Mengunggah, mengimpor, mengekspor, dan menghapus sertifikat di Azure Stack Edge Pro GPU

BERLAKU UNTUK:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Untuk memastikan komunikasi yang aman dan tepercaya antara perangkat Azure Stack Edge Anda dan klien yang tersambung ke sana, Anda dapat menggunakan sertifikat yang ditandatangani sendiri atau membawa sertifikat Anda sendiri. Artikel ini menjelaskan cara mengelola sertifikat ini, termasuk cara mengunggah, mengimpor, dan mengekspor sertifikat ini. Anda juga dapat melihat tanggal kedaluwarsa sertifikat dan menghapus sertifikat penandatanganan lama Anda.

Untuk mengetahui selengkapnya tentang cara membuat sertifikat ini, lihat Membuat sertifikat menggunakan Azure PowerShell.

Mengunggah sertifikat ke perangkat Anda

Jika Anda membawa sertifikat Anda sendiri, maka sertifikat yang Anda buat untuk perangkat Anda secara default berada di penyimpanan Pribadi pada klien Anda. Sertifikat ini harus diekspor ke klien Anda ke dalam file format yang sesuai yang kemudian dapat diunggah ke perangkat Anda.

Prasyarat

Sebelum Anda mengunggah sertifikat akar dan sertifikat titik akhir ke perangkat, pastikan sertifikat diekspor dalam format yang sesuai.

Mengunggah sertifikat

Untuk mengunggah sertifikat akar dan titik akhir ke perangkat, gunakan opsi + Tambahkan sertifikat pada halaman Sertifikat di antarmuka pengguna web lokal. Ikuti langkah-langkah ini:

  1. Unggah sertifikat akar terlebih dahulu. Di UI web lokal, buka Sertifikat.

  2. Pilih + Tambahkan sertifikat.

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. Simpan sertifikat.

Unggah sertifikat titik akhir

  1. Berikutnya unggah sertifikat titik akhir.

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    Pilih file sertifikat dalam format .pfx dan masukkan kata sandi yang Anda disediakan saat mengekspor sertifikat. Sertifikat Azure Resource Manager mungkin perlu waktu beberapa menit untuk diterapkan.

    Jika rantai penandatanganan tidak diperbarui terlebih dahulu, dan Anda mencoba untuk mengunggah sertifikat titik akhir, maka Anda akan mendapatkan kesalahan.

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    Kembali dan unggah sertifikat rantai penandatanganan lalu unggah dan terapkan sertifikat titik akhir.

Penting

Jika nama perangkat atau domain DNS diubah, sertifikat baru harus dibuat. Sertifikat klien dan sertifikat perangkat kemudian harus diperbarui dengan nama perangkat dan domain DNS baru.

Unggah sertifikat Kubernetes

Sertifikat Kubernetes dapat untuk Edge Container Registry atau untuk dasbor Kubernetes. Dalam setiap kasus, sertifikat dan file kunci harus diunggah. Ikuti langkah-langkah berikut untuk membuat dan mengunggah sertifikat Kubernetes:

  1. Anda akan menggunakan openssl untuk membuat sertifikat dasbor Kubernetes atau Edge Container Registry. Pastikan untuk memasang openssl pada sistem yang akan Anda gunakan untuk membuat sertifikat. Pada sistem Windows, Anda dapat menggunakan Chocolatey untuk memasang openssl. Setelah Anda memasang Chocolatey, buka PowerShell dan ketik:

    choco install openssl
    
  2. Gunakan openssl untuk membuat sertifikat ini. File sertifikat cert.pem dan file kunci key.pem dibuat.

    • Untuk Edge Container Registry, gunakan perintah berikut:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
      

      Berikut adalah contoh output:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
    • Untuk sertifikat dasbor Kubernetes, gunakan perintah berikut:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
      

      Berikut adalah contoh output:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
  3. Upload sertifikat Kubernetes dan file kunci yang sesuai yang Anda hasilkan sebelumnya.

    • Untuk Edge Container Registry

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Untuk dasbor Kubernetes

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

Mengimpor sertifikat pada klien yang mengakses perangkat

Anda dapat menggunakan sertifikat yang dibuat perangkat atau membawa sertifikat Anda sendiri. Saat menggunakan sertifikat yang dibuat perangkat, Anda harus mengunduh sertifikat pada klien Anda sebelum dapat mengimpornya ke penyimpanan sertifikat yang sesuai. Lihat Mengunduh sertifikat ke klien Anda yang mengakses perangkat.

Di kedua kasus, sertifikat yang Anda buat dan unggah ke perangkat Anda harus diimpor ke klien Windows Anda (yang mengakses perangkat) ke dalam penyimpanan sertifikat yang sesuai.

Mengimpor sertifikat sebagai format DER

Untuk mengimpor sertifikat pada klien Windows, ambil langkah-langkah berikut:

  1. Klik kanan file dan pilih Instal sertifikat. Tindakan ini akan memulai Wizard Impor Sertifikat.

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. Untuk Lokasi penyimpanan, pilih Komputer Lokal, lalu pilih Berikutnya.

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. Pilih Tempatkan semua sertifikat pada penyimpanan berikut, lalu klik Telusuri.

    • Untuk mengimpor ke penyimpanan pribadi, navigasikan ke penyimpanan Pribadi host jarak jauh Anda, lalu pilih Berikutnya.

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • Untuk mengimpor ke penyimpanan tepercaya, navigasi ke Otoritas Sertifikat Akar Tepercaya, lalu pilih Berikutnya.

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. Pilih Selesai. Akan muncul pesan yang memberi tahu Anda bahwa impor berhasil.

Lihat masa kedaluwarsa sertifikat

Jika Anda membawa sertifikat Anda sendiri, sertifikat biasanya akan kedaluwarsa dalam 1 tahun atau 6 bulan. Untuk melihat tanggal kedaluwarsa pada sertifikat Anda, buka halaman Sertifikat di UI web lokal perangkat Anda. Jika Anda memilih sertifikat tertentu, Anda bisa melihat tanggal kedaluwarsa pada sertifikat Anda.

Menghapus sertifikat rantai penandatanganan

Anda dapat menghapus sertifikat rantai penandatanganan lama yang kedaluwarsa dari perangkat Anda. Ketika Anda melakukannya, sertifikat dependen apa pun dalam rantai penandatanganan tidak akan valid lagi. Hanya sertifikat rantai penandatanganan yang dapat dihapus.

Untuk menghapus sertifikat rantai penandatanganan dari perangkat Azure Stack Edge Anda, lakukan langkah-langkah berikut:

  1. Di antarmuka pengguna web lokal perangkat Anda, buka Sertifikat KONFIGURASI>.

  2. Pilih sertifikat rantai penandatanganan yang ingin Anda hapus. Kemudian pilih Hapus.

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. Pada panel Hapus sertifikat , verifikasi thumbprint sertifikat, lalu pilih Hapus. Penghapusan sertifikat tidak dapat dibalik.

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    Setelah penghapusan sertifikat selesai, semua sertifikat dependen dalam rantai penandatanganan tidak lagi valid.

  4. Untuk melihat pembaruan status, refresh tampilan. Sertifikat rantai penandatanganan tidak akan lagi ditampilkan, dan sertifikat dependen akan memiliki status Tidak valid .

Langkah berikutnya

Pelajari cara Memecahkan masalah sertifikat