O que são certificados na GPU do Azure Stack Edge Pro?
APLICA-SE A:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro R SimAzure Stack Edge Mini R
Este artigo descreve os tipos de certificados que podem ser instalados no seu dispositivo GPU Azure Stack Edge Pro. O artigo também inclui os detalhes de cada tipo de certificado.
Acerca de certificados
Um certificado fornece uma ligação entre uma chave pública e uma entidade (como o nome de domínio) que foi assinada (verificada) por terceiros fidedignos (como uma autoridade de certificação). Um certificado fornece uma forma conveniente de distribuir chaves de encriptação pública fidedignas. Assim, os certificados garantem que a comunicação é fidedigna e que está a enviar informações encriptadas para o servidor correto.
Implementar certificados no dispositivo
No seu dispositivo do Azure Stack Edge, pode utilizar os certificados autoassinados ou trazer os seus próprios certificados.
Certificados gerados pelo dispositivo: quando o dispositivo é configurado inicialmente, os certificados autoassinados são gerados automaticamente. Se necessário, pode regenerar estes certificados através da IU da Web local. Assim que os certificados forem regenerados, transfira e importe os certificados nos clientes utilizados para aceder ao seu dispositivo.
Traga os seus próprios certificados: opcionalmente, pode trazer os seus próprios certificados. Existem diretrizes que tem de seguir se planear trazer os seus próprios certificados.
- Comece por compreender os tipos de certificados que podem ser utilizados com o seu dispositivo do Azure Stack Edge neste artigo.
- Em seguida, reveja os Requisitos de certificado para cada tipo de certificado.
- Em seguida, pode Criar os certificados através de Azure PowerShell ou Criar os certificados através da ferramenta Verificador de Preparação.
- Por fim, converta os certificados para o formato adequado para que estejam prontos para serem carregados para o seu dispositivo.
- Carregue os certificados no dispositivo.
- Importe os certificados nos clientes que acedem ao dispositivo.
Tipos de certificado
Os vários tipos de certificados que pode trazer para o seu dispositivo são os seguintes:
Certificados de assinatura
- AC de Raiz
- Intermédio
Certificados de nós
Certificados de ponto final
- Certificados de Resource Manager do Azure
- Certificados de armazenamento de blobs
Certificados de IU local
Certificados de dispositivo IoT
Certificados do Kubernetes
- Certificado do Edge Container Registry
- Certificado de dashboard do Kubernetes
certificados de Wi-Fi
Certificados VPN
Certificados de encriptação
- Certificados de sessão de suporte
Cada tipo de certificado é descrito em detalhe nas secções seguintes.
Certificados da cadeia de assinatura
Estes são os certificados da autoridade que assina os certificados ou a autoridade de certificação de assinatura.
Tipos
Estes certificados podem ser certificados de raiz ou certificados intermédios. Os certificados de raiz são sempre autoassinados (ou assinados por si só). Os certificados intermédios não são autoassinados e são assinados pela autoridade de assinatura.
Limitações
- Os certificados de raiz devem ser certificados de cadeia de assinatura.
- Os certificados de raiz podem ser carregados no seu dispositivo no seguinte formato:
- DER – estes estão disponíveis como uma extensão de
.cer
ficheiro. - Codificado com base 64 – estes estão disponíveis como
.cer
extensão de ficheiro. - P7b – este formato é utilizado apenas para certificados de cadeia de assinatura que incluem os certificados de raiz e intermédios.
- DER – estes estão disponíveis como uma extensão de
- Os certificados da cadeia de assinatura são sempre carregados antes de carregar outros certificados.
Certificados de nós
Todos os nós no seu dispositivo estão constantemente a comunicar entre si e, portanto, precisam de ter uma relação de confiança. Os certificados de nó fornecem uma forma de estabelecer essa confiança. Os certificados de nó também são reproduzidos quando se liga ao nó do dispositivo através de uma sessão remota do PowerShell através de https.Limitações
O certificado de nó deve ser fornecido no
.pfx
formato com uma chave privada que pode ser exportada.Pode criar e carregar 1 certificado de nó universal ou 4 certificados de nós individuais.
Um certificado de nó tem de ser alterado se o domínio DNS for alterado, mas o nome do dispositivo não for alterado. Se estiver a trazer o seu próprio certificado de nó, não pode alterar o número de série do dispositivo, só pode alterar o nome de domínio.
Utilize a tabela seguinte para orientá-lo ao criar um certificado de nó.
Tipo Nome do requerente (SN) Nome alternativo do requerente (SAN) Exemplo de nome do requerente Nó <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
Certificados de ponto final
Para quaisquer pontos finais que o dispositivo exponha, é necessário um certificado para comunicação fidedigna. Os certificados de ponto final incluem os necessários ao aceder ao Resource Manager do Azure e ao armazenamento de blobs através das APIs REST.
Quando traz um certificado assinado próprio, também precisa da cadeia de assinatura correspondente do certificado. Para a cadeia de assinaturas, o Azure Resource Manager e os certificados de blob no dispositivo, precisará também dos certificados correspondentes no computador cliente para autenticar e comunicar com o dispositivo.
Limitações
Os certificados de ponto final têm de estar em
.pfx
formato com uma chave privada. A cadeia de assinaturas deve ser o formato DER (.cer
extensão de ficheiro).Quando traz os seus próprios certificados de ponto final, estes podem ser como certificados individuais ou certificados multidomaina.
Se estiver a introduzir a cadeia de assinatura, o certificado da cadeia de assinatura tem de ser carregado antes de carregar um certificado de ponto final.
Estes certificados têm de ser alterados se o nome do dispositivo ou os nomes de domínio DNS forem alterados.
Pode ser utilizado um certificado de ponto final de caráter universal.
As propriedades dos certificados de ponto final são semelhantes às de um certificado SSL típico.
Utilize a seguinte tabela ao criar um certificado de ponto final:
Tipo Nome do requerente (SN) Nome alternativo do requerente (SAN) Exemplo de nome do requerente Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Armazenamento de blobs *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Certificado único multi-SAN para ambos os pontos finais <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Certificados de IU local
Pode aceder à IU da Web local do seu dispositivo através de um browser. Para garantir que esta comunicação é segura, pode carregar o seu próprio certificado.
Limitações
O certificado de IU local também é carregado num
.pfx
formato com uma chave privada que pode ser exportada.Depois de carregar o certificado de IU local, terá de reiniciar o browser e limpar a cache. Veja as instruções específicas para o seu browser.
Tipo Nome do requerente (SN) Nome alternativo do requerente (SAN) Exemplo de nome do requerente IU Local <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
IoT Edge certificados de dispositivo
O seu dispositivo também é um dispositivo IoT com a computação ativada por um dispositivo IoT Edge ligado ao mesmo. Para qualquer comunicação segura entre este dispositivo IoT Edge e os dispositivos a jusante que possam ligar-se ao mesmo, também pode carregar certificados IoT Edge.
O dispositivo tem certificados autoassinados que podem ser utilizados se quiser utilizar apenas o cenário de computação com o dispositivo. No entanto, se o dispositivo estiver ligado a dispositivos a jusante, terá de trazer os seus próprios certificados.
Existem três certificados IoT Edge que precisa de instalar para ativar esta relação de confiança:
- Autoridade de certificação de raiz ou a autoridade de certificação do proprietário
- Autoridade de certificação do dispositivo
- Certificado de chave de dispositivo
Limitações
- Os certificados IoT Edge são carregados em
.pem
formato.
Para obter mais informações sobre IoT Edge certificados, veja Detalhes do certificado do Azure IoT Edge e Criar certificados de produção IoT Edge.
Certificados do Kubernetes
Os seguintes certificados do Kubernetes podem ser utilizados com o seu dispositivo do Azure Stack Edge.
- Certificado de registo de contentor do Edge: se o seu dispositivo tiver um registo de contentor do Edge, precisará de um certificado do Edge Container Registry para uma comunicação segura com o cliente que está a aceder ao registo no dispositivo.
- Certificado de ponto final do dashboard: precisará de um certificado de ponto final do dashboard para aceder ao dashboard do Kubernetes no seu dispositivo.
Limitações
O certificado do Registo de Contentor do Edge deve:
- Seja um certificado de formato PEM.
- Contenham o Nome Alternativo do Requerente (SAN) ou CName (CN) do tipo:
*.<endpoint suffix>
ouecr.<endpoint suffix>
. Por exemplo:*.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com
O certificado do dashboard deve:
- Seja um certificado de formato PEM.
- Contenham o Nome Alternativo do Requerente (SAN) ou CName (CN) do tipo:
*.<endpoint-suffix>
oukubernetes-dashboard.<endpoint-suffix>
. Por exemplo:*.dbe-1d6phq2.microsoftdatabox.com
oukubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com
.
Certificados VPN
Se a VPN (Ponto a site) estiver configurada no seu dispositivo, pode trazer o seu próprio certificado VPN para garantir que a comunicação é fidedigna. O certificado de raiz é instalado no Gateway de VPN do Azure e os certificados de cliente são instalados em cada computador cliente que se liga a uma rede virtual através de Ponto a Site.
Limitações
- O certificado VPN tem de ser carregado como um formato .pfx com uma chave privada.
- O certificado VPN não depende do nome do dispositivo, do número de série do dispositivo ou da configuração do dispositivo. Só requer o FQDN externo.
- Certifique-se de que o OID do cliente está definido.
Para obter mais informações, veja Gerar e exportar certificados para Ponto a Site com o PowerShell.
certificados de Wi-Fi
Se o seu dispositivo estiver configurado para funcionar numa rede sem fios WPA2-Enterprise, também precisará de um certificado de Wi-Fi para qualquer comunicação que ocorra através da rede sem fios.
Limitações
- O certificado Wi-Fi tem de ser carregado como um formato .pfx com uma chave privada.
- Certifique-se de que o OID do cliente está definido.
Certificados de sessão de suporte
Se o seu dispositivo estiver a ter problemas, então, para resolver esses problemas, poderá ser aberta uma sessão remota do Suporte do PowerShell no dispositivo. Para ativar uma comunicação segura e encriptada através desta sessão de Suporte, pode carregar um certificado.
Limitações
Certifique-se de que o certificado correspondente
.pfx
com chave privada está instalado no computador cliente com a ferramenta de desencriptação.Verifique se o campo Utilização da Chave do certificado não é Assinatura de Certificado. Para verificar, clique com o botão direito do rato no certificado, selecione Abrir e, no separador Detalhes , localize Utilização da Chave.
O certificado de sessão de suporte tem de ser fornecido como formato DER com uma
.cer
extensão.