Erstellen von Zertifikaten für Azure Stack Edge Pro GPU mit dem Azure Stack Hub Readiness Checker-Tool
GILT FÜR: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
In diesem Artikel wird beschrieben, wie Sie Zertifikate für Ihr Azure Stack Edge Pro-Gerät mit dem Azure Stack Hub Readiness Checker-Tool erstellen.
Verwenden des Azure Stack Hub Readiness Checker-Tools
Erstellen Sie mit dem Azure Stack Hub Readiness Checker-Tool Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs), die für eine Azure Stack Edge Pro-Gerätebereitstellung geeignet sind. Sie können diese Anforderungen erstellen, nachdem Sie ein Azure Stack Edge Pro-Gerät bestellt haben und auf dessen Lieferung warten.
Hinweis
Verwenden Sie dieses Tool nur für Test- oder Entwicklungszwecke und nicht für Produktionsgeräte.
Mit dem Azure Stack Hub Readiness Checker-Tool (AzsReadinessChecker) können Sie die folgenden Zertifikate anfordern:
- Azure Resource Manager-Zertifikat
- Zertifikat für lokale Benutzeroberfläche
- Knotenzertifikat
- Blobzertifikat
- VPN-Zertifikat
Voraussetzungen
Stellen Sie Folgendes sicher, um Zertifikatsignieranforderungen für die Azure Stack Edge Pro-Gerätebereitstellung zu erstellen:
- Sie haben einen Client, auf dem Windows 10 oder Windows Server 2016 oder höher ausgeführt wird.
- Sie haben das Microsoft Azure Stack Hub Readiness Checker-Tool aus dem PowerShell-Katalog auf dieses System heruntergeladen.
- Halten Sie die folgenden Informationen für die Zertifikate bereit:
- Gerätename
- Knotenseriennummer
- Externer vollqualifizierter Domänenname (FQDN)
Generieren von Zertifikatsignieranforderungen
Führen Sie die folgenden Schritte aus, um die Azure Stack Edge Pro-Gerätezertifikate vorzubereiten:
Führen Sie PowerShell als Administrator aus (5.1 oder höher).
Installieren Sie das Azure Stack Hub Readiness Checker-Tool. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:
Install-Module -Name Microsoft.AzureStack.ReadinessChecker
Um abzufragen, welche Version installiert ist, geben Sie Folgendes ein:
Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker | ft Name, Version
Erstellen Sie ein Verzeichnis für alle Zertifikate, sofern Sie noch keines haben. Typ:
New-Item "C:\certrequest" -ItemType Directory
Um eine Zertifikatanforderung zu erstellen, geben Sie die folgenden Informationen an. Wenn Sie ein VPN-Zertifikat erstellen, sind einige dieser Eingaben nicht erforderlich.
Eingabe Beschreibung OutputRequestPath
Der Dateipfad auf dem lokalen Client, auf dem die Zertifikatanforderungen erstellt werden sollen. DeviceName
Der Name Ihres Geräts auf der Seite Gerät in der lokalen Webbenutzeroberfläche Ihres Geräts.
Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.NodeSerialNumber
Die Node serial number
des Geräteknotens, die auf der Seite Übersicht in der lokalen Weboberfläche Ihres Geräts angezeigt wird.
Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.ExternalFQDN
Der DNS domain
-Wert auf der Seite Gerät in der lokalen Webbenutzeroberfläche Ihres Geräts.RequestType
Der Anforderungstyp kann MultipleCSR
(verschiedene Zertifikate für die verschiedenen Endpunkte) oderSingleCSR
(ein einzelnes Zertifikat für alle Endpunkte) sein.
Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.Geben Sie für alle Zertifikate mit Ausnahme des VPN-Zertifikats Folgendes ein:
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeDEVICE' DeviceName = 'myTEA1' NodeSerialNumber = 'VM1500-00025' externalFQDN = 'azurestackedge.contoso.com' requestType = 'MultipleCSR' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams
Wenn Sie ein VPN-Zertifikat erstellen, geben Sie Folgendes ein:
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeVPN' externalFQDN = 'azurestackedge.contoso.com' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams
Die Zertifikatanforderungsdateien befinden sich in dem Verzeichnis, das Sie im obigen OutputRequestPath-Parameter angegeben haben. Wenn Sie den
MultipleCSR
-Parameter verwenden, werden die folgenden vier Dateien mit der Dateiendung.req
angezeigt:Dateinamen Typ der Zertifikatanforderung Beginnend mit Ihrer DeviceName
Zertifikatanforderung für lokale Webbenutzeroberfläche Beginnend mit Ihrer NodeSerialNumber
Knotenzertifikatanforderung Seit login
Zertifikatanforderung für Azure Resource Manager-Endpunkt Seit wildcard
Blob Storage-Zertifikatanforderung. Sie enthält einen Platzhalter, da sie alle Speicherkonten abdeckt, die Sie möglicherweise auf dem Gerät erstellen. Seit AzureStackEdgeVPNCertificate
VPN-Client-Zertifikatanforderung. Außerdem wird ein INF-Ordner angezeigt. Dieser enthält eine Informationsdatei namens management.<Name des Edge-Geräts> in Klartext, in der die Zertifikatdetails erläutert werden.
Übermitteln Sie diese Dateien an Ihre Zertifizierungsstelle (intern oder öffentlich). Stellen Sie sicher, dass Ihre Zertifizierungsstelle mithilfe Ihrer generierten Anforderung Zertifikate generiert, die den Anforderungen an Azure Stack Edge Pro-Zertifikate für Knotenzertifikate, Endpunktzertifikate und Zertifikate für die lokale Benutzeroberfläche entsprechen.
Vorbereiten von Zertifikaten für die Bereitstellung
Die Zertifikatsdateien, die Sie von der Zertifizierungsstelle erhalten, müssen mit Eigenschaften importiert und exportiert werden, die den Zertifikatanforderungen des Azure Stack Edge Pro-Geräts entsprechen. Führen Sie die folgenden Schritte auf demselben System aus, auf dem Sie die Zertifikatsignieranforderungen generiert haben.
Zum Importieren der Zertifikate führen Sie die unter Importieren von Zertifikaten auf den Clients, die auf das Azure Stack Edge Pro-Gerät zugreifen beschriebenen Schritte aus.
Zum Exportieren der Zertifikate führen Sie die unter Exportieren von Zertifikaten von dem Client, der auf das Azure Stack Edge Pro-Gerät zugreift beschriebenen Schritte aus.
Überprüfen von Zertifikaten
Zuerst generieren Sie eine ordnungsgemäße Ordnerstruktur und platzieren die Zertifikate in den entsprechenden Ordnern. Erst dann überprüfen Sie die Zertifikate mit dem Tool.
Führen Sie PowerShell als Administrator aus.
Geben Sie Folgendes an der Eingabeaufforderung ein, um die entsprechende Ordnerstruktur zu generieren:
New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"
Konvertieren Sie das PFX-Kennwort in eine sichere Zeichenfolge. Typ:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
Überprüfen Sie als Nächstes die Zertifikate. Typ:
Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword