Che cosa sono i certificati di Azure Stack Edge Pro con GPU?

SI APPLICA A: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Questo articolo descrive i tipi di certificati che possono essere installati nel dispositivo GPU Azure Stack Edge Pro. L'articolo include anche i dettagli per ciascun tipo di certificato.

Informazioni sui certificati

Un certificato fornisce un collegamento tra una chiave pubblica e un'entità (ad esempio il nome di dominio) che è stata firmata (verificata) da terzi attendibili (ad esempio un'autorità di certificazione). I certificati offrono un modo pratico per distribuire chiavi di crittografia pubblica attendibili. I certificati assicurano quindi che la comunicazione sia attendibile e che le informazioni crittografate vengano inviate al server corretto.

Distribuzione dei certificati nel dispositivo

Nel dispositivo Azure Stack Edge è possibile usare i certificati autofirmati o Bring your own certificates.

• Certificati generati dal dispositivo: quando il dispositivo è inizialmente configurato, sono generati automaticamente i certificati autofirmati. Se necessario, questi certificati possono essere rigenerati tramite l'interfaccia utente Web locale. Dopo aver rigenerato i certificati, scaricarli e importarli nei client usati per accedere al dispositivo.

• Bring Your Own Certificates (BYOPC): facoltativamente, è possibile usare certificati propri. Se si prevede di usare i certificati propri, è necessario seguire le linee guida.

  • Per iniziare, riconoscere in questo articolo i tipi di certificati che possono essere usati con il dispositivo Azure Stack Edge.
  • Quindi esaminare i Requisiti del certificato per ciascun tipo di certificato.
  • È quindi possibile Creare i certificati tramite Azure PowerShell o Creare i certificati tramite lo strumento Verifica di conformità.
  • Infine, Convertire i certificati in un formato appropriato in modo che siano pronti per il caricamento nel dispositivo.
  • Caricare i certificati nel dispositivo.
  • Importare i certificati nei client che accedono al dispositivo.

Tipi di certificati

I tipi di certificati che è possibile usare per il dispositivo sono i seguenti:

• Certificati di firma

  • CA radice
  • Intermedio

• Certificati nodo

• Certificati endpoint

  • Certificati di Azure Resource Manager
  • Certificati di archiviazione BLOB

• Certificati di interfaccia utente locale

• Certificati dei dispositivi IoT

• Certificati Kubernetes

  • Certificato del registro contenitori Edge
  • Certificato del dashboard Kubernetes

• Certificati Wi-Fi

• Certificati VPN

• Certificati di crittografia

  • Certificati sessione di supporto

Nelle sezioni seguenti viene scritto in dettaglio ciascun tipo di certificato.

Certificati della catena di firma

Si tratta dei certificati per l'autorità che firma i certificati o l'autorità del certificato di firma.

Tipi

Possono essere certificati radice o certificati intermedi. I certificati radice sono sempre autofirmati (o firmati da se stessi). I certificati intermedi non sono autofirmati e sono firmati dall'autorità di firma.

Precisazioni

• I certificati radice devono essere certificati della catena di firma.
• I certificati radice possono essere caricati nel dispositivo nel formato seguente:
  • DER: queste sono disponibili come estensione di file .cer.
  • Codificato in Base-64: sono disponibili come estensione di file .cer.
  • P7b: questo formato viene usato solo per i certificati della catena di firma che includono i certificati radice e intermedi.
• I certificati della catena di firma sono sempre caricati prima degli altri certificati.

Certificati nodo

Tutti i nodi nel dispositivo comunicano costantemente tra loro e quindi devono avere una relazione di trust. I certificati nodo consentono di stabilire tale attendibilità. I certificati nodo hanno un ruolo anche quando ci si connette al nodo del dispositivo usando una sessione remota di PowerShell tramite HTTPS.

Precisazioni

• Il certificato nodo deve essere fornito in formato .pfx con una chiave privata che può essere esportata.

• È possibile creare e caricare 1 certificato nodo con caratteri jolly o 4 certificati a nodo singolo.

• Se il dominio DNS cambia, è necessario modificare il certificato nodo, tuttavia il nome del dispositivo non cambia. Se si sta portando il certificato nodo proprio, non è possibile modificare il numero di serie del dispositivo, è possibile modificare solo il nome del dominio.

• La tabella seguente offre una guida per la creazione di un certificato nodo.

  Type	Nome del soggetto (SN)	Nome alternativo del soggetto (SAN)	Esempio di nome soggetto
  Nodo	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certificati endpoint

Per gli endpoint esposti dal dispositivo, è necessario un certificato per la comunicazione attendibile. I certificati endpoint includono quelli necessari per l'accesso ad Azure Resource Manager e all'archiviazione BLOB tramite le API REST.

Quando si porta un certificato proprio firmato, è necessaria anche la catena di firma corrispondente del certificato. Per la catena di firma, Azure Resource Manager e i certificati BLOB nel dispositivo, saranno necessari anche i certificati corrispondenti nel computer client per autenticare e comunicare con il dispositivo.

Precisazioni

• I certificati endpoint devono essere in formato .pfx con una chiave privata. La catena di firma deve essere formato DER (estensione di file .cer).

• Se si usano certificati endpoint propri, questi possono essere certificati singoli o certificati multidominio.

• Se si esegue la catena di firma, prima di caricare un certificato endpoint è necessario caricare il certificato della catena di firma.

• Se il nome del dispositivo o i nomi di dominio DNS cambiano questi certificati devono essere modificati.

• È possibile usare un certificato endpoint con caratteri jolly.

• Le proprietà dei certificati endpoint sono simili a quelle di un tipico certificato SSL.

• Durante la creazione di un certificato endpoint, usare la tabella seguente:

  Type	Nome del soggetto (SN)	Nome alternativo del soggetto (SAN)	Esempio di nome soggetto
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Archiviazione BLOB	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Certificato singolo multi-SAN per entrambi gli endpoint	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Certificati di interfaccia utente locale

È possibile accedere all'interfaccia utente Web locale del dispositivo tramite browser. Per assicurarsi che questa comunicazione sia sicura, è possibile caricare il proprio certificato.

Precisazioni

• Il certificato dell'interfaccia utente locale viene caricato anche in formato .pfx con una chiave privata che può essere esportata.

• Dopo aver caricato il certificato dell'interfaccia utente Web locale, sarà necessario riavviare il browser e cancellare la cache. Consultare le istruzioni specifiche per il browser in uso.

  Type	Nome del soggetto (SN)	Nome alternativo del soggetto (SAN)	Esempio di nome soggetto
  Interfaccia utente Web locale	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certificati dei dispositivi IoT Edge

Il dispositivo è anche un dispositivo IoT con calcolo abilitato da un dispositivo IoT Edge connesso. Per la comunicazione sicura tra questo dispositivo IoT Edge e i dispositivi downstream che possono connettersi a esso, è anche possibile caricare i certificati IoT Edge.

Il dispositivo dispone di certificati autofirmati utilizzabili, se si desidera usare solo lo scenario di calcolo con il dispositivo. Se il dispositivo è comunque connesso ai dispositivi downstream, sarà necessario usare i certificati propri.

Per abilitare questa relazione di trust è necessario installare tre certificati IoT Edge:

• Autorità di certificato radice o autorità di certificato del proprietario
• Autorità di certificazione del dispositivo
• Certificato della chiave dispositivo

Precisazioni

• I certificati IoT Edge vengono caricati in formato .pem.

Per altre informazioni sui certificati IoT Edge, vedere Dettagli del certificato di Azure IoT Edge e Creare certificati di produzione IoT Edge.

Certificati Kubernetes

I certificati Kubernetes seguenti possono essere usati con il dispositivo Azure Stack Edge.

• Certificato del registro contenitori Edge: se il dispositivo ha un registro contenitori Edge, sarà necessario un certificato del Registro Contenitori Edge per la comunicazione sicura con il client che accede al registro nel dispositivo.
• Certificato dell'endpoint dashboard: è necessario un certificato dell'endpoint dashboard per accedere al dashboard di Kubernetes nel dispositivo.

Precisazioni

• Il certificato del Registro Contenitori Edge deve:

  • Essere un certificato di formato PEM.
  • Contenere il nome alternativo del soggetto (SAN) o CName (CN) di tipo: *.<endpoint suffix> o ecr.<endpoint suffix>. Ad esempio: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Il certificato del dashboard deve:

  • Essere un certificato di formato PEM.
  • Contenere il nome alternativo del soggetto (SAN) o CName (CN) di tipo: *.<endpoint-suffix> o kubernetes-dashboard.<endpoint-suffix>. Ad esempio, *.dbe-1d6phq2.microsoftdatabox.com o kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Certificati VPN

Se nel dispositivo è configurata una VPN (da punto a sito), è possibile usare il certificato VPN per assicurarsi che la comunicazione sia attendibile. Il certificato radice viene installato nel Gateway VPN di Azure e i certificati client vengono installati in ogni computer client che si connette a una rete virtuale usando da punto a sito.

Precisazioni

• Il certificato VPN deve essere caricato come formato .pfx con una chiave privata.
• Il certificato VPN non dipende dal nome del dispositivo, dal numero di serie del dispositivo o dalla configurazione del dispositivo. Richiede solo il nome di dominio completo esterno (FQDN).
• Accertare che sia impostato l’identificatore di oggetto (OID) client.

Per altre informazioni, vedere Generare ed esportare certificati per l’uso da punto a sito tramite PowerShell.

Certificati Wi-Fi

Se il dispositivo è configurato per operare su una rete wireless WPA2-Enterprise, sarà necessario anche un certificato Wi-Fi per le comunicazioni che avvengono via rete wireless.

Precisazioni

• Il certificato Wi-Fi deve essere caricato come formato .pfx con una chiave privata.
• Accertare che sia impostato l’identificatore di oggetto (OID) client.

Certificati sessione di supporto

Se il dispositivo riscontra problemi, per risolvere questi problemi, è possibile aprire sul dispositivo una sessione di supporto remoto di PowerShell. Per abilitare una comunicazione sicura e crittografata tramite questa sessione di supporto, è possibile caricare un certificato.

Precisazioni

• Assicurarsi che il certificato corrispondente .pfx con chiave privata sia installato nel computer client usando lo strumento di decrittografia.

• Verificare che il campo Utilizzo chiavi per il certificato non sia Firma del certificato. Per verificarlo, fare clic con il pulsante destro del mouse sul certificato, scegliere Apri e nella scheda Dettagli trovare Utilizzo chiave.

• Il certificato di sessione di supporto deve essere fornito come formato DER con estensione .cer.

Passaggi successivi

Rivedere i requisiti dei certificati.