Usar certificados com o dispositivo GPU do Azure Stack Edge Pro

Artigo
10/26/2023

APLICA-SE A: Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Azure Stack Edge Mini R Yes for Mini R SKU

Este artigo descreve o procedimento para criar seus próprios certificados usando os cmdlets do Azure PowerShell. O artigo inclui as diretrizes que você precisa seguir se planeja trazer seus próprios certificados no dispositivo Azure Stack Edge.

Os certificados garantem que a comunicação entre seu dispositivo e os clientes que o acessam é confiável e que você está enviando informações criptografadas para o servidor certo. Quando seu dispositivo Azure Stack Edge é configurado inicialmente, os certificados autoassinados são gerados automaticamente. Opcionalmente, você pode trazer seus próprios certificados.

Você pode usar um dos seguintes métodos para criar seus próprios certificados para o dispositivo:

Use os cmdlets do Azure PowerShell.
Use a ferramenta Verificador de Preparação do Hub de Pilha do Azure para criar solicitações de assinatura de certificado (CSRs) que ajudariam sua autoridade de certificação a emitir certificados.

Este artigo aborda apenas como criar seus próprios certificados usando os cmdlets do Azure PowerShell.

Pré-requisitos

Antes de trazer os seus próprios certificados, certifique-se de que:

Você está familiarizado com os Tipos de certificados que podem ser usados com seu dispositivo Azure Stack Edge.
Você analisou os requisitos de certificado para cada tipo de certificado.

Criar certificados

A seção a seguir descreve o procedimento para criar certificados de cadeia de assinatura e ponto de extremidade.

Fluxo de trabalho de certificado

Você terá uma maneira definida de criar os certificados para os dispositivos que operam em seu ambiente. Você pode usar os certificados fornecidos pelo administrador de TI.

Apenas para fins de desenvolvimento ou teste, você também pode usar o Windows PowerShell para criar certificados em seu sistema local. Ao criar os certificados para o cliente, siga estas diretrizes:

Você pode criar qualquer um dos seguintes tipos de certificados:
- Crie um único certificado válido para uso com um único FQDN (nome de domínio totalmente qualificado). Por exemplo, mydomain.com.
- Crie um certificado curinga para proteger o nome de domínio principal e vários subdomínios também. Por exemplo, *.mydomain.com.
- Crie um certificado de nome alternativo de entidade (SAN) que abranja vários nomes de domínio em um único certificado.
Se você estiver trazendo seu próprio certificado, precisará de um certificado raiz para a cadeia de assinatura. Consulte as etapas para Criar certificados de cadeia de assinatura.
Em seguida, você pode criar os certificados de ponto de extremidade para a interface do usuário local do dispositivo, blob e Azure Resource Manager. Você pode criar 3 certificados separados para o dispositivo, blob e Azure Resource Manager ou pode criar um certificado para todos os 3 pontos de extremidade. Para obter etapas detalhadas, consulte Criar certificados de assinatura e ponto de extremidade.
Quer você esteja criando 3 certificados separados ou um certificado, especifique os nomes de entidade (SN) e nomes alternativos de entidade (SAN) de acordo com as diretrizes fornecidas para cada tipo de certificado.

Criar certificado de cadeia de assinatura

Crie esses certificados por meio do Windows PowerShell em execução no modo de administrador. Os certificados criados desta forma devem ser usados apenas para fins de desenvolvimento ou teste.

O certificado da cadeia de assinatura precisa ser criado apenas uma vez. Os outros certificados de ponto final farão referência a este certificado para assinatura.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Criar certificados de ponto de extremidade assinados

Crie esses certificados por meio do Windows PowerShell em execução no modo de administrador.

Nestes exemplos, os certificados de pontos de extremidade são criados para um dispositivo com: - Nome do dispositivo: - Domínio DNS: DBE-HWDC1T2microsoftdatabox.com

Substitua pelo nome e domínio DNS do seu dispositivo para criar certificados para o dispositivo.

Certificado de ponto de extremidade de blob

Crie um certificado para o ponto de extremidade Blob em seu armazenamento pessoal.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certificado de ponto de extremidade do Azure Resource Manager

Crie um certificado para os pontos de extremidade do Azure Resource Manager em seu repositório pessoal.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certificado de interface do usuário da Web local do dispositivo

Crie um certificado para a interface do usuário da Web local do dispositivo em sua loja pessoal.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certificado multi-SAN único para todos os endpoints

Crie um único certificado para todos os pontos de extremidade em seu armazenamento pessoal.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Depois que os certificados forem criados, a próxima etapa é carregá-los em seu dispositivo de GPU do Azure Stack Edge Pro.

Próximos passos

Carregue certificados no seu dispositivo.