安全的 Service Fabric 集群需要多少证书

Question

我正在努力思考服务结构需要多少证书。我从产品团队那里读了很多东西，这真的很有帮助，现在我正试图将其提炼成我实际需要的东西，以实现以下目标：

1. 使用 AAD 身份验证创建安全集群（我对 AAD 部分很满意）
2. 通过 HTTPS/SSL 为将驻留在集群上的自托管网站 api 启用通信
3. 通过 HTTPS 访问 Service Fabric Explorer，没有证书错误

为了创建一个安全的集群，我需要一个有效的证书，这需要一个自定义域名。

Create a Service Fabric cluster in Azure using Azure Resource Manager

• The certificate must contain a private key.
• The certificate must be created for key exchange, exportable to a Personal Information Exchange (.pfx) file.
• The certificate's subject name must match the domain used to access the Service Fabric cluster. This matchng is required to provide SSL for the cluster's HTTPS management endpoints and Service Fabric Explorer. You cannot obtain an SSL certificate from a certificate authority (CA) for the .cloudapp.azure.com domain. You must acquire a custom domain name for your cluster. When you request a certificate from a CA, the certificate's subject name must match the custom domain name used for your cluster.

基于此，假设我只需要一个证书和一个自定义域即可实现上述目标是否正确？

我想遵循这方面的任何最佳做法，所以如果我有错，请提供反馈。

Answer 1

AAD 负责您的客户端到节点的安全性，因此您唯一需要的证书是用于节点到节点安全的服务器证书。这也是他们推荐的 here，所以你应该在正确的轨道上。