Share via

Włączanie dostępu zdalnego z intranetu przy użyciu certyfikatu TLS/SSL (zaawansowane)

  • Artykuł

W tym samouczku dowiesz się, jak skonfigurować własne środowisko Integration Runtime z wieloma maszynami lokalnymi i włączyć dostęp zdalny z intranetu przy użyciu certyfikatu TLS/SSL (zaawansowane) w celu zabezpieczenia komunikacji między węzłami środowiska Integration Runtime.

Wymagania wstępne

  • Wprowadzenie do silnego szyfrowania SSL/TLS.
  • Certyfikat może być ogólnym certyfikatem TLS dla serwera sieci Web. Wymagania:
    • Certyfikat musi być publicznie zaufanym certyfikatem X509 v3. Zalecamy używanie certyfikatów wystawionych przez urząd certyfikacji partnera publicznego.
    • Każdy węzeł środowiska Integration Runtime musi ufać temu certyfikatowi.
    • Zalecamy certyfikaty alternatywnej nazwy podmiotu (SAN), ponieważ wszystkie w pełni kwalifikowane nazwy domen (FQDN) węzłów środowiska Integration Runtime są wymagane do zabezpieczenia przez ten certyfikat. (Sprawdzanie poprawności protokołu TLS/SSL w programie WCF tylko sprawdzanie ostatniej nazwy DNS w sieci SAN zostało naprawione w .NET Framework 4.6.1. Aby uzyskać więcej informacji, zobacz Środki zaradcze: X509CertificateClaimSet.FindClaims.
    • Certyfikaty wieloznaczne (*) nie są obsługiwane.
    • Certyfikat musi mieć klucz prywatny (na przykład format PFX).
    • Certyfikat może używać dowolnego rozmiaru klucza obsługiwanego przez Windows Server 2012 R2 dla certyfikatów TLS/SSL.
    • Do tej pory obsługujemy tylko certyfikat CSP (dostawca usług kryptograficznych). Certyfikaty korzystające z kluczy CNG (dostawcy magazynu kluczy) nie są obsługiwane.

Kroki

  1. Uruchom poniższe polecenie programu PowerShell na wszystkich maszynach, aby pobrać nazwy FQDN:

    [System.Net.Dns]::GetHostByName("localhost").HostName

    Na przykład nazwy FQDN są node1.domain.contoso.com i node2.domain.contoso.com.

  2. Wygeneruj certyfikat przy użyciu nazw FQDN wszystkich maszyn w alternatywnej nazwie podmiotu.

    Zrzut ekranu przedstawiający generowanie certyfikatu w alternatywnej nazwie podmiotu.

  3. Zainstaluj certyfikat na wszystkich węzłach na maszynie lokalnej —>Osobiste, aby można było go wybrać w menedżerze konfiguracji środowiska Integration Runtime:

    1. Kliknij certyfikat i zainstaluj go.

    2. Wybierz pozycję Maszyna lokalna i wprowadź hasło.

      Zrzut ekranu przedstawiający wybieranie komputera lokalnego.

    3. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie. Kliknij pozycję Browse (Przeglądaj). Wybierz pozycję Osobiste.

    4. Wybierz pozycję Zakończ , aby zainstalować certyfikat.

  4. Włącz dostęp zdalny z intranetu:

    1. Podczas rejestracji węzła własnego środowiska Integration Runtime:

      1. Wybierz pozycję Włącz dostęp zdalny z intranetu i wybierz pozycję Dalej.

        Zrzut ekranu przedstawiający włączanie dostępu zdalnego z intranetu.

      2. Ustaw port Tcp (domyślnie 8060). Upewnij się, że port jest otwarty w zaporze.

      3. Kliknij pozycję Wybierz. W oknie podręcznym wybierz odpowiedni certyfikat i wybierz pozycję Zakończ.

        Zrzut ekranu przedstawiający wybieranie certyfikatu.

    2. Po zarejestrowaniu węzła własnego środowiska Integration Runtime:

      Uwaga

      Własne środowisko Integration Runtime może zmienić ustawienia dostępu zdalnego tylko wtedy, gdy ma jeden węzeł, który jest zgodnie z projektem. W przeciwnym razie nie można sprawdzić przycisku radiowego.

      Zrzut ekranu przedstawiający włączanie przy użyciu certyfikatu TLS/SSL (zaawansowane).

      1. Przejdź do pozycji self-hosted Integration Runtime Configuration Manager ->Settings -Remote access from intranet (Ustawienia —>dostęp zdalny z intranetu). Kliknij przycisk Zmień.

      2. Wybierz pozycję Włącz przy użyciu certyfikatu TLS/SSL (zaawansowane).

      3. Kliknij pozycję Wybierz. W oknie podręcznym wybierz odpowiedni certyfikat i wybierz przycisk OK.

        Zrzut ekranu przedstawiający wybieranie certyfikatu.

    3. Sprawdź ustawienia dostępu zdalnego w Integration Runtime Configuration Manager hostowanej samodzielnie.

      Zrzut ekranu przedstawiający weryfikowanie ustawień dostępu zdalnego w sekcji Self-hosted Integration Runtime Configuration Manager kroku 1.

      Zrzut ekranu przedstawiający weryfikowanie ustawień dostępu zdalnego w sekcji Self-hosted Integration Runtime Configuration Manager kroku 2.

  5. Jeśli nie masz publicznie zaufanego certyfikatu, użyj certyfikatu z podpisem własnym:

    1. Generowanie i eksportowanie certyfikatu z podpisem własnym (ten krok można pominąć, jeśli masz już certyfikat):

      1. Wygeneruj certyfikat z podpisem własnym za pomocą programu PowerShell (z podwyższonym poziomem uprawnień):

        New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My

      2. Aby wyeksportować wygenerowany certyfikat z kluczem prywatnym do pliku PFX chronionego hasłem, będzie potrzebny jego odcisk palca. Można go skopiować z wyników New-SelfSignedCertificate polecenia. Na przykład jest CEB5B4372AA7BF877E56BCE27542F9F0A1AD197Fto .

      3. Wyeksportuj wygenerowany certyfikat z kluczem prywatnym za pośrednictwem programu PowerShell (z podwyższonym poziomem uprawnień):

        $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
Export-PfxCertificate -Cert
cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword

      4. Certyfikat został wyeksportowany z kluczem prywatnym do pliku C:\self-signedcertificate.pfx.

    2. Zainstaluj certyfikat we wszystkich węzłach, aby: Magazyn lokalnych maszyn ->zaufane główne urzędy certyfikacji:

      1. Kliknij certyfikat i zainstaluj go.
      2. Wybierz pozycję Maszyna lokalna i wprowadź hasło.
      3. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie. Kliknij pozycję Browse (Przeglądaj). Wybierz pozycję Zaufane główne urzędy certyfikacji.
      4. Wybierz pozycję Zakończ , aby zainstalować certyfikat.

      Zrzut ekranu przedstawiający instalację certyfikatu we wszystkich węzłach.

  6. Rozwiązywanie problemów

    1. Sprawdź, czy certyfikat istnieje w magazynie docelowym:

      1. Wykonaj następującą procedurę : Wyświetlanie certyfikatów przy użyciu przystawki MMC — WCF w celu wyświetlenia certyfikatów (komputera lokalnego) w przystawce MMC.

        Zrzut ekranu przedstawiający wyświetlanie certyfikatów w przystawce MMC.

      2. Upewnij się, że certyfikat jest zainstalowany w magazynie osobistych i zaufanych głównych urzędów certyfikacji (jeśli jest to certyfikat z podpisem własnym).

        Zrzut ekranu przedstawiający certyfikat zainstalowany w magazynie osobistych i zaufanych głównych urzędów certyfikacji.

    2. Sprawdź, czy certyfikat ma klucz prywatny i nie wygasł.

      Zrzut ekranu przedstawiający sprawdzanie, czy certyfikat ma klucz prywatny i nie wygasł.

    3. Upewnij się, że konto usługi dla własnego środowiska Integration Runtime (domyślne konto to NT SERVICE\DIAHostService) ma uprawnienie do odczytu kluczy prywatnych certyfikatu:

      1. Kliknij prawym przyciskiem myszy certyfikat ->Wszystkie zadania ->Zarządzaj kluczami prywatnymi.

      2. Jeśli nie, przyznaj uprawnienie, Zastosuj i zapisz.

        Zrzut ekranu przedstawiający konto usługi dla własnego środowiska Integration Runtime ma uprawnienie do odczytu kluczy prywatnych certyfikatu.