Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce istruzioni dettagliate per abilitare il supporto HTTPS nei nodi Microsoft Connected Cache for Enterprise in esecuzione in un computer host Linux.
Il processo di installazione richiede la generazione di una richiesta di firma del certificato (CSR) nel computer host, la firma della richiesta csr tramite l'infrastruttura a chiave pubblica o aziendale e quindi l'importazione di nuovo nel computer host.
Prerequisiti
Prima di configurare la funzionalità HTTPS, verificare che siano soddisfatti i requisiti seguenti:
Il nodo della cache si trova nella versione del software ga
- Aprire portale di Azure e passare alla risorsa Cache connessa per l'organizzazione che ospita i nodi della cache.
- In Gestione nodi cache individuare il nodo della cache in cui si vuole abilitare HTTPS.
- Verificare che il nodo si trova nella versione ga- deve mostrare "Sì" o "N/D" nella colonna Migrato .
- Se non è disponibile nella versione ga ("No" nella colonna Migrata ), selezionare il nodo della cache, passare alla scheda Distribuzione e seguire le istruzioni per ridistribuire Cache connessa.
Accesso a un'autorità di certificazione (CA)
È necessario accedere all'infrastruttura a chiave pubblica aziendale o a una CA pubblica. Se si usa l'infrastruttura a chiave pubblica aziendale, verificare i requisiti dell'organizzazione per l'invio di una richiesta csr alla CA.
Documentare i metodi di connessione client
Si noti l'indirizzo IP o il nome host (FQDN) usato dai client per connettersi al server della cache connessa. Questo valore verrà usato come input SAN (Subject Alternative Name) durante il processo di generazione di una richiesta csr.
Verificare la disponibilità della porta 443
Per stabilire una connessione HTTPS con Cache connessa, la porta 443 deve essere disponibile nel computer host. Eseguire il comando seguente per verificare:
sudo ss -tulpn | grep :443Esaminare l'output:
- Nessun output : la porta 443 non è in uso. Procedere con la configurazione HTTPS.
-
L'output contiene
LISTEN(ad esempio,tcp LISTEN 0 128 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=1234,fd=6))) — La porta 443 è già in uso da un altro servizio. Identificare e arrestare il servizio in conflitto prima che Cache connessa possa usare la porta 443.
Suggerimento
L'output
ssmostra il nome del processo e il PID nell'ultima colonna. Nell'esempio precedente (nginxPID 1234) usa la porta 443. Arrestare o riconfigurare il servizio in conflitto prima di continuare. Ad esempio, eseguiresudo systemctl stop nginxper arrestare nginx.Verificare la configurazione del firewall
Se il firewall o il proxy aziendale intercetta il traffico HTTPS verso il server della cache connessa (ad esempio, tramite l'ispezione TLS), la convalida del certificato avrà sempre esito negativo indipendentemente dalla configurazione del certificato.
Per altre informazioni su uno dei prerequisiti, vedere https nella pagina di riferimento Linux.
Generare una richiesta di firma del certificato
Importante
Ogni nodo della cache necessita del proprio csr/certificato (non può condividere):
- Usare una denominazione coerente: mcc-node1.company.com, mcc-node2.company.com e così via.
- Documento a quale certificato appartiene il nodo
- I certificati con caratteri jolly non funzioneranno. Il csr/certificato usato per la connessione HTTPS alla cache connessa è associato in modo univoco a ogni nodo della cache per motivi di sicurezza.
Aprire un terminale e passare alla cartella contenente il pacchetto di distribuzione estratto.
Aggiungere le autorizzazioni di esecuzione allo script di generazione csr:
sudo chmod +x ./generateCsr.shConfigurare i parametri per
generateCsr.shed eseguire lo script con i valori specificati.Sintassi di base
sudo ./generateCsr.sh [Required Parameters] [Subject Parameters] [SAN Parameters]Parametri obbligatori
Parametro Tipo Descrizione -algoStringa Algoritmo di certificato: RSA,EC,ED25519oED448-keySizeOrCurveStringa Per RSA: dimensione chiave ( 2048,3072,4096). Per EC: nome curva (prime256v1,secp384r1)-csrNameStringa Nome del file CSR generato Parametri del soggetto
Parametro Obbligatorio Descrizione Esempio -subjectCommonNameSì Nome comune per il certificato "localhost","example.com"-subjectCountryNo Codice paese a due lettere "US","CA","GB"-subjectStateNo Provincia "WA","TX","Ontario"-subjectOrgNo Nome organizzazione "MyCompany","ACME Corp"Warning
La configurazione SAN (Subject Alternative Name) è fondamentale per la convalida del certificato. Il certificato deve corrispondere esattamente al modo in cui i client si connettono alla cache connessa, altrimenti i client ignorano il nodo della cache.
Ad esempio, se i client si connettono tramite indirizzo
192.168.1.100IP ma il certificato ha-sanDns "server.local"solo , la convalida del certificato ha esito negativo.Parametri SAN (almeno uno obbligatorio)
Parametro Descrizione Esempio -sanDnsNomi DNS (separati da virgole) "localhost,example.com,api.example.com"-sanIpIndirizzi IP (separati da virgole) "127.0.0.1,192.168.1.100"-sanUriURI (separati da virgole) "https://example.com,http://localhost"-sanEmailindirizzi Email (separati da virgole) "admin@example.com,user@domain.com"-sanRidID registrati (separati da virgole) -sanDirNameNomi di directory (separati da virgole) -sanOtherNameAltri nomi (separati da virgole) Per altri dettagli ed esempi basati su scenari sui parametri dello script CSR, vedere la pagina HTTPS in Linux riferimento.
Verificare che il processo di generazione csr sia stato completato correttamente.
Se si verificano errori, individuare il file con
GenerateCsr.logtimestamp nella cartella specificata nell'output dello script. Cercare la riga di output che inizia con "È possibile trovare i log qui: ..."- Formato file: GenerateCsr_YYYYMMDD-HHMMSS.log
- Esempio: GenerateCsr_20251201_143022.log è un file creato il 1° dicembre 2025 alle 14:30:22
Individuare il file CSR generato nella cartella Certificati nel computer host e trasferirlo, se necessario.
Il percorso della cartella Certificates viene specificato nell'output dello script, a partire da "CSR file created at: ...". La directory termina con (...\Certificates\certs).
Firmare la richiesta csr
Selezionare un'autorità di certificazione (CA) per firmare la richiesta del certificato.
Importante
La firma ca deve corrispondere a un certificato radice nell'archivio radice attendibile del client.
Infrastruttura a chiave pubblica aziendale: la maggior parte dei clienti usa l'infrastruttura PKI interna dell'organizzazione per firmare la richiesta csr. Rivolgersi al team IT o di sicurezza nel processo dell'organizzazione per inviare una richiesta csr alla CA interna.
CA pubblica: se non si dispone di un'infrastruttura a chiave pubblica aziendale, è possibile usare una CA pubblica. Le risorse seguenti possono essere utili per iniziare:
Inviare la richiesta csr alla CA scelta e salvare il certificato firmato.
Il certificato firmato deve essere in formato CRT con codifica X.509. Se la CA fornisce altri formati, controllare https nella pagina di riferimento Linux su come eseguire la conversione in formato .crt.
Nota
Cache connessa non supporta attualmente i formati protetti da password (con estensione pfx, p12, p7b). Il supporto per questi elementi verrà aggiunto presto come parte della roadmap per l'automazione dei certificati.
Verificare che il certificato firmato sia nel formato corretto.
Confermare la codifica PEM:
grep "BEGIN CERTIFICATE" xxxx.crtOutput con esito positivo previsto:
-----BEGIN CERTIFICATE-----Spostare il certificato firmato nella cartella Certificati nel computer host Linux.
Questa sarà la stessa cartella in cui è stata inizialmente trovata la csr dopo la generazione.
Attenzione
Non condividere chiavi private. La cache connessa richiede solo il certificato firmato.
Importare il certificato TLS firmato
Aprire un terminale e passare alla posizione del programma di installazione della cache connessa.
Aggiungere le autorizzazioni di esecuzione allo script di importazione del certificato:
sudo chmod +x ./importCert.shConfigurare i parametri per
importCert.shed eseguire lo script con i valori specificati.Sintassi di base
sudo ./importCert.sh [Required Parameters]Parametri obbligatori
Parametro Tipo Descrizione -certNameStringa Nome file completo del certificato TLS firmato (con o senza estensione crt) Esempio
sudo ./importCert.sh -certName "myTlsCert.crt"Verificare che il processo di importazione sia stato completato correttamente.
Se si verificano errori, individuare il file con
ImportCert.logtimestamp nella cartella specificata nell'output dello script. Cercare la riga di output che inizia con "È possibile trovare i log qui: ..."- Formato file: ImportCert_YYYYMMDD-HHMMSS.log
- Esempio: ImportCert_20251201_143022.log è un file creato il 1° dicembre 2025 alle 14:30:22
Verificare che il certificato corretto sia stato importato eseguendo lo
ShowCertDetails.shscript.Nota
Lo
ShowCertDetails.shscript è disponibile a partire da Linux pacchetto di distribuzione v1.10.Aggiungere le autorizzazioni di esecuzione allo script:
sudo chmod +x ./ShowCertDetails.shEseguire lo script:
sudo ./ShowCertDetails.shQuesto script visualizza l'identificazione personale del certificato e la data di scadenza per il certificato TLS attualmente importato nel nodo della cache.
Per istruzioni su come convalidare ulteriormente l'importazione del certificato, vedere la pagina HTTPS in Linux convalida.
Disabilitare il supporto HTTPS
Se è necessario ripristinare la comunicazione solo HTTP nella cache connessa, seguire questa procedura. Questo processo non eliminerà nulla nella cartella Certificati: file, certificati o log csr.
Nell'host Linux aprire un terminale e passare alla cartella contenente il pacchetto di distribuzione estratto.
Aggiungere le autorizzazioni di esecuzione allo script di disabilitazione TLS:
sudo chmod +x ./disableTls.shEseguire lo script di disabilitazione (non sono necessari parametri):
sudo ./disableTls.shVerificare che il processo di disabilitazione sia stato completato correttamente.
Dopo la disabilitazione di HTTPS, le richieste HTTP devono funzionare mentre le richieste HTTPS devono avere esito negativo. Per istruzioni su come testarlo, vedere la pagina HTTPS in Linux convalida.