一个安全的Service Fabric群集需要多少个证书

Question

我试图将我的大脑包围在服务结构所需的证书数量上。我已经从产品团队那里读了很多书，这确实很有帮助，现在我正尝试将其提炼成我真正需要的，以实现以下目标：

1. 创建具有AAD身份验证的安全集群（我对AAD部分很满意）
2. 为将驻留在群集上的自托管Web API启用通过HTTPS / SSL的通信
3. 通过HTTPS访问服务矩阵浏览器，而不会出现证书错误

为了创建一个安全的群集，我需要一个有效的证书，该证书需要一个自定义域名。

使用Azure资源管理器在Azure中创建Service Fabric群集

• 证书必须包含一个私钥。
• 必须为证书交换创建证书，并且可以将其导出到个人信息交换（.pfx）文件。
• 证书的使用者名称必须与用于访问Service Fabric群集的域匹配。需要此匹配项才能为群集的HTTPS管理端点和Service Fabric资源管理器提供SSL。您不能从域的证书颁发机构（CA）获得SSL证书.cloudapp.azure.com。您必须为集群获取自定义域名。当您从CA请求证书时，证书的使用者名称必须与用于群集的自定义域名匹配。

基于此，假设我仅需要一个证书和一个自定义域就可以实现上述目标，是否正确？

我希望遵循任何最佳做法，因此，如果我有误，请提供反馈。

Answer 1

AAD 负责客户端到节点的安全，因此您需要的唯一证书是用于节点到节点安全的服务器证书。这似乎也是他们在这里推荐的，所以你应该走在正确的轨道上。