Freigeben über


Erstellen von Zertifikaten für Azure Stack Edge Pro GPU mit dem Azure Stack Hub Readiness Checker-Tool

GILT FÜR: Yes for Pro GPU SKUAzure Stack Edge Pro – GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

In diesem Artikel wird beschrieben, wie Sie Zertifikate für Ihr Azure Stack Edge Pro-Gerät mit dem Azure Stack Hub Readiness Checker-Tool erstellen.

Verwenden des Azure Stack Hub Readiness Checker-Tools

Erstellen Sie mit dem Azure Stack Hub Readiness Checker-Tool Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs), die für eine Azure Stack Edge Pro-Gerätebereitstellung geeignet sind. Sie können diese Anforderungen erstellen, nachdem Sie ein Azure Stack Edge Pro-Gerät bestellt haben und auf dessen Lieferung warten.

Hinweis

Verwenden Sie dieses Tool nur für Test- oder Entwicklungszwecke und nicht für Produktionsgeräte.

Mit dem Azure Stack Hub Readiness Checker-Tool (AzsReadinessChecker) können Sie die folgenden Zertifikate anfordern:

  • Azure Resource Manager-Zertifikat
  • Zertifikat für lokale Benutzeroberfläche
  • Knotenzertifikat
  • Blobzertifikat
  • VPN-Zertifikat

Voraussetzungen

Stellen Sie Folgendes sicher, um Zertifikatsignieranforderungen für die Azure Stack Edge Pro-Gerätebereitstellung zu erstellen:

  • Sie haben einen Client, auf dem Windows 10 oder Windows Server 2016 oder höher ausgeführt wird.
  • Sie haben das Microsoft Azure Stack Hub Readiness Checker-Tool aus dem PowerShell-Katalog auf dieses System heruntergeladen.
  • Halten Sie die folgenden Informationen für die Zertifikate bereit:
    • Gerätename
    • Knotenseriennummer
    • Externer vollqualifizierter Domänenname (FQDN)

Generieren von Zertifikatsignieranforderungen

Führen Sie die folgenden Schritte aus, um die Azure Stack Edge Pro-Gerätezertifikate vorzubereiten:

  1. Führen Sie PowerShell als Administrator aus (5.1 oder höher).

  2. Installieren Sie das Azure Stack Hub Readiness Checker-Tool. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker
    

    Um abzufragen, welche Version installiert ist, geben Sie Folgendes ein:

    Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
    
  3. Erstellen Sie ein Verzeichnis für alle Zertifikate, sofern Sie noch keines haben. Typ:

    New-Item "C:\certrequest" -ItemType Directory
    
  4. Um eine Zertifikatanforderung zu erstellen, geben Sie die folgenden Informationen an. Wenn Sie ein VPN-Zertifikat erstellen, sind einige dieser Eingaben nicht erforderlich.

    Eingabe Beschreibung
    OutputRequestPath Der Dateipfad auf dem lokalen Client, auf dem die Zertifikatanforderungen erstellt werden sollen.
    DeviceName Der Name Ihres Geräts auf der Seite Gerät in der lokalen Webbenutzeroberfläche Ihres Geräts.
    Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.
    NodeSerialNumber Die Node serial number des Geräteknotens, die auf der Seite Übersicht in der lokalen Weboberfläche Ihres Geräts angezeigt wird.
    Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.
    ExternalFQDN Der DNS domain-Wert auf der Seite Gerät in der lokalen Webbenutzeroberfläche Ihres Geräts.
    RequestType Der Anforderungstyp kann MultipleCSR (verschiedene Zertifikate für die verschiedenen Endpunkte) oder SingleCSR (ein einzelnes Zertifikat für alle Endpunkte) sein.
    Dieses Feld ist für ein VPN-Zertifikat nicht erforderlich.

    Geben Sie für alle Zertifikate mit Ausnahme des VPN-Zertifikats Folgendes ein:

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeDEVICE'
        DeviceName = 'myTEA1'
        NodeSerialNumber = 'VM1500-00025'
        externalFQDN = 'azurestackedge.contoso.com'
        requestType = 'MultipleCSR'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    

    Wenn Sie ein VPN-Zertifikat erstellen, geben Sie Folgendes ein:

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeVPN'
        externalFQDN = 'azurestackedge.contoso.com'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    
  5. Die Zertifikatanforderungsdateien befinden sich in dem Verzeichnis, das Sie im obigen OutputRequestPath-Parameter angegeben haben. Wenn Sie den MultipleCSR-Parameter verwenden, werden die folgenden vier Dateien mit der Dateiendung .req angezeigt:

    Dateinamen Typ der Zertifikatanforderung
    Beginnend mit Ihrer DeviceName Zertifikatanforderung für lokale Webbenutzeroberfläche
    Beginnend mit Ihrer NodeSerialNumber Knotenzertifikatanforderung
    Seit login Zertifikatanforderung für Azure Resource Manager-Endpunkt
    Seit wildcard Blob Storage-Zertifikatanforderung. Sie enthält einen Platzhalter, da sie alle Speicherkonten abdeckt, die Sie möglicherweise auf dem Gerät erstellen.
    Seit AzureStackEdgeVPNCertificate VPN-Client-Zertifikatanforderung.

    Außerdem wird ein INF-Ordner angezeigt. Dieser enthält eine Informationsdatei namens management.<Name des Edge-Geräts> in Klartext, in der die Zertifikatdetails erläutert werden.

  6. Übermitteln Sie diese Dateien an Ihre Zertifizierungsstelle (intern oder öffentlich). Stellen Sie sicher, dass Ihre Zertifizierungsstelle mithilfe Ihrer generierten Anforderung Zertifikate generiert, die den Anforderungen an Azure Stack Edge Pro-Zertifikate für Knotenzertifikate, Endpunktzertifikate und Zertifikate für die lokale Benutzeroberfläche entsprechen.

Vorbereiten von Zertifikaten für die Bereitstellung

Die Zertifikatsdateien, die Sie von der Zertifizierungsstelle erhalten, müssen mit Eigenschaften importiert und exportiert werden, die den Zertifikatanforderungen des Azure Stack Edge Pro-Geräts entsprechen. Führen Sie die folgenden Schritte auf demselben System aus, auf dem Sie die Zertifikatsignieranforderungen generiert haben.

Überprüfen von Zertifikaten

Zuerst generieren Sie eine ordnungsgemäße Ordnerstruktur und platzieren die Zertifikate in den entsprechenden Ordnern. Erst dann überprüfen Sie die Zertifikate mit dem Tool.

  1. Führen Sie PowerShell als Administrator aus.

  2. Geben Sie Folgendes an der Eingabeaufforderung ein, um die entsprechende Ordnerstruktur zu generieren:

    New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

  3. Konvertieren Sie das PFX-Kennwort in eine sichere Zeichenfolge. Typ:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

  4. Überprüfen Sie als Nächstes die Zertifikate. Typ:

    Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Nächste Schritte

Hochladen von Zertifikaten auf das Gerät