Compartir vía

Carga, importación, exportación y eliminación de certificados en Azure Stack Edge Pro con GPU

  • Artículo

SE APLICA A: Sí para Pro GPU SKUAzure Stack Edge Pro: GPUSí para Pro 2 SKUAzure Stack Edge Pro 2Sí para Pro R SKUAzure Stack Edge Pro RSí para Mini R SKUAzure Stack Edge Mini R

Para garantizar una comunicación segura y de confianza entre un dispositivo Azure Stack Edge y los clientes que se conectan a él, puede usar certificados autofirmados o traer sus propios certificados. En este artículo se describe cómo administrar estos certificados, lo que incluye cómo cargar, importar y exportar estos certificados. También puede ver las fechas de expiración del certificado y eliminar los certificados de firma antiguos.

Para más información sobre cómo crear estos certificados, consulte Creación de certificados mediante Azure PowerShell.

Carga de certificados en el dispositivo

Si trae sus propios certificados, los que ha creado para el dispositivo de manera predeterminada residen en el almacén Personal del cliente. Estos certificados tienen que exportarse en el cliente en archivos de formato adecuado que se puedan cargar en el dispositivo.

Requisitos previos

Antes de cargar los certificados raíz y los certificados de punto de conexión en el dispositivo, asegúrese de que los certificados se exportan en el formato adecuado.

Carga de certificados

Para cargar los certificados raíz y de punto de conexión en el dispositivo, use la opción + Agregar certificado de la página Certificados de la interfaz de usuario web local. Siga estos pasos:

  1. Cargue primero los certificados raíz. En la interfaz de usuario web local, vaya a Certificados.

  2. Select + Add certificate (+ Agregar certificado).

    Captura de pantalla que muestra la pantalla Agregar certificado cuando se añade el certificado de cadena de firmado en un dispositivo de Azure Stack Edge. El botón de guardado del certificado está marcado.

  3. Guarde el certificado.

Carga del certificado de punto de conexión

  1. A continuación, cargue los certificados de punto de conexión.

    Captura de pantalla que muestra la pantalla Agregar certificado cuando se añaden certificados de puntos de conexión a un dispositivo de Azure Stack Edge. El botón de guardado del certificado está marcado.

    Elija los archivos de certificado en formato .pfx y escriba la contraseña que proporcionó al exportar el certificado. El certificado de Azure Resource Manager puede tardar unos minutos en aplicarse.

    Si la cadena de firma no se actualiza primero e intenta cargar los certificados de punto de conexión, se producirá un error.

    Captura de pantalla que muestra el error al aplicar un certificado cuando se sube un certificado de puntos de conexión sin haber subido antes un certificado de firma de cadenas a un dispositivo de Azure Stack Edge.

    Vuelva y cargue el certificado de cadena de firma; después, cargue y aplique los certificados de punto de conexión.

Importante

Si cambian el nombre del dispositivo o el dominio DNS cambian, deben crearse certificados nuevos. Los certificados de cliente y los certificados de dispositivo deben actualizarse con el nombre de dispositivo y dominio DNS nuevos.

Carca de certificados de Kubernetes

Los certificados de Kubernetes pueden ser para Edge Container Registry o para el panel de Kubernetes. En cada caso, se deben cargar un certificado y un archivo de clave. Siga estos pasos para crear y cargar certificados de Kubernetes:

  1. Usará openssl para crear el certificado de panel de Kubernetes o Edge Container Registry. Asegúrese de instalar openssl en el sistema que usaría para crear los certificados. En un sistema Windows, puede usar Chocolatey para instalar openssl. Después de instalar Chocolatey, abra PowerShell y escriba:

    choco install openssl

  2. Use openssl para crear estos certificados. Se crean un archivo de certificado cert.pem y un archivo de clave key.pem.

    • Para Edge Container Registry, use el siguiente comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      A continuación, se incluye una salida de ejemplo:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Para el certificado de panel de Kubernetes, use el siguiente comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      A continuación, se incluye una salida de ejemplo:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Cargue el certificado de Kubernetes y el archivo de clave correspondiente que generó anteriormente.

    • Para Edge Container Registry

      Captura de pantalla que muestra la pantalla Agregar certificado cuando se añade un certificado de registro de contenedor de Edge a un dispositivo de Azure Stack Edge. Los botones Examinar del certificado y del archivo clave están marcados.

    • Para el panel de Kubernetes

      Captura de pantalla que muestra la pantalla Agregar certificado cuando se añade un certificado de panel de Kubernetes a un dispositivo de Azure Stack Edge. Los botones Examinar del certificado y del archivo clave están marcados.

Importación de certificados en el cliente que accede al dispositivo

Puede usar los certificados generados por el dispositivo o aportar sus propios certificados. Si se usan los certificados generados por el dispositivo, es preciso descargar los certificados en el cliente antes de poder importarlos en el almacén de certificados adecuado. Consulte Descarga de certificados en el cliente que accede al dispositivo.

En ambos casos, los certificados que ha creado y cargado en el dispositivo deben importarse en el cliente de Windows (que accede al dispositivo) en el almacén de certificados adecuado.

Importación de certificados con formato DER

Para importar certificados en un cliente de Windows, realice los pasos siguientes:

  1. Haga clic con el botón derecho en el archivo y seleccione Instalar certificado. Esta acción inicia el Asistente para importar certificados.

    Captura de pantalla del menú contextual de un archivo en el explorador de archivos de Windows. La opción de Instalar certificado está marcada.

  2. Para Ubicación de almacén, seleccione Máquina local y, después, Siguiente.

    Captura de pantalla del asistente de importación de certificados de un cliente de Windows. La ubicación de almacenamiento de la máquina local está marcada.

  3. Seleccione Colocar todos los certificados en el siguiente almacén y, después, Examinar.

    • Para importar en el almacén personal, vaya al almacén Personal del host remoto y seleccione Siguiente.

      Captura de pantalla del asistente de importación de certificados en Windows con certificado personal del almacén de certificados seleccionado. La opción Almacén de certificados y el botón Siguiente están marcados.

    • Para importar en el almacén de confianza, vaya a la entidad de certificación raíz de confianza y seleccione Siguiente.

      Captura de pantalla del asistente de importación de certificados de Windows con el certificado de autoridad de raíz de confianza del almacén de certificados seleccionado. La opción Almacén de certificados y el botón Siguiente están marcados.

  4. Seleccione Finalizar. Aparece un mensaje que indica que la importación se ha realizado correctamente.

Visualización de la expiración del certificado

Si incorpora sus propios certificados, estos expirarán normalmente en 1 año o 6 meses. Para ver la fecha de expiración del certificado, vaya a la página Certificados en la interfaz de usuario web local del dispositivo. Si selecciona un certificado específico, verá en él la fecha de expiración.

Eliminación de certificados de cadena de firma

Puede eliminar un certificado de cadena de firma antiguo y expirado del dispositivo. Cuando lo haga, los certificados dependientes de la cadena de firma ya no serán válidos. Solo se pueden eliminar certificados de cadena de firma.

Para eliminar un certificado de cadena de firma del dispositivo de Azure Stack Edge, siga estos pasos:

  1. En la interfaz de usuario web local del dispositivo, vaya a CONFIGURACIÓN>Certificados.

  2. Seleccione el certificado de cadena de firma que desea eliminar. A continuación, seleccione Eliminar.

    Captura de pantalla de la hoja de certificados de la interfaz de usuario local de web de un dispositivo de Azure Stack Edge. La opción Eliminar de los certificados de firma está marcada.

  3. En el panel Eliminar certificado, compruebe la huella digital del certificado y, a continuación, seleccione Eliminar. No se puede invertir la eliminación del certificado.

    Captura de pantalla de la pantalla de eliminación de certificado de un certificado de firma de un dispositivo de Azure Stack Edge. La huella digital del certificado y el botón Eliminar están marcados.

    Una vez completada la eliminación del certificado, todos los certificados dependientes de la cadena de firma ya no son válidos.

  4. Para ver las actualizaciones de estado, actualice la pantalla. El certificado de la cadena de firma ya no se mostrará y los certificados dependientes tendrán un estado No válido.

Pasos siguientes

Aprenda a solucionar problemas de certificados