Azure Stack Edge Pro GPU'da sertifikalar nelerdir?
UYGULANDI:Azure Stack Edge Pro -Azure Stack Edge Pro 2Azure Stack Edge Pro R
Bu makalede, Azure Stack Edge Pro GPU cihazınıza yüklenebilen sertifika türleri açıklanmaktadır. Makale ayrıca her sertifika türünün ayrıntılarını da içerir.
Sertifikalar hakkında
Sertifika, ortak anahtar ile güvenilir bir üçüncü taraf (sertifika yetkilisi gibi) tarafından imzalanmış (doğrulanmış) bir varlık (etki alanı adı gibi) arasında bir bağlantı sağlar. Sertifika, güvenilir ortak şifreleme anahtarlarını dağıtmanın kullanışlı bir yolunu sağlar. Sertifikalar, iletişiminizin güvenilir olduğundan ve şifrelenmiş bilgileri doğru sunucuya gönderdiğinizden emin olur.
Cihazda sertifika dağıtma
Azure Stack Edge cihazınızda otomatik olarak imzalanan sertifikaları kullanabilir veya kendi sertifikalarınızı getirebilirsiniz.
Cihaz tarafından oluşturulan sertifikalar: Cihazınız ilk yapılandırıldığında otomatik olarak imzalanan sertifikalar oluşturulur. Gerekirse, bu sertifikaları yerel web kullanıcı arabirimi aracılığıyla yeniden oluşturabilirsiniz. Sertifikalar yeniden oluşturulduğunda, cihazınıza erişmek için kullanılan istemcilerdeki sertifikaları indirin ve içeri aktarın.
Kendi sertifikalarınızı getirin: İsteğe bağlı olarak, kendi sertifikalarınızı getirebilirsiniz. Kendi sertifikalarınızı getirmeyi planlıyorsanız izlemeniz gereken yönergeler vardır.
- Bu makalede Azure Stack Edge cihazınızla kullanılabilecek sertifika türlerini anlayarak başlayın.
- Ardından, her sertifika türü için Sertifika gereksinimlerini gözden geçirin.
- Daha sonra Azure PowerShell aracılığıyla sertifikalarınızı oluşturabilir veya Hazır Olma Denetleyicisi aracıyla sertifikalarınızı oluşturabilirsiniz.
- Son olarak, sertifikaları cihazınıza yüklenmeye hazır olacak şekilde uygun biçime dönüştürün .
- Sertifikalarınızı cihaza yükleyin .
- Cihaza erişen istemcilerdeki sertifikaları içeri aktarın.
Sertifika türleri
Cihazınız için getirebileceğiniz çeşitli sertifika türleri şunlardır:
İmzalama sertifikaları
- Kök CA
- Orta
Düğüm sertifikaları
Uç nokta sertifikaları
- Azure Resource Manager sertifikaları
- Blob depolama sertifikaları
Yerel kullanıcı arabirimi sertifikaları
IoT cihaz sertifikaları
Kubernetes sertifikaları
- Edge Container Registry sertifikası
- Kubernetes pano sertifikası
sertifikaları Wi-Fi
VPN sertifikaları
Şifreleme sertifikaları
- Destek oturumu sertifikaları
Her sertifika türü aşağıdaki bölümlerde ayrıntılı olarak açıklanmıştır.
İmzalama zinciri sertifikaları
Bunlar, sertifikaları veya imzalama sertifika yetkilisini imzalayan yetkilinin sertifikalarıdır.
Türler
Bu sertifikalar kök sertifikalar veya ara sertifikalar olabilir. Kök sertifikalar her zaman otomatik olarak imzalanır (veya kendi kendine imzalanır). Ara sertifikalar otomatik olarak imzalanmaz ve imzalama yetkilisi tarafından imzalar.
Uyarılar
- Kök sertifikaların zincir sertifikalarını imzalaması gerekir.
- Kök sertifikalar cihazınıza aşağıdaki biçimde yüklenebilir:
- DER : Bunlar bir
.cer
dosya uzantısı olarak kullanılabilir. - Base-64 kodlanmış – Bunlar dosya uzantısı olarak
.cer
kullanılabilir. - P7b – Bu biçim yalnızca kök ve ara sertifikaları içeren zincir sertifikalarını imzalamak için kullanılır.
- DER : Bunlar bir
- İmzalama zinciri sertifikaları, diğer sertifikaları karşıya yüklemeden önce her zaman karşıya yüklenir.
Düğüm sertifikaları
Cihazınızdaki tüm düğümler sürekli birbirleriyle iletişim kurar ve bu nedenle bir güven ilişkisine sahip olması gerekir. Düğüm sertifikaları bu güveni oluşturmak için bir yol sağlar. Düğüm sertifikaları, https üzerinden uzak bir PowerShell oturumu kullanarak cihaz düğümüne bağlanırken de devreye girer.Uyarılar
Düğüm sertifikası dışarı aktarılabilir bir özel anahtarla biçimde sağlanmalıdır
.pfx
.1 joker düğüm sertifikası veya 4 ayrı düğüm sertifikası oluşturabilir ve karşıya yükleyebilirsiniz.
DNS etki alanı değişirse ancak cihaz adı değişmezse düğüm sertifikasının değiştirilmesi gerekir. Kendi düğüm sertifikanızı getiriyorsanız, cihaz seri numarasını değiştiremezsiniz, yalnızca etki alanı adını değiştirebilirsiniz.
Düğüm sertifikası oluştururken size yol göstermek için aşağıdaki tabloyu kullanın.
Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği Düğüm <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
Uç nokta sertifikaları
Cihazın kullanıma açık olduğu tüm uç noktalar için, güvenilir iletişim için bir sertifika gerekir. Uç nokta sertifikaları, REST API'leri aracılığıyla Azure Resource Manager ve blob depolamaya erişirken gerekenleri içerir.
Kendi imzalı sertifikanızı getirdiğinizde, sertifikanın ilgili imzalama zincirine de ihtiyacınız olur. İmzalama zinciri, Azure Resource Manager ve cihazdaki blob sertifikaları için istemci makinede ilgili sertifikaların da cihazla kimlik doğrulaması ve iletişim kurması gerekir.
Uyarılar
Uç nokta sertifikalarının özel anahtarla biçimde olması
.pfx
gerekir. İmzalama zinciri DER biçiminde.cer
(dosya uzantısı) olmalıdır.Kendi uç nokta sertifikalarınızı getirdiğinizde, bunlar tek tek sertifikalar veya çok etki alanı sertifikaları olabilir.
İmzalama zincirini getiriyorsanız, bir uç nokta sertifikasını karşıya yüklemeden önce imzalama zinciri sertifikasının karşıya yüklenmesi gerekir.
Cihaz adı veya DNS etki alanı adları değişirse bu sertifikaların değiştirilmesi gerekir.
Joker uç nokta sertifikası kullanılabilir.
Uç nokta sertifikalarının özellikleri, tipik bir SSL sertifikasının özelliklerine benzer.
Uç nokta sertifikası oluştururken aşağıdaki tabloyu kullanın:
Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Blob depolama *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Her iki uç nokta için çoklu SAN tek sertifikası <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Yerel kullanıcı arabirimi sertifikaları
Cihazınızın yerel web kullanıcı arabirimine bir tarayıcı üzerinden erişebilirsiniz. Bu iletişimin güvenli olduğundan emin olmak için kendi sertifikanızı karşıya yükleyebilirsiniz.
Uyarılar
Yerel kullanıcı arabirimi sertifikası da dışarı aktarılabilir
.pfx
bir özel anahtarla bir biçimde karşıya yüklenir.Yerel kullanıcı arabirimi sertifikasını karşıya yükledikten sonra tarayıcıyı yeniden başlatmanız ve önbelleği temizlemeniz gerekir. Tarayıcınız için belirli yönergelere bakın.
Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği Yerel Kullanıcı Arabirimi <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
Cihaz sertifikalarını IoT Edge
Cihazınız aynı zamanda bir IoT Edge cihazı tarafından etkinleştirilen bir IoT cihazıdır. Bu IoT Edge cihazıyla ona bağlanabilen aşağı akış cihazları arasındaki tüm güvenli iletişimler için IoT Edge sertifikaları da karşıya yükleyebilirsiniz.
Cihazla yalnızca işlem senaryolarını kullanmak istiyorsanız cihazda kullanılabilecek otomatik olarak imzalanan sertifikalar vardır. Cihaz aşağı akış cihazlarına bağlıysa kendi sertifikalarınızı getirmeniz gerekir.
Bu güven ilişkisini etkinleştirmek için yüklemeniz gereken üç IoT Edge sertifikası vardır:
- Kök sertifika yetkilisi veya sahip sertifika yetkilisi
- Cihaz sertifika yetkilisi
- Cihaz anahtarı sertifikası
Uyarılar
- IoT Edge sertifikaları biçiminde karşıya yüklenir
.pem
.
IoT Edge sertifikaları hakkında daha fazla bilgi için bkz. Azure IoT Edge sertifika ayrıntıları ve IoT Edge üretim sertifikaları oluşturma.
Kubernetes sertifikaları
Azure Stack Edge cihazınızla aşağıdaki Kubernetes sertifikaları kullanılabilir.
- Edge kapsayıcı kayıt defteri sertifikası: Cihazınızda Edge kapsayıcı kayıt defteri varsa, cihazdaki kayıt defterine erişen istemciyle güvenli iletişim için bir Edge Container Registry sertifikasına ihtiyacınız vardır.
- Pano uç noktası sertifikası: Cihazınızdaki Kubernetes panosuna erişmek için bir pano uç nokta sertifikası gerekir.
Uyarılar
Edge Container Registry sertifikası şu şekilde olmalıdır:
- PEM biçimli bir sertifika olun.
- Konu Alternatif Adı (SAN) veya CName (CN) türünden birini içerir:
*.<endpoint suffix>
veyaecr.<endpoint suffix>
. Örnek:*.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com
Pano sertifikası şu şekilde olmalıdır:
- PEM biçimli bir sertifika olun.
- Konu Alternatif Adı (SAN) veya CName (CN) türünden birini içerir:
*.<endpoint-suffix>
veyakubernetes-dashboard.<endpoint-suffix>
. Örneğin:*.dbe-1d6phq2.microsoftdatabox.com
veyakubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com
.
VPN sertifikaları
Cihazınızda VPN (Noktadan siteye) yapılandırılmışsa, iletişime güvenildiğinden emin olmak için kendi VPN sertifikanızı getirebilirsiniz. Kök sertifika Azure VPN Gateway yüklenir ve istemci sertifikaları Noktadan Siteye kullanarak bir sanal ağa bağlanan her istemci bilgisayara yüklenir.
Uyarılar
- VPN sertifikası özel anahtarla bir .pfx biçimi olarak karşıya yüklenmelidir.
- VPN sertifikası cihaz adına, cihaz seri numarasına veya cihaz yapılandırmasına bağımlı değildir. Yalnızca dış FQDN gerektirir.
- İstemci OID'sinin ayarlandığından emin olun.
Daha fazla bilgi için bkz. PowerShell kullanarak Noktadan Siteye sertifika oluşturma ve dışarı aktarma.
sertifikaları Wi-Fi
Cihazınız WPA2-Enterprise kablosuz ağ üzerinde çalışacak şekilde yapılandırılmışsa, kablosuz ağ üzerinden gerçekleşen tüm iletişimler için bir Wi-Fi sertifikasına da ihtiyacınız olacaktır.
Uyarılar
- Wi-Fi sertifikası özel anahtarla .pfx biçiminde karşıya yüklenmelidir.
- İstemci OID'sinin ayarlandığından emin olun.
Destek oturumu sertifikaları
Cihazınızda herhangi bir sorun varsa, bu sorunları gidermek için cihazda bir uzak PowerShell Desteği oturumu açılabilir. Bu Destek oturumu üzerinden güvenli ve şifreli bir iletişim sağlamak için bir sertifikayı karşıya yükleyebilirsiniz.
Uyarılar
Şifre çözme aracını kullanarak istemci makinesine özel anahtarla karşılık gelen
.pfx
sertifikanın yüklendiğinden emin olun.Sertifikanın Anahtar Kullanımı alanının Sertifika İmzalama olmadığını doğrulayın. Bunu doğrulamak için sertifikaya sağ tıklayın, Aç'ı seçin ve Ayrıntılar sekmesinde Anahtar Kullanımı'nı bulun.
Destek oturumu sertifikası, uzantılı
.cer
DER biçimi olarak sağlanmalıdır.