O que são certificados na GPU do Azure Stack Edge Pro?

APLICA-SE A:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro R SimAzure Stack Edge Mini R

Este artigo descreve os tipos de certificados que podem ser instalados no seu dispositivo GPU Azure Stack Edge Pro. O artigo também inclui os detalhes de cada tipo de certificado.

Acerca de certificados

Um certificado fornece uma ligação entre uma chave pública e uma entidade (como o nome de domínio) que foi assinada (verificada) por terceiros fidedignos (como uma autoridade de certificação). Um certificado fornece uma forma conveniente de distribuir chaves de encriptação pública fidedignas. Assim, os certificados garantem que a comunicação é fidedigna e que está a enviar informações encriptadas para o servidor correto.

Implementar certificados no dispositivo

No seu dispositivo do Azure Stack Edge, pode utilizar os certificados autoassinados ou trazer os seus próprios certificados.

• Certificados gerados pelo dispositivo: quando o dispositivo é configurado inicialmente, os certificados autoassinados são gerados automaticamente. Se necessário, pode regenerar estes certificados através da IU da Web local. Assim que os certificados forem regenerados, transfira e importe os certificados nos clientes utilizados para aceder ao seu dispositivo.

• Traga os seus próprios certificados: opcionalmente, pode trazer os seus próprios certificados. Existem diretrizes que tem de seguir se planear trazer os seus próprios certificados.

  • Comece por compreender os tipos de certificados que podem ser utilizados com o seu dispositivo do Azure Stack Edge neste artigo.
  • Em seguida, reveja os Requisitos de certificado para cada tipo de certificado.
  • Em seguida, pode Criar os certificados através de Azure PowerShell ou Criar os certificados através da ferramenta Verificador de Preparação.
  • Por fim, converta os certificados para o formato adequado para que estejam prontos para serem carregados para o seu dispositivo.
  • Carregue os certificados no dispositivo.
  • Importe os certificados nos clientes que acedem ao dispositivo.

Tipos de certificado

Os vários tipos de certificados que pode trazer para o seu dispositivo são os seguintes:

• Certificados de assinatura

  • AC de Raiz
  • Intermédio

• Certificados de nós

• Certificados de ponto final

  • Certificados de Resource Manager do Azure
  • Certificados de armazenamento de blobs

• Certificados de IU local

• Certificados de dispositivo IoT

• Certificados do Kubernetes

  • Certificado do Edge Container Registry
  • Certificado de dashboard do Kubernetes

• certificados de Wi-Fi

• Certificados VPN

• Certificados de encriptação

  • Certificados de sessão de suporte

Cada tipo de certificado é descrito em detalhe nas secções seguintes.

Certificados da cadeia de assinatura

Estes são os certificados da autoridade que assina os certificados ou a autoridade de certificação de assinatura.

Tipos

Estes certificados podem ser certificados de raiz ou certificados intermédios. Os certificados de raiz são sempre autoassinados (ou assinados por si só). Os certificados intermédios não são autoassinados e são assinados pela autoridade de assinatura.

Limitações

• Os certificados de raiz devem ser certificados de cadeia de assinatura.
• Os certificados de raiz podem ser carregados no seu dispositivo no seguinte formato:
  • DER – estes estão disponíveis como uma extensão de .cer ficheiro.
  • Codificado com base 64 – estes estão disponíveis como .cer extensão de ficheiro.
  • P7b – este formato é utilizado apenas para certificados de cadeia de assinatura que incluem os certificados de raiz e intermédios.
• Os certificados da cadeia de assinatura são sempre carregados antes de carregar outros certificados.

Certificados de nós

Todos os nós no seu dispositivo estão constantemente a comunicar entre si e, portanto, precisam de ter uma relação de confiança. Os certificados de nó fornecem uma forma de estabelecer essa confiança. Os certificados de nó também são reproduzidos quando se liga ao nó do dispositivo através de uma sessão remota do PowerShell através de https.

Limitações

• O certificado de nó deve ser fornecido no .pfx formato com uma chave privada que pode ser exportada.

• Pode criar e carregar 1 certificado de nó universal ou 4 certificados de nós individuais.

• Um certificado de nó tem de ser alterado se o domínio DNS for alterado, mas o nome do dispositivo não for alterado. Se estiver a trazer o seu próprio certificado de nó, não pode alterar o número de série do dispositivo, só pode alterar o nome de domínio.

• Utilize a tabela seguinte para orientá-lo ao criar um certificado de nó.

  Tipo	Nome do requerente (SN)	Nome alternativo do requerente (SAN)	Exemplo de nome do requerente
  Nó	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certificados de ponto final

Para quaisquer pontos finais que o dispositivo exponha, é necessário um certificado para comunicação fidedigna. Os certificados de ponto final incluem os necessários ao aceder ao Resource Manager do Azure e ao armazenamento de blobs através das APIs REST.

Quando traz um certificado assinado próprio, também precisa da cadeia de assinatura correspondente do certificado. Para a cadeia de assinaturas, o Azure Resource Manager e os certificados de blob no dispositivo, precisará também dos certificados correspondentes no computador cliente para autenticar e comunicar com o dispositivo.

Limitações

• Os certificados de ponto final têm de estar em .pfx formato com uma chave privada. A cadeia de assinaturas deve ser o formato DER (.cer extensão de ficheiro).

• Quando traz os seus próprios certificados de ponto final, estes podem ser como certificados individuais ou certificados multidomaina.

• Se estiver a introduzir a cadeia de assinatura, o certificado da cadeia de assinatura tem de ser carregado antes de carregar um certificado de ponto final.

• Estes certificados têm de ser alterados se o nome do dispositivo ou os nomes de domínio DNS forem alterados.

• Pode ser utilizado um certificado de ponto final de caráter universal.

• As propriedades dos certificados de ponto final são semelhantes às de um certificado SSL típico.

• Utilize a seguinte tabela ao criar um certificado de ponto final:

  Tipo	Nome do requerente (SN)	Nome alternativo do requerente (SAN)	Exemplo de nome do requerente
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Armazenamento de blobs	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Certificado único multi-SAN para ambos os pontos finais	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Certificados de IU local

Pode aceder à IU da Web local do seu dispositivo através de um browser. Para garantir que esta comunicação é segura, pode carregar o seu próprio certificado.

Limitações

• O certificado de IU local também é carregado num .pfx formato com uma chave privada que pode ser exportada.

• Depois de carregar o certificado de IU local, terá de reiniciar o browser e limpar a cache. Veja as instruções específicas para o seu browser.

  Tipo	Nome do requerente (SN)	Nome alternativo do requerente (SAN)	Exemplo de nome do requerente
  IU Local	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

IoT Edge certificados de dispositivo

O seu dispositivo também é um dispositivo IoT com a computação ativada por um dispositivo IoT Edge ligado ao mesmo. Para qualquer comunicação segura entre este dispositivo IoT Edge e os dispositivos a jusante que possam ligar-se ao mesmo, também pode carregar certificados IoT Edge.

O dispositivo tem certificados autoassinados que podem ser utilizados se quiser utilizar apenas o cenário de computação com o dispositivo. No entanto, se o dispositivo estiver ligado a dispositivos a jusante, terá de trazer os seus próprios certificados.

Existem três certificados IoT Edge que precisa de instalar para ativar esta relação de confiança:

• Autoridade de certificação de raiz ou a autoridade de certificação do proprietário
• Autoridade de certificação do dispositivo
• Certificado de chave de dispositivo

Limitações

• Os certificados IoT Edge são carregados em .pem formato.

Para obter mais informações sobre IoT Edge certificados, veja Detalhes do certificado do Azure IoT Edge e Criar certificados de produção IoT Edge.

Certificados do Kubernetes

Os seguintes certificados do Kubernetes podem ser utilizados com o seu dispositivo do Azure Stack Edge.

• Certificado de registo de contentor do Edge: se o seu dispositivo tiver um registo de contentor do Edge, precisará de um certificado do Edge Container Registry para uma comunicação segura com o cliente que está a aceder ao registo no dispositivo.
• Certificado de ponto final do dashboard: precisará de um certificado de ponto final do dashboard para aceder ao dashboard do Kubernetes no seu dispositivo.

Limitações

• O certificado do Registo de Contentor do Edge deve:

  • Seja um certificado de formato PEM.
  • Contenham o Nome Alternativo do Requerente (SAN) ou CName (CN) do tipo: *.<endpoint suffix> ou ecr.<endpoint suffix>. Por exemplo: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• O certificado do dashboard deve:

  • Seja um certificado de formato PEM.
  • Contenham o Nome Alternativo do Requerente (SAN) ou CName (CN) do tipo: *.<endpoint-suffix> ou kubernetes-dashboard.<endpoint-suffix>. Por exemplo: *.dbe-1d6phq2.microsoftdatabox.com ou kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Certificados VPN

Se a VPN (Ponto a site) estiver configurada no seu dispositivo, pode trazer o seu próprio certificado VPN para garantir que a comunicação é fidedigna. O certificado de raiz é instalado no Gateway de VPN do Azure e os certificados de cliente são instalados em cada computador cliente que se liga a uma rede virtual através de Ponto a Site.

Limitações

• O certificado VPN tem de ser carregado como um formato .pfx com uma chave privada.
• O certificado VPN não depende do nome do dispositivo, do número de série do dispositivo ou da configuração do dispositivo. Só requer o FQDN externo.
• Certifique-se de que o OID do cliente está definido.

Para obter mais informações, veja Gerar e exportar certificados para Ponto a Site com o PowerShell.

certificados de Wi-Fi

Se o seu dispositivo estiver configurado para funcionar numa rede sem fios WPA2-Enterprise, também precisará de um certificado de Wi-Fi para qualquer comunicação que ocorra através da rede sem fios.

Limitações

• O certificado Wi-Fi tem de ser carregado como um formato .pfx com uma chave privada.
• Certifique-se de que o OID do cliente está definido.

Certificados de sessão de suporte

Se o seu dispositivo estiver a ter problemas, então, para resolver esses problemas, poderá ser aberta uma sessão remota do Suporte do PowerShell no dispositivo. Para ativar uma comunicação segura e encriptada através desta sessão de Suporte, pode carregar um certificado.

Limitações

• Certifique-se de que o certificado correspondente .pfx com chave privada está instalado no computador cliente com a ferramenta de desencriptação.

• Verifique se o campo Utilização da Chave do certificado não é Assinatura de Certificado. Para verificar, clique com o botão direito do rato no certificado, selecione Abrir e, no separador Detalhes , localize Utilização da Chave.

• O certificado de sessão de suporte tem de ser fornecido como formato DER com uma .cer extensão.

Passos seguintes

Reveja os requisitos de certificado.