Använda certifikat med Azure Stack Edge Pro GPU-enhet

gäller för:  Ja för GPU för GPU Azure Stack Edge Pro – GPU  Yes för Pro r SKU Azure Stack Edge Pro r  Ja för mini r SKU Azure Stack Edge mini r                             

Den här artikeln beskriver hur du skapar egna certifikat med hjälp av Azure PowerShell-cmdlets. Artikeln innehåller de riktlinjer som du måste följa om du planerar att ta med dina egna certifikat på Azure Stack Edge enhet.

Certifikaten ser till att kommunikationen mellan enheten och klienterna som har åtkomst till den är betrodd och att du skickar krypterad information till rätt server. När din Azure Stack Edge har konfigurerats genereras automatiskt själv signerade certifikat. Du kan också ta med dina egna certifikat.

Du kan använda någon av följande metoder för att skapa egna certifikat för enheten:

  • Använd Azure PowerShell cmdlets.
  • Använd verktyget Azure Stack Hub för beredskapskontroll för att skapa begäranden om certifikatsignering (CSR) som hjälper din certifikatutfärdare att utfärda certifikat.

Den här artikeln beskriver bara hur du skapar egna certifikat med hjälp av Azure PowerShell-cmdlets.

Förutsättningar

Innan du tar med dina egna certifikat kontrollerar du att:

Skapa certifikat

I följande avsnitt beskrivs proceduren för att skapa signeringskedja och slutpunktscertifikat.

Arbetsflöde för certifikat

Du har ett definierat sätt att skapa certifikaten för de enheter som fungerar i din miljö. Du kan använda de certifikat som IT-administratören ger dig.

För utveckling eller testning kan du även använda Windows PowerShell för att skapa certifikat i det lokala systemet. Följ dessa riktlinjer när du skapar certifikaten för klienten:

  1. Du kan skapa någon av följande typer av certifikat:

    • Skapa ett enskilt certifikat som är giltigt för användning med ett enda fullständigt kvalificerat domännamn (FQDN). Du kan till exempel mydomain.com.
    • Skapa ett jokerteckencertifikat för att skydda huvuddomännamnet och flera underdomäner också. Till exempel *.mydomain.com.
    • Skapa ett SAN-certifikat (alternativt namn för certifikatutfärdare) som täcker flera domännamn i ett enskilt certifikat.
  2. Om du tar med ditt eget certifikat behöver du ett rotcertifikat för signeringskedjan. Se stegen för att skapa signeringskedjecertifikat.

  3. Därefter kan du skapa slutpunktscertifikaten för det lokala användargränssnittet för installationen, bloben och Azure Resource Manager. Du kan skapa tre separata certifikat för installationen, bloben och Azure Resource Manager, eller så kan du skapa ett certifikat för alla tre slutpunkterna. Detaljerade anvisningar finns i Skapa signerings- och slutpunktscertifikat.

  4. Oavsett om du skapar tre separata certifikat eller ett certifikat, anger du ämnesnamnen (SN) och alternativa namn för certifikatutfärdaren (SAN) enligt riktlinjerna för varje certifikattyp.

Skapa certifikat för signeringskedja

Skapa dessa certifikat via Windows PowerShell körs i administratörsläge. Certifikaten som skapas på det här sättet bör endast användas för utveckling eller testning.

Signeringskedjecertifikatet behöver bara skapas en gång. De andra slutpunktscertifikaten refererar till det här certifikatet för signering.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Skapa signerade slutpunktscertifikat

Skapa dessa certifikat via Windows PowerShell körs i administratörsläge.

I de här exemplen skapas slutpunktscertifikat för en enhet med: - Enhetsnamn: DBE-HWDC1T2 - DNS-domän: microsoftdatabox.com

Ersätt med namnet och DNS-domänen för din enhet för att skapa certifikat för din enhet.

Certifikat för blobslutpunkt

Skapa ett certifikat för blobslutpunkten i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Azure Resource Manager slutpunktscertifikat

Skapa ett certifikat för Azure Resource Manager slutpunkter i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certifikat för lokalt webbgränssnitt för enhet

Skapa ett certifikat för det lokala webbgränssnittet för enheten i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Ett certifikat med flera SAN-certifikat för alla slutpunkter

Skapa ett enskilt certifikat för alla slutpunkter i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

När certifikaten har skapats är nästa steg att ladda upp certifikaten på din Azure Stack Edge Pro GPU-enhet.

Nästa steg

Upload certifikat på enheten.