Aracılığıyla paylaş

Azure Stack Edge Pro GPU'da sertifikalar nelerdir?

  • Makale

UYGULANDI:Pro GPU SKU'su için EvetAzure Stack Edge Pro -Pro 2 için GPU Evet SKUAzure Stack Edge Pro 2Pro R SKU için EvetAzure Stack Edge Pro RMini R için Evet

Bu makalede, Azure Stack Edge Pro GPU cihazınıza yüklenebilen sertifika türleri açıklanmaktadır. Makale ayrıca her sertifika türünün ayrıntılarını da içerir.

Sertifikalar hakkında

Sertifika, ortak anahtar ile güvenilir bir üçüncü taraf (sertifika yetkilisi gibi) tarafından imzalanmış (doğrulanmış) bir varlık (etki alanı adı gibi) arasında bir bağlantı sağlar. Sertifika, güvenilir ortak şifreleme anahtarlarını dağıtmanın kullanışlı bir yolunu sağlar. Sertifikalar, iletişiminizin güvenilir olduğundan ve şifrelenmiş bilgileri doğru sunucuya gönderdiğinizden emin olur.

Cihazda sertifika dağıtma

Azure Stack Edge cihazınızda otomatik olarak imzalanan sertifikaları kullanabilir veya kendi sertifikalarınızı getirebilirsiniz.

Sertifika türleri

Cihazınız için getirebileceğiniz çeşitli sertifika türleri şunlardır:

  • İmzalama sertifikaları

    • Kök CA
    • Orta

  • Düğüm sertifikaları

  • Uç nokta sertifikaları

    • Azure Resource Manager sertifikaları
    • Blob depolama sertifikaları

  • Yerel kullanıcı arabirimi sertifikaları

  • IoT cihaz sertifikaları

  • Kubernetes sertifikaları

    • Edge Container Registry sertifikası
    • Kubernetes pano sertifikası

  • sertifikaları Wi-Fi

  • VPN sertifikaları

  • Şifreleme sertifikaları

    • Destek oturumu sertifikaları

Her sertifika türü aşağıdaki bölümlerde ayrıntılı olarak açıklanmıştır.

İmzalama zinciri sertifikaları

Bunlar, sertifikaları veya imzalama sertifika yetkilisini imzalayan yetkilinin sertifikalarıdır.

Türler

Bu sertifikalar kök sertifikalar veya ara sertifikalar olabilir. Kök sertifikalar her zaman otomatik olarak imzalanır (veya kendi kendine imzalanır). Ara sertifikalar otomatik olarak imzalanmaz ve imzalama yetkilisi tarafından imzalar.

Uyarılar

  • Kök sertifikaların zincir sertifikalarını imzalaması gerekir.
  • Kök sertifikalar cihazınıza aşağıdaki biçimde yüklenebilir:
    • DER : Bunlar bir .cer dosya uzantısı olarak kullanılabilir.
    • Base-64 kodlanmış – Bunlar dosya uzantısı olarak .cer kullanılabilir.
    • P7b – Bu biçim yalnızca kök ve ara sertifikaları içeren zincir sertifikalarını imzalamak için kullanılır.
  • İmzalama zinciri sertifikaları, diğer sertifikaları karşıya yüklemeden önce her zaman karşıya yüklenir.

Düğüm sertifikaları

Cihazınızdaki tüm düğümler sürekli birbirleriyle iletişim kurar ve bu nedenle bir güven ilişkisine sahip olması gerekir. Düğüm sertifikaları bu güveni oluşturmak için bir yol sağlar. Düğüm sertifikaları, https üzerinden uzak bir PowerShell oturumu kullanarak cihaz düğümüne bağlanırken de devreye girer.

Uyarılar

  • Düğüm sertifikası dışarı aktarılabilir bir özel anahtarla biçimde sağlanmalıdır .pfx .

  • 1 joker düğüm sertifikası veya 4 ayrı düğüm sertifikası oluşturabilir ve karşıya yükleyebilirsiniz.

  • DNS etki alanı değişirse ancak cihaz adı değişmezse düğüm sertifikasının değiştirilmesi gerekir. Kendi düğüm sertifikanızı getiriyorsanız, cihaz seri numarasını değiştiremezsiniz, yalnızca etki alanı adını değiştirebilirsiniz.

  • Düğüm sertifikası oluştururken size yol göstermek için aşağıdaki tabloyu kullanın.

    Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği
    Düğüm <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com

Uç nokta sertifikaları

Cihazın kullanıma açık olduğu tüm uç noktalar için, güvenilir iletişim için bir sertifika gerekir. Uç nokta sertifikaları, REST API'leri aracılığıyla Azure Resource Manager ve blob depolamaya erişirken gerekenleri içerir.

Kendi imzalı sertifikanızı getirdiğinizde, sertifikanın ilgili imzalama zincirine de ihtiyacınız olur. İmzalama zinciri, Azure Resource Manager ve cihazdaki blob sertifikaları için istemci makinede ilgili sertifikaların da cihazla kimlik doğrulaması ve iletişim kurması gerekir.

Uyarılar

  • Uç nokta sertifikalarının özel anahtarla biçimde olması .pfx gerekir. İmzalama zinciri DER biçiminde.cer (dosya uzantısı) olmalıdır.

  • Kendi uç nokta sertifikalarınızı getirdiğinizde, bunlar tek tek sertifikalar veya çok etki alanı sertifikaları olabilir.

  • İmzalama zincirini getiriyorsanız, bir uç nokta sertifikasını karşıya yüklemeden önce imzalama zinciri sertifikasının karşıya yüklenmesi gerekir.

  • Cihaz adı veya DNS etki alanı adları değişirse bu sertifikaların değiştirilmesi gerekir.

  • Joker uç nokta sertifikası kullanılabilir.

  • Uç nokta sertifikalarının özellikleri, tipik bir SSL sertifikasının özelliklerine benzer.

  • Uç nokta sertifikası oluştururken aşağıdaki tabloyu kullanın:

    Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob depolama *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Her iki uç nokta için çoklu SAN tek sertifikası <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com

Yerel kullanıcı arabirimi sertifikaları

Cihazınızın yerel web kullanıcı arabirimine bir tarayıcı üzerinden erişebilirsiniz. Bu iletişimin güvenli olduğundan emin olmak için kendi sertifikanızı karşıya yükleyebilirsiniz.

Uyarılar

  • Yerel kullanıcı arabirimi sertifikası da dışarı aktarılabilir .pfx bir özel anahtarla bir biçimde karşıya yüklenir.

  • Yerel kullanıcı arabirimi sertifikasını karşıya yükledikten sonra tarayıcıyı yeniden başlatmanız ve önbelleği temizlemeniz gerekir. Tarayıcınız için belirli yönergelere bakın.

    Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği
    Yerel Kullanıcı Arabirimi <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com

Cihaz sertifikalarını IoT Edge

Cihazınız aynı zamanda bir IoT Edge cihazı tarafından etkinleştirilen bir IoT cihazıdır. Bu IoT Edge cihazıyla ona bağlanabilen aşağı akış cihazları arasındaki tüm güvenli iletişimler için IoT Edge sertifikaları da karşıya yükleyebilirsiniz.

Cihazla yalnızca işlem senaryolarını kullanmak istiyorsanız cihazda kullanılabilecek otomatik olarak imzalanan sertifikalar vardır. Cihaz aşağı akış cihazlarına bağlıysa kendi sertifikalarınızı getirmeniz gerekir.

Bu güven ilişkisini etkinleştirmek için yüklemeniz gereken üç IoT Edge sertifikası vardır:

  • Kök sertifika yetkilisi veya sahip sertifika yetkilisi
  • Cihaz sertifika yetkilisi
  • Cihaz anahtarı sertifikası

Uyarılar

  • IoT Edge sertifikaları biçiminde karşıya yüklenir.pem.

IoT Edge sertifikaları hakkında daha fazla bilgi için bkz. Azure IoT Edge sertifika ayrıntıları ve IoT Edge üretim sertifikaları oluşturma.

Kubernetes sertifikaları

Azure Stack Edge cihazınızla aşağıdaki Kubernetes sertifikaları kullanılabilir.

  • Edge kapsayıcı kayıt defteri sertifikası: Cihazınızda Edge kapsayıcı kayıt defteri varsa, cihazdaki kayıt defterine erişen istemciyle güvenli iletişim için bir Edge Container Registry sertifikasına ihtiyacınız vardır.
  • Pano uç noktası sertifikası: Cihazınızdaki Kubernetes panosuna erişmek için bir pano uç nokta sertifikası gerekir.

Uyarılar

  • Edge Container Registry sertifikası şu şekilde olmalıdır:

    • PEM biçimli bir sertifika olun.
    • Konu Alternatif Adı (SAN) veya CName (CN) türünden birini içerir: *.<endpoint suffix> veya ecr.<endpoint suffix>. Örnek: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

  • Pano sertifikası şu şekilde olmalıdır:

    • PEM biçimli bir sertifika olun.
    • Konu Alternatif Adı (SAN) veya CName (CN) türünden birini içerir: *.<endpoint-suffix> veya kubernetes-dashboard.<endpoint-suffix>. Örneğin: *.dbe-1d6phq2.microsoftdatabox.com veya kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

VPN sertifikaları

Cihazınızda VPN (Noktadan siteye) yapılandırılmışsa, iletişime güvenildiğinden emin olmak için kendi VPN sertifikanızı getirebilirsiniz. Kök sertifika Azure VPN Gateway yüklenir ve istemci sertifikaları Noktadan Siteye kullanarak bir sanal ağa bağlanan her istemci bilgisayara yüklenir.

Uyarılar

  • VPN sertifikası özel anahtarla bir .pfx biçimi olarak karşıya yüklenmelidir.
  • VPN sertifikası cihaz adına, cihaz seri numarasına veya cihaz yapılandırmasına bağımlı değildir. Yalnızca dış FQDN gerektirir.
  • İstemci OID'sinin ayarlandığından emin olun.

Daha fazla bilgi için bkz. PowerShell kullanarak Noktadan Siteye sertifika oluşturma ve dışarı aktarma.

sertifikaları Wi-Fi

Cihazınız WPA2-Enterprise kablosuz ağ üzerinde çalışacak şekilde yapılandırılmışsa, kablosuz ağ üzerinden gerçekleşen tüm iletişimler için bir Wi-Fi sertifikasına da ihtiyacınız olacaktır.

Uyarılar

  • Wi-Fi sertifikası özel anahtarla .pfx biçiminde karşıya yüklenmelidir.
  • İstemci OID'sinin ayarlandığından emin olun.

Destek oturumu sertifikaları

Cihazınızda herhangi bir sorun varsa, bu sorunları gidermek için cihazda bir uzak PowerShell Desteği oturumu açılabilir. Bu Destek oturumu üzerinden güvenli ve şifreli bir iletişim sağlamak için bir sertifikayı karşıya yükleyebilirsiniz.

Uyarılar

  • Şifre çözme aracını kullanarak istemci makinesine özel anahtarla karşılık gelen .pfx sertifikanın yüklendiğinden emin olun.

  • Sertifikanın Anahtar Kullanımı alanının Sertifika İmzalama olmadığını doğrulayın. Bunu doğrulamak için sertifikaya sağ tıklayın, Aç'ı seçin ve Ayrıntılar sekmesinde Anahtar Kullanımı'nı bulun.

  • Destek oturumu sertifikası, uzantılı .cer DER biçimi olarak sağlanmalıdır.

Sonraki adımlar

Sertifika gereksinimlerini gözden geçirin.