续订软件定义的网络基础结构的证书

适用于:Azure Stack HCI 版本 22H2;Windows Server 2022 和 Windows Server 2019

本文介绍如何续订或更改软件定义的网络 (SDN) 服务器和软件负载均衡器 (SLB) 多路复用器 (MUX) 证书。 如果在续订证书时遇到问题,请联系 Azure 支持人员。

有关如何续订网络控制器证书的信息,请参阅在证书过期之前续订网络控制器证书

在 SDN 基础结构中,网络控制器使用基于证书的身份验证来保护与网络设备(例如 SLB 和物理主机)的南向通信。 SLB 和服务器的证书有一个有效期,在有效期过期之后,这些证书将无效且不再受信任,无法再供使用。 必须在过期之前续订它们。

何时续订或更改证书

在以下情况下,可以续订或更改 SDN 服务器和 SLB MUX 证书:

  • 证书即将过期。 确实可以在这些证书过期前的任何时间点续订它们。

    备注

    如果使用同一密钥续订现有证书,则一切都已准备就绪,无需执行任何操作。

  • 想要将自签名证书替换为证书颁发机构 (CA) 签名的证书。

    备注

    更改证书时,请确保使用与旧证书相同的使用者名称。

证书类型

在 Azure Stack HCI 和 Windows Server 中,物理主机和 SLB MUX 虚拟机 (VM) 使用一个证书来保护与网络控制器的南向通信。 网络控制器将策略推送到物理主机和 SLB MUX VM。

查看证书有效期

在每个物理主机和 SLB MUX VM 上使用以下 cmdlet 来检查证书的到期日期:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

其中:

  • Certificate-subject-name 是服务器和 SLB MUX 虚拟机的完全限定域名 (FQDN)。

续订 SDN 服务器和 SLB MUX 证书

使用 Start-SdnServerCertificateRotationStart-SdnMuxCertificateRotation cmdlet 生成新的自签名证书,并分别自动续订到所有服务器和 SLB MUX VM。 默认情况下,这些 cmdlet 会生成有效期为三年的证书,但你可以指定不同的有效期。 证书自动续订有助于最大程度地减少因证书过期而导致停机或计划外服务中断的情况。

备注

续订自带证书和预安装的证书的功能尚不可用。

要求

下面是续订证书所要满足的要求:

  • 必须在有权访问管理网络的任何计算机上运行 cmdlet。 有关安装说明,请参阅安装 SdnDiagnostics 模块

  • 必须具有 Credential 帐户的凭据,才能指定在网络控制器、SLB MUX 和服务器上具有本地管理员权限的用户帐户。

自动续订自签名证书

执行这些步骤,以生成并自动续订自签名证书:

  1. 若要在物理主机上生成自签名证书,请运行 Start-SdnServerCertificateRotation cmdlet。 可以结合 -Force 参数使用该 cmdlet,以避免在轮换过程中出现任何确认提示或手动输入。

    备注

    若要续订 SLB MUX 证书,请在以下命令中将 cmdlet 名称替换为 Start-SdnMuxCertificateRotation

    • 若要生成有效期默认为三年的自签名证书,请运行以下命令:

      Import-Module -Name SdnDiagnostics -Force
      Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
      
    • 若要生成具有特定有效期的自签名证书,请使用 NotAfter 参数指定有效期。 例如,若要生成有效期为五年的自签名证书,请运行以下命令:

      Import-Module -Name SdnDiagnostics -Force
      Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
      
  2. 确认继续轮换证书后,可以在 PowerShell 命令窗口中查看正在进行的操作的状态。

    重要

    在该 cmdlet 完成之前请不要关闭 PowerShell 窗口。 根据你的环境(例如,根据群集中的物理服务器数量),该 cmdlet 可能需要几分钟或一个多小时才能完成。

后续步骤