qua việc tính toán mức sử dụng và tính phí theo mức sử dụng. Mức sử dụng Azure Stack Hub bao gồm cả khối lượng công việc trên đám mây công cộng và riêng tư. Microsoft tổng hợp thông tin đo lường cho việc sử dụng này theo định kỳ. Các tùy chọn cấp phép duy nhất có thể được sử dụng để thanh toán mức sử dụng Azure Stack Hub là các thỏa thuận doanh nghiệp (EA) và chương trình Nhà cung cấp giải pháp đám mây (CSP).
Để biết thêm thông tin, hãy xem Giá của Microsoft Azure Stack Hub .
Thỏa thuận doanh nghiệp lý tưởng cho các tổ chức đã sử dụng EA cho các chương trình phần mềm khác của Microsoft. EA cung cấp quyền kiểm soát hoàn toàn các đăng ký Azure chạy trên giải pháp ngăn xếp. Việc sử dụng Azure Stack Hub được áp dụng cho cam kết tài chính trong EA và hỗ trợ cho các dịch vụ Azure được cung cấp trực tiếp từ Microsoft. EA cũng là phương pháp duy nhất cấp phép cho Azure Stack Hub nếu bạn muốn chạy nó ở chế độ ngắt kết nối. Mô hình dung lượng này yêu cầu đăng ký hàng năm.
Với tư cách là nhà cung cấp Azure CSP Trực tiếp và Gián tiếp, Dell Technologies cung cấp giấy phép dựa trên mức tiêu dùng trên Azure Stack Hub cho các tổ chức doanh nghiệp và đối tác kênh. Thông qua CSP, Dell Technologies cung cấp dịch vụ bán hàng, cung cấp, thanh toán và hỗ trợ. Dell Technologies gửi hóa đơn cho khách hàng doanh nghiệp hàng tháng nhưng thỏa thuận CSP không có tính chất hợp đồng. Các đối tác của Dell Technologies sử dụng chương trình CSP Gián tiếp sẽ lập hóa đơn cho khách hàng cuối của họ theo định dạng mà khách hàng chọn để sử dụng Azure, cho dù đi kèm với các dịch vụ khác hay truyền qua.
Bài viết mới cập nhật
Thuần hóa sự hỗn loạn của công nghệ: Giải pháp phục hồi sáng tạo của Dell
Sự cố CNTT nghiêm trọng ảnh hưởng đến 8,5 triệu hệ ...
Dell PowerScale và Marvel hợp tác để tạo ra quy trình làm việc truyền thông tối ưu
Hiện đang ở thế hệ thứ 9, giải pháp lưu trữ Dell ...
Bảo mật PowerScale OneFS SyncIQ
Trong thế giới sao chép dữ liệu, việc đảm bảo tính ...
Danh sách kiểm tra cơ sở bảo mật PowerScale
Là một biện pháp bảo mật tốt nhất, chúng tôi khuyến ...