Używanie certyfikatów z urządzeniem GPU Azure Stack Edge Pro

DOTYCZY: Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge Pro R Azure Stack Edge Mini R

W tym artykule opisano procedurę tworzenia własnych certyfikatów przy użyciu poleceń cmdlet programu Azure PowerShell. Ten artykuł zawiera wskazówki, które należy wykonać, jeśli planujesz przynieść własne certyfikaty na urządzeniu Azure Stack Edge.

Certyfikaty zapewniają, że komunikacja między urządzeniem a klientami, którzy uzyskują do niego dostęp, jest zaufana i że wysyłasz zaszyfrowane informacje do odpowiedniego serwera. Po początkowym skonfigurowaniu urządzenia Azure Stack Edge automatycznie generowane są certyfikaty z podpisem własnym. Opcjonalnie możesz przynieść własne certyfikaty.

Możesz użyć jednej z następujących metod, aby utworzyć własne certyfikaty dla urządzenia:

• Użyj poleceń cmdlet programu Azure PowerShell.
• Użyj narzędzia do sprawdzania gotowości usługi Azure Stack Hub, aby utworzyć żądania podpisywania certyfikatów (CRS), które pomogą urządowi certyfikacji wystawiać certyfikaty.

W tym artykule opisano tylko sposób tworzenia własnych certyfikatów przy użyciu poleceń cmdlet programu Azure PowerShell.

Wymagania wstępne

Przed wprowadzeniem własnych certyfikatów upewnij się, że:

• Znasz typy certyfikatów, których można używać z urządzeniem Azure Stack Edge.
• Sprawdzono wymagania dotyczące certyfikatu dla każdego typu certyfikatu.

Tworzenie certyfikatów

W poniższej sekcji opisano procedurę tworzenia łańcucha podpisywania i certyfikatów punktów końcowych.

Przepływ pracy certyfikatu

Istnieje zdefiniowany sposób tworzenia certyfikatów dla urządzeń działających w danym środowisku. Możesz użyć certyfikatów dostarczonych przez administratora IT.

Tylko do celów programistycznych lub testowych można użyć programu Windows PowerShell do tworzenia certyfikatów w systemie lokalnym. Podczas tworzenia certyfikatów dla klienta postępuj zgodnie z następującymi wytycznymi:

1. Możesz utworzyć dowolny z następujących typów certyfikatów:

   • Utwórz pojedynczy certyfikat ważny do użycia z jedną w pełni kwalifikowaną nazwą domeny (FQDN). Na przykład mydomain.com.
   • Utwórz certyfikat z symbolami wieloznacznymi w celu zabezpieczenia głównej nazwy domeny i wielu domen podrzędnych. Na przykład *.mydomain.com.
   • Utwórz certyfikat alternatywnej nazwy podmiotu (SAN), który będzie obejmować wiele nazw domen w jednym certyfikacie.

2. Jeśli używasz własnego certyfikatu, musisz mieć certyfikat główny dla łańcucha podpisywania. Zobacz kroki tworzenia certyfikatów łańcucha podpisywania.

3. Następnie możesz utworzyć certyfikaty punktu końcowego dla lokalnego interfejsu użytkownika urządzenia, obiektu blob i usługi Azure Resource Manager. Możesz utworzyć 3 oddzielne certyfikaty dla urządzenia, obiektu blob i usługi Azure Resource Manager lub utworzyć jeden certyfikat dla wszystkich 3 punktów końcowych. Aby uzyskać szczegółowe instrukcje, zobacz Tworzenie certyfikatów podpisywania i punktów końcowych.

4. Niezależnie od tego, czy tworzysz 3 oddzielne certyfikaty, czy jeden certyfikat, określ nazwy podmiotów (SN) i alternatywne nazwy podmiotów (SAN) zgodnie ze wskazówkami podanymi dla każdego typu certyfikatu.

Tworzenie certyfikatu łańcucha podpisywania

Utwórz te certyfikaty za pomocą programu Windows PowerShell działającego w trybie administratora. Certyfikaty utworzone w ten sposób powinny być używane tylko do celów programistycznych lub testowych.

Certyfikat łańcucha podpisywania należy utworzyć tylko raz. Inne certyfikaty punktu końcowego będą odwoływać się do tego certyfikatu do podpisywania.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Tworzenie podpisanych certyfikatów punktów końcowych

Utwórz te certyfikaty za pomocą programu Windows PowerShell działającego w trybie administratora.

W tych przykładach certyfikaty punktów końcowych są tworzone dla urządzenia z: — Nazwa urządzenia: DBE-HWDC1T2 — Domena DNS: microsoftdatabox.com

Zastąp ciąg nazwą i domeną DNS dla urządzenia, aby utworzyć certyfikaty dla urządzenia.

Certyfikat punktu końcowego obiektu blob

Utwórz certyfikat dla punktu końcowego obiektu blob w magazynie osobistym.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certyfikat punktu końcowego usługi Azure Resource Manager

Utwórz certyfikat dla punktów końcowych usługi Azure Resource Manager w magazynie osobistym.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Lokalny certyfikat internetowego interfejsu użytkownika urządzenia

Utwórz certyfikat dla lokalnego internetowego interfejsu użytkownika urządzenia w magazynie osobistym.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Pojedynczy certyfikat z wieloma sieciami SAN dla wszystkich punktów końcowych

Utwórz pojedynczy certyfikat dla wszystkich punktów końcowych w magazynie osobistym.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Po utworzeniu certyfikatów następnym krokiem jest przekazanie certyfikatów na urządzeniu z procesorem GPU Usługi Azure Stack Edge Pro.

Następne kroki

Przekazywanie certyfikatów na urządzeniu.