Co jsou certifikáty ve službě Azure Stack Edge Pro GPU?

PLATÍ PRO: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Tento článek popisuje typy certifikátů, které je možné nainstalovat na zařízení Azure Stack Edge Pro GPU. Článek obsahuje také podrobnosti o jednotlivých typech certifikátů.

Informace o certifikátech

Certifikát poskytuje propojení mezi veřejným klíčem a entitou (například názvem domény), která byla podepsána (ověřena) důvěryhodnou třetí stranou (například certifikační autoritou). Certifikát poskytuje pohodlný způsob distribuce důvěryhodných veřejných šifrovacích klíčů. Certifikáty zajišťují, že komunikace je důvěryhodná a že odesíláte šifrované informace na správný server.

Nasazení certifikátů na zařízení

Na zařízení Azure Stack Edge můžete používat certifikáty podepsané svým držitelem nebo používat vlastní certifikáty.

• Certifikáty generované zařízením: Při počáteční konfiguraci zařízení se automaticky vygenerují certifikáty podepsané svým držitelem. V případě potřeby můžete tyto certifikáty znovu vygenerovat prostřednictvím místního webového uživatelského rozhraní. Jakmile se certifikáty znovu vygenerují, stáhněte a naimportujte certifikáty na klientech používaných pro přístup k vašemu zařízení.

• Přineste si vlastní certifikáty: Volitelně můžete použít vlastní certifikáty. Pokud plánujete používat vlastní certifikáty, musíte postupovat podle pokynů.

  • Začněte pochopením typů certifikátů, které je možné použít s vaším zařízením Azure Stack Edge v tomto článku.
  • Dále zkontrolujte požadavky na certifikát pro každý typ certifikátu.
  • Certifikáty pak můžete vytvořit pomocí Azure PowerShellu nebo vytvořit certifikáty pomocí nástroje Readiness Checker.
  • Nakonec převeďte certifikáty do vhodného formátu, aby byly připravené k nahrání na vaše zařízení.
  • Nahrajte certifikáty do zařízení.
  • Importujte certifikáty na klientech , kteří k zařízení přistupují.

Typy certifikátů

Různé typycertifikátůch

• Podpisové certifikáty

  • Kořenová certifikační autorita
  • Středně pokročilý

• Certifikáty uzlů

• Certifikáty koncových bodů

  • Certifikáty Azure Resource Manageru
  • Certifikáty úložiště objektů blob

• Místní certifikáty uživatelského rozhraní

• Certifikáty zařízení IoT

• Certifikáty Kubernetes

  • Certifikát služby Edge Container Registry
  • Certifikát řídicího panelu Kubernetes

• Certifikáty Wi-Fi

• Certifikáty VPN

• Šifrovací certifikáty

  • Certifikáty relací podpory

Každý typ certifikátu je podrobně popsán v následujících částech.

Podpisové řetězové certifikáty

Jedná se o certifikáty pro autoritu, která certifikáty podepíše nebo podpisová certifikační autorita.

Typy

Tyto certifikáty můžou být kořenové nebo zprostředkující certifikáty. Kořenové certifikáty jsou vždy podepsané svým držitelem (nebo podepsané samotným). Zprostředkující certifikáty nejsou podepsané svým držitelem a podepsány podpisovou autoritou.

Upozornění

• Kořenové certifikáty by měly být podpisovým řetězem certifikátů.
• Kořenové certifikáty je možné nahrát do zařízení v následujícím formátu:
  • DER – Tyto jsou k dispozici jako .cer přípona souboru.
  • Kódování Base-64 – Tyto soubory jsou k dispozici jako .cer přípony souboru.
  • P7b – Tento formát se používá pouze pro podpisové řetězové certifikáty, které obsahují kořenové a zprostředkující certifikáty.
• Podpisové řetězové certifikáty se vždy nahrají, než nahrajete všechny ostatní certifikáty.

Certifikáty uzlů

Všechny uzly ve vašem zařízení spolu neustále komunikují a proto musí mít vztah důvěryhodnosti. Certifikáty uzlů poskytují způsob, jak tento vztah důvěryhodnosti vytvořit. Certifikáty uzlů se také přehrávají při připojování k uzlu zařízení pomocí vzdálené relace PowerShellu přes https.

Upozornění

• Certifikát uzlu by měl být poskytován ve .pfx formátu s privátním klíčem, který je možné exportovat.

• Můžete vytvořit a nahrát 1 certifikát se zástupnými uzlu nebo 4 certifikáty jednotlivých uzlů.

• Certifikát uzlu se musí změnit, pokud se doména DNS změní, ale název zařízení se nezmění. Pokud používáte vlastní certifikát uzlu, nemůžete změnit sériové číslo zařízení, můžete změnit jenom název domény.

• Při vytváření certifikátu uzlu vás provede následující tabulka.

  Typ	Název subjektu (SN)	Alternativní název subjektu (SAN)	Příklad názvu subjektu
  Uzel	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certifikáty koncových bodů

Pro všechny koncové body, které zařízení zveřejňuje, se pro důvěryhodnou komunikaci vyžaduje certifikát. Certifikáty koncových bodů zahrnují ty, které se vyžadují při přístupu k Azure Resource Manageru a úložišti objektů blob prostřednictvím rozhraní REST API.

Při přenesení podepsaného certifikátu vlastního certifikátu potřebujete také odpovídající podpisový řetězec certifikátu. Pro podpisový řetězec, Azure Resource Manager a certifikáty objektů blob v zařízení budete potřebovat odpovídající certifikáty na klientském počítači také k ověření a komunikaci se zařízením.

Upozornění

• Certifikáty koncových bodů musí být ve .pfx formátu s privátním klíčem. Podpisový řetězec by měl být formát DER (.cer přípona souboru).

• Když použijete vlastní certifikáty koncových bodů, můžou se jednat o jednotlivé certifikáty nebo vícedoménové certifikáty.

• Pokud používáte podpisový řetězec, musí se certifikát podpisového řetězce nahrát, než nahrajete certifikát koncového bodu.

• Tyto certifikáty se musí změnit, pokud se změní název zařízení nebo názvy domén DNS.

• Můžete použít certifikát koncového bodu se zástupným znakem.

• Vlastnosti certifikátů koncového bodu jsou podobné vlastnostem typického certifikátu SSL.

• Při vytváření certifikátu koncového bodu použijte následující tabulku:

  Typ	Název subjektu (SN)	Alternativní název subjektu (SAN)	Příklad názvu subjektu
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blob Storage	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Jeden certifikát s více sítěmi SAN pro oba koncové body	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Místní certifikáty uživatelského rozhraní

K místnímu webovému uživatelskému rozhraní zařízení se dostanete přes prohlížeč. Abyste měli jistotu, že je tato komunikace zabezpečená, můžete nahrát vlastní certifikát.

Upozornění

• Místní certifikát uživatelského rozhraní se také nahraje ve .pfx formátu s privátním klíčem, který je možné exportovat.

• Po nahrání místního certifikátu uživatelského rozhraní budete muset restartovat prohlížeč a vymazat mezipaměť. Projděte si konkrétní pokyny pro váš prohlížeč.

  Typ	Název subjektu (SN)	Alternativní název subjektu (SAN)	Příklad názvu subjektu
  Místní uživatelské rozhraní	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certifikáty zařízení IoT Edge

Vaše zařízení je také zařízení IoT s výpočetními prostředky povolenými zařízením IoT Edge připojeným k němu. Pro veškerou zabezpečenou komunikaci mezi tímto zařízením IoT Edge a podřízenými zařízeními, která se k němu můžou připojit, můžete také nahrát certifikáty IoT Edge.

Zařízení má certifikáty podepsané svým držitelem, které se dají použít, pokud chcete se zařízením používat jenom výpočetní scénář. Pokud je ale zařízení připojené k podřízeným zařízením, budete muset použít vlastní certifikáty.

K povolení tohoto vztahu důvěryhodnosti je potřeba nainstalovat tři certifikáty IoT Edge:

• Kořenová certifikační autorita nebo certifikační autorita vlastníka
• Certifikační autorita zařízení
• Certifikát klíče zařízení

Upozornění

• Certifikáty IoT Edge se nahrají ve .pem formátu.

Další informace o certifikátech IoT Edge najdete v podrobnostech o certifikátu Azure IoT Edge a vytváření produkčních certifikátů IoT Edge.

Certifikáty Kubernetes

S vaším zařízením Azure Stack Edge se můžou používat následující certifikáty Kubernetes.

• Certifikát registru kontejneru Edge: Pokud má vaše zařízení registr kontejneru Edge, budete potřebovat certifikát služby Edge Container Registry pro zabezpečenou komunikaci s klientem, který přistupuje k registru v zařízení.
• Certifikát koncového bodu řídicího panelu: Pro přístup k řídicímu panelu Kubernetes na vašem zařízení budete potřebovat certifikát koncového bodu řídicího panelu.

Upozornění

• Certifikát služby Edge Container Registry by měl:

  • Buďte certifikátem formátu PEM.
  • Obsahují alternativní název subjektu (SAN) nebo CName (CN) typu: *.<endpoint suffix> nebo ecr.<endpoint suffix>. Příklad: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Certifikát řídicího panelu by měl:

  • Buďte certifikátem formátu PEM.
  • Obsahují alternativní název subjektu (SAN) nebo CName (CN) typu: *.<endpoint-suffix> nebo kubernetes-dashboard.<endpoint-suffix>. Například: *.dbe-1d6phq2.microsoftdatabox.com nebo kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Certifikáty VPN

Pokud je na vašem zařízení nakonfigurovaná síť VPN (Point-to-Site), můžete použít vlastní certifikát VPN, abyste zajistili, že komunikace je důvěryhodná. Kořenový certifikát je nainstalovaný ve službě Azure VPN Gateway a klientské certifikáty se nainstalují do každého klientského počítače, který se připojuje k virtuální síti pomocí point-to-site.

Upozornění

• Certifikát VPN musí být nahrán jako formát .pfx s privátním klíčem.
• Certifikát VPN není závislý na názvu zařízení, sériovém čísle zařízení nebo konfiguraci zařízení. Vyžaduje pouze externí plně kvalifikovaný název domény.
• Ujistěte se, že je nastavený identifikátor OID klienta.

Další informace najdete v tématu Generování a export certifikátů pro point-to-site pomocí PowerShellu.

Certifikáty Wi-Fi

Pokud je vaše zařízení nakonfigurované tak, aby fungovalo v bezdrátové síti WPA2-Enterprise, budete také potřebovat certifikát Wi-Fi pro veškerou komunikaci přes bezdrátovou síť.

Upozornění

• Certifikát Wi-Fi musí být nahraný jako formát .pfx s privátním klíčem.
• Ujistěte se, že je nastavený identifikátor OID klienta.

Certifikáty relací podpory

Pokud u vašeho zařízení dochází k nějakým problémům, může se na zařízení otevřít vzdálená relace podpory PowerShellu. Pokud chcete povolit zabezpečenou šifrovanou komunikaci přes tuto relaci podpory, můžete nahrát certifikát.

Upozornění

• Pomocí nástroje pro dešifrování se ujistěte, že je na klientském počítači nainstalovaný odpovídající .pfx certifikát s privátním klíčem.

• Ověřte, že pole Použití klíče pro certifikát není podpisem certifikátu. Pokud to chcete ověřit, klikněte pravým tlačítkem myši na certifikát, zvolte Otevřít a na kartě Podrobnosti vyhledejte použití klíče.

• Certifikát relace podpory musí být poskytován jako formát DER s příponou .cer .

Další kroky

Zkontrolujte požadavky na certifikáty.