Použití certifikátů se zařízením AZURE Stack Edge Pro GPU
PLATÍ PRO:
Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Tento článek popisuje postup vytvoření vlastních certifikátů pomocí rutin Azure PowerShellu. Tento článek obsahuje pokyny, které je potřeba dodržovat, pokud plánujete používat vlastní certifikáty na zařízení Azure Stack Edge.
Certifikáty zajišťují, že komunikace mezi vaším zařízením a klienty, kteří k němu přistupují, je důvěryhodná a že odesíláte šifrované informace na správný server. Když je vaše zařízení Azure Stack Edge původně nakonfigurované, certifikáty podepsané svým držitelem se automaticky vygenerují. Volitelně můžete použít vlastní certifikáty.
K vytvoření vlastních certifikátů pro zařízení můžete použít jednu z následujících metod:
- Použijte rutiny Azure PowerShellu.
- Pomocí nástroje Azure Stack Hub Readiness Checker můžete vytvářet žádosti o podepsání certifikátů (CRS), které by vaší certifikační autoritě pomohly vydávat certifikáty.
Tento článek popisuje, jak vytvořit vlastní certifikáty pomocí rutin Azure PowerShellu.
Požadavky
Před používáním vlastních certifikátů se ujistěte, že:
- Znáte typy certifikátů, které se dají použít s vaším zařízením Azure Stack Edge.
- Zkontrolovali jste požadavky na certifikát pro každý typ certifikátu.
Vytvoření certifikátů
Následující část popisuje postup vytvoření podpisového řetězu a certifikátů koncových bodů.
Pracovní postup certifikátu
Budete mít definovaný způsob, jak vytvořit certifikáty pro zařízení, která pracují ve vašem prostředí. Certifikáty, které vám poskytl správce IT, můžete použít.
Pouze pro účely vývoje nebo testování můžete k vytvoření certifikátů v místním systému použít Windows PowerShell. Při vytváření certifikátů pro klienta postupujte podle těchto pokynů:
Můžete vytvořit libovolný z následujících typů certifikátů:
- Vytvořte jeden certifikát platný pro použití s jedním plně kvalifikovaným názvem domény (FQDN). Například mydomain.com.
- Vytvořte certifikát se zástupným znakem pro zabezpečení hlavního názvu domény a několika dílčích domén. Například *.mydomain.com.
- Vytvořte certifikát alternativního názvu subjektu (SAN), který bude zahrnovat více názvů domén v jednom certifikátu.
Pokud přinášíte vlastní certifikát, budete potřebovat kořenový certifikát pro podpisový řetězec. Postup vytvoření podpisových certifikátů řetězu
Dále můžete vytvořit certifikáty koncových bodů pro místní uživatelské rozhraní zařízení, objektu blob a Azure Resource Manageru. Pro zařízení, objekt blob a Azure Resource Manager můžete vytvořit 3 samostatné certifikáty nebo můžete vytvořit jeden certifikát pro všechny tři koncové body. Podrobný postup najdete v tématu Vytvoření podpisových certifikátů a certifikátů koncových bodů.
Bez ohledu na to, jestli vytváříte 3 samostatné certifikáty nebo jeden certifikát, zadejte názvy subjektů (SN) a alternativní názvy subjektu (SAN) podle pokynů uvedených pro jednotlivé typy certifikátů.
Vytvoření certifikátu podpisového řetězu
Tyto certifikáty můžete vytvořit přes Windows PowerShell spuštěný v režimu správce. Certifikáty vytvořené tímto způsobem by se měly používat pouze pro účely vývoje nebo testování.
Podpisový řetězový certifikát je potřeba vytvořit jenom jednou. Ostatní certifikáty koncového bodu budou odkazovat na tento certifikát pro podepisování.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
Vytvoření podepsaných certifikátů koncových bodů
Tyto certifikáty můžete vytvořit přes Windows PowerShell spuštěný v režimu správce.
V těchto příkladech se pro zařízení vytvoří certifikáty koncových bodů s: – Název zařízení: DBE-HWDC1T2 – doména DNS: microsoftdatabox.com
Nahraďte názvem a doménou DNS pro vaše zařízení, aby se vytvořily certifikáty pro vaše zařízení.
Certifikát koncového bodu objektu blob
Vytvořte certifikát pro koncový bod objektu blob v osobním úložišti.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certifikát koncového bodu Azure Resource Manageru
Vytvořte certifikát pro koncové body Azure Resource Manageru v osobním úložišti.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certifikát místního webového uživatelského rozhraní zařízení
Vytvořte certifikát pro místní webové uživatelské rozhraní zařízení v osobním úložišti.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Jeden certifikát s více sítěmi SAN pro všechny koncové body
Vytvořte jeden certifikát pro všechny koncové body ve vašem osobním úložišti.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Po vytvoření certifikátů je dalším krokem nahrání certifikátů na zařízení Azure Stack Edge Pro GPU.