Creare certificati per la GPU di Azure Stack Edge Pro usando lo strumento di controllo dell'idoneità dell'hub di Azure Stack

SI APPLICA A:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Questo articolo descrive come creare certificati per Azure Stack Edge Pro usando lo strumento Di controllo dell'idoneità dell'hub di Azure Stack.

Uso dello strumento di verifica dell'idoneità dell'hub di Azure Stack

Usare lo strumento Controllo conformità hub di Azure Stack per creare richieste di firma dei certificati (CSR) per una distribuzione di dispositivi Azure Stack Edge Pro. È possibile creare queste richieste dopo aver effettuato un ordine per il dispositivo Azure Stack Edge Pro e attendere l'arrivo del dispositivo.

Nota

Usare questo strumento solo per scopi di test o sviluppo e non per i dispositivi di produzione.

È possibile usare lo strumento Controllo conformità hub di Azure Stack (AzsReadinessChecker) per richiedere i certificati seguenti:

• Certificato di Azure Resource Manager
• Certificato dell'interfaccia utente locale
• Certificato del nodo
• Certificato BLOB
• Certificato VPN

Prerequisiti

Per creare csr per la distribuzione dei dispositivi Azure Stack Edge Pro, assicurarsi che:

• È disponibile un client che esegue Windows 10 o Windows Server 2016 o versione successiva.
• È stato scaricato lo strumento Di controllo dell'idoneità dell'hub di Microsoft Azure Stack da PowerShell Gallery in questo sistema.
• Per i certificati sono disponibili le informazioni seguenti:
  • Device name
  • Numero di serie del nodo
  • Nome di dominio completo esterno (FQDN)

Generare richieste di firma del certificato

Seguire questa procedura per preparare i certificati del dispositivo Azure Stack Edge Pro:

1. Eseguire PowerShell come amministratore (5.1 o versione successiva).

2. Installare lo strumento Controllo conformità hub di Azure Stack. Al prompt di PowerShell digitare:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Per ottenere la versione installata, digitare:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Creare una directory per tutti i certificati, se non ne è già disponibile una. Tipo:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Per creare una richiesta di certificato, specificare le informazioni seguenti. Se si genera un certificato VPN, alcuni di questi input non si applicano.

   Input	Descrizione
   OutputRequestPath	Percorso del file nel client locale in cui si desidera creare le richieste di certificato.
   DeviceName	Nome del dispositivo nella pagina Dispositivo nell'interfaccia utente Web locale del dispositivo. Questo campo non è obbligatorio per un certificato VPN.
   NodeSerialNumber	Oggetto Node serial number del nodo del dispositivo visualizzato nella pagina Panoramica nell'interfaccia utente Web locale del dispositivo. Questo campo non è obbligatorio per un certificato VPN.
   ExternalFQDN	Valore DNS domain nella pagina Dispositivo nell'interfaccia utente Web locale del dispositivo.
   RequestType	Il tipo di richiesta può essere relativo MultipleCSR a certificati diversi per i vari endpoint o SingleCSR a un singolo certificato per tutti gli endpoint. Questo campo non è obbligatorio per un certificato VPN.

   Per tutti i certificati tranne il certificato VPN, digitare:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Se si sta creando un certificato VPN, digitare:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. I file di richiesta del certificato sono disponibili nella directory specificata nel parametro OutputRequestPath precedente. Quando si usa il MultipleCSR parametro , vengono visualizzati i quattro file seguenti con l'estensione .req :

   Nomi file	Tipo di richiesta di certificato
   A partire dal tuo DeviceName	Richiesta di certificato dell'interfaccia utente Web locale
   A partire dal tuo NodeSerialNumber	Richiesta di certificato del nodo
   A partire da login	Richiesta di certificato dell'endpoint di Azure Resource Manager
   A partire da wildcard	Richiesta del certificato di archiviazione BLOB. Contiene un carattere jolly perché copre tutti gli account di archiviazione che è possibile creare nel dispositivo.
   A partire da AzureStackEdgeVPNCertificate	Richiesta di certificato client VPN.

   Verrà visualizzata anche una cartella INF. Contiene una gestione.<file di informazioni edge-devicename> in testo non crittografato che illustra i dettagli del certificato.

6. Inviare questi file all'autorità di certificazione (interna o pubblica). Assicurarsi che l'autorità di certificazione generi certificati, usando la richiesta generata, che soddisfino i requisiti dei certificati di Azure Stack Edge Pro per i certificati del nodo, i certificati dell'endpoint e i certificati dell'interfaccia utente locale.

Preparare i certificati per la distribuzione

I file di certificato che si ottengono dall'autorità di certificazione (CA) devono essere importati ed esportati con proprietà che soddisfano i requisiti del certificato del dispositivo Azure Stack Edge Pro. Completare i passaggi seguenti nello stesso sistema in cui sono state generate le richieste di firma del certificato.

• Per importare i certificati, seguire la procedura descritta in Importare i certificati nei client che accedono al dispositivo Azure Stack Edge Pro.

• Per esportare i certificati, seguire la procedura descritta in Esportare i certificati dal client che accede al dispositivo Azure Stack Edge Pro.

Convalidare i certificati

Prima di tutto, si genererà una struttura di cartelle corretta e si inserisceranno i certificati nelle cartelle corrispondenti. Verranno convalidati solo i certificati usando lo strumento .

1. Eseguire PowerShell come amministratore.

2. Per generare la struttura di cartelle appropriata, al prompt digitare:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Convertire la password PFX in una stringa sicura. Tipo:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Convalidare quindi i certificati. Tipo:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Passaggi successivi

Caricare i certificati nel dispositivo.