Abilitare il supporto HTTPS per Microsoft Connected Cache in Linux

Questo articolo fornisce istruzioni dettagliate per abilitare il supporto HTTPS nei nodi Microsoft Connected Cache for Enterprise in esecuzione in un computer host Linux.

Il processo di installazione richiede la generazione di una richiesta di firma del certificato (CSR) nel computer host, la firma della richiesta csr tramite l'infrastruttura a chiave pubblica o aziendale e quindi l'importazione di nuovo nel computer host.

Prerequisiti

Prima di configurare la funzionalità HTTPS, verificare che siano soddisfatti i requisiti seguenti:

  • Il nodo della cache si trova nella versione del software ga

    1. Aprire portale di Azure e passare alla risorsa Cache connessa per l'organizzazione che ospita i nodi della cache.
    2. In Gestione nodi cache individuare il nodo della cache in cui si vuole abilitare HTTPS.
    3. Verificare che il nodo si trova nella versione ga- deve mostrare "Sì" o "N/D" nella colonna Migrato .
    4. Se non è disponibile nella versione ga ("No" nella colonna Migrata ), selezionare il nodo della cache, passare alla scheda Distribuzione e seguire le istruzioni per ridistribuire Cache connessa.
  • Accesso a un'autorità di certificazione (CA)

    È necessario accedere all'infrastruttura a chiave pubblica aziendale o a una CA pubblica. Se si usa l'infrastruttura a chiave pubblica aziendale, verificare i requisiti dell'organizzazione per l'invio di una richiesta csr alla CA.

  • Documentare i metodi di connessione client

    Si noti l'indirizzo IP o il nome host (FQDN) usato dai client per connettersi al server della cache connessa. Questo valore verrà usato come input SAN (Subject Alternative Name) durante il processo di generazione di una richiesta csr.

  • Verificare la disponibilità della porta 443

    Per stabilire una connessione HTTPS con Cache connessa, la porta 443 deve essere disponibile nel computer host. Eseguire il comando seguente per verificare:

    sudo ss -tulpn | grep :443
    

    Esaminare l'output:

    • Nessun output : la porta 443 non è in uso. Procedere con la configurazione HTTPS.
    • L'output contiene LISTEN (ad esempio, tcp LISTEN 0 128 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=1234,fd=6))) — La porta 443 è già in uso da un altro servizio. Identificare e arrestare il servizio in conflitto prima che Cache connessa possa usare la porta 443.

    Suggerimento

    L'output ss mostra il nome del processo e il PID nell'ultima colonna. Nell'esempio precedente ( nginx PID 1234) usa la porta 443. Arrestare o riconfigurare il servizio in conflitto prima di continuare. Ad esempio, eseguire sudo systemctl stop nginx per arrestare nginx.

  • Verificare la configurazione del firewall

    Se il firewall o il proxy aziendale intercetta il traffico HTTPS verso il server della cache connessa (ad esempio, tramite l'ispezione TLS), la convalida del certificato avrà sempre esito negativo indipendentemente dalla configurazione del certificato.

Per altre informazioni su uno dei prerequisiti, vedere https nella pagina di riferimento Linux.

Generare una richiesta di firma del certificato

Importante

Ogni nodo della cache necessita del proprio csr/certificato (non può condividere):

  • Usare una denominazione coerente: mcc-node1.company.com, mcc-node2.company.com e così via.
  • Documento a quale certificato appartiene il nodo
  • I certificati con caratteri jolly non funzioneranno. Il csr/certificato usato per la connessione HTTPS alla cache connessa è associato in modo univoco a ogni nodo della cache per motivi di sicurezza.
  1. Aprire un terminale e passare alla cartella contenente il pacchetto di distribuzione estratto.

  2. Aggiungere le autorizzazioni di esecuzione allo script di generazione csr:

    sudo chmod +x ./generateCsr.sh
    
  3. Configurare i parametri per generateCsr.sh ed eseguire lo script con i valori specificati.

    Sintassi di base

    sudo ./generateCsr.sh [Required Parameters] [Subject Parameters] [SAN Parameters]
    

    Parametri obbligatori

    Parametro Tipo Descrizione
    -algo Stringa Algoritmo di certificato: RSA, EC, ED25519o ED448
    -keySizeOrCurve Stringa Per RSA: dimensione chiave (2048, 3072, 4096). Per EC: nome curva (prime256v1, secp384r1)
    -csrName Stringa Nome del file CSR generato

    Parametri del soggetto

    Parametro Obbligatorio Descrizione Esempio
    -subjectCommonName Nome comune per il certificato "localhost", "example.com"
    -subjectCountry No Codice paese a due lettere "US", "CA", "GB"
    -subjectState No Provincia "WA", "TX", "Ontario"
    -subjectOrg No Nome organizzazione "MyCompany", "ACME Corp"

    Warning

    La configurazione SAN (Subject Alternative Name) è fondamentale per la convalida del certificato. Il certificato deve corrispondere esattamente al modo in cui i client si connettono alla cache connessa, altrimenti i client ignorano il nodo della cache.

    Ad esempio, se i client si connettono tramite indirizzo 192.168.1.100 IP ma il certificato ha -sanDns "server.local"solo , la convalida del certificato ha esito negativo.

    Parametri SAN (almeno uno obbligatorio)

    Parametro Descrizione Esempio
    -sanDns Nomi DNS (separati da virgole) "localhost,example.com,api.example.com"
    -sanIp Indirizzi IP (separati da virgole) "127.0.0.1,192.168.1.100"
    -sanUri URI (separati da virgole) "https://example.com,http://localhost"
    -sanEmail indirizzi Email (separati da virgole) "admin@example.com,user@domain.com"
    -sanRid ID registrati (separati da virgole)
    -sanDirName Nomi di directory (separati da virgole)
    -sanOtherName Altri nomi (separati da virgole)

    Per altri dettagli ed esempi basati su scenari sui parametri dello script CSR, vedere la pagina HTTPS in Linux riferimento.

  4. Verificare che il processo di generazione csr sia stato completato correttamente.

    Se si verificano errori, individuare il file con GenerateCsr.log timestamp nella cartella specificata nell'output dello script. Cercare la riga di output che inizia con "È possibile trovare i log qui: ..."

    • Formato file: GenerateCsr_YYYYMMDD-HHMMSS.log
    • Esempio: GenerateCsr_20251201_143022.log è un file creato il 1° dicembre 2025 alle 14:30:22
  5. Individuare il file CSR generato nella cartella Certificati nel computer host e trasferirlo, se necessario.

    Il percorso della cartella Certificates viene specificato nell'output dello script, a partire da "CSR file created at: ...". La directory termina con (...\Certificates\certs).

Firmare la richiesta csr

  1. Selezionare un'autorità di certificazione (CA) per firmare la richiesta del certificato.

    Importante

    La firma ca deve corrispondere a un certificato radice nell'archivio radice attendibile del client.

    • Infrastruttura a chiave pubblica aziendale: la maggior parte dei clienti usa l'infrastruttura PKI interna dell'organizzazione per firmare la richiesta csr. Rivolgersi al team IT o di sicurezza nel processo dell'organizzazione per inviare una richiesta csr alla CA interna.

    • CA pubblica: se non si dispone di un'infrastruttura a chiave pubblica aziendale, è possibile usare una CA pubblica. Le risorse seguenti possono essere utili per iniziare:

  2. Inviare la richiesta csr alla CA scelta e salvare il certificato firmato.

    Il certificato firmato deve essere in formato CRT con codifica X.509. Se la CA fornisce altri formati, controllare https nella pagina di riferimento Linux su come eseguire la conversione in formato .crt.

    Nota

    Cache connessa non supporta attualmente i formati protetti da password (con estensione pfx, p12, p7b). Il supporto per questi elementi verrà aggiunto presto come parte della roadmap per l'automazione dei certificati.

  3. Verificare che il certificato firmato sia nel formato corretto.

    Confermare la codifica PEM:

    grep "BEGIN CERTIFICATE" xxxx.crt
    

    Output con esito positivo previsto:

    -----BEGIN CERTIFICATE-----
    
  4. Spostare il certificato firmato nella cartella Certificati nel computer host Linux.

    Questa sarà la stessa cartella in cui è stata inizialmente trovata la csr dopo la generazione.

    Attenzione

    Non condividere chiavi private. La cache connessa richiede solo il certificato firmato.

Importare il certificato TLS firmato

  1. Aprire un terminale e passare alla posizione del programma di installazione della cache connessa.

  2. Aggiungere le autorizzazioni di esecuzione allo script di importazione del certificato:

    sudo chmod +x ./importCert.sh
    
  3. Configurare i parametri per importCert.sh ed eseguire lo script con i valori specificati.

    Sintassi di base

    sudo ./importCert.sh [Required Parameters]
    

    Parametri obbligatori

    Parametro Tipo Descrizione
    -certName Stringa Nome file completo del certificato TLS firmato (con o senza estensione crt)

    Esempio

    sudo ./importCert.sh -certName "myTlsCert.crt"
    
  4. Verificare che il processo di importazione sia stato completato correttamente.

    Se si verificano errori, individuare il file con ImportCert.log timestamp nella cartella specificata nell'output dello script. Cercare la riga di output che inizia con "È possibile trovare i log qui: ..."

    • Formato file: ImportCert_YYYYMMDD-HHMMSS.log
    • Esempio: ImportCert_20251201_143022.log è un file creato il 1° dicembre 2025 alle 14:30:22
  5. Verificare che il certificato corretto sia stato importato eseguendo lo ShowCertDetails.sh script.

    Nota

    Lo ShowCertDetails.sh script è disponibile a partire da Linux pacchetto di distribuzione v1.10.

    Aggiungere le autorizzazioni di esecuzione allo script:

    sudo chmod +x ./ShowCertDetails.sh
    

    Eseguire lo script:

    sudo ./ShowCertDetails.sh
    

    Questo script visualizza l'identificazione personale del certificato e la data di scadenza per il certificato TLS attualmente importato nel nodo della cache.

Per istruzioni su come convalidare ulteriormente l'importazione del certificato, vedere la pagina HTTPS in Linux convalida.

Disabilitare il supporto HTTPS

Se è necessario ripristinare la comunicazione solo HTTP nella cache connessa, seguire questa procedura. Questo processo non eliminerà nulla nella cartella Certificati: file, certificati o log csr.

  1. Nell'host Linux aprire un terminale e passare alla cartella contenente il pacchetto di distribuzione estratto.

  2. Aggiungere le autorizzazioni di esecuzione allo script di disabilitazione TLS:

    sudo chmod +x ./disableTls.sh
    
  3. Eseguire lo script di disabilitazione (non sono necessari parametri):

    sudo ./disableTls.sh
    
  4. Verificare che il processo di disabilitazione sia stato completato correttamente.

  5. Dopo la disabilitazione di HTTPS, le richieste HTTP devono funzionare mentre le richieste HTTPS devono avere esito negativo. Per istruzioni su come testarlo, vedere la pagina HTTPS in Linux convalida.

Passaggi successivi