Condividi tramite

Caricare, importare, esportare ed eliminare certificati in Azure Stack Edge Pro GPU

  • Articolo

SI APPLICA A: Sì per SKU GPU ProAzure Stack Edge Pro - GPUSì per lo SKU Pro 2Azure Stack Edge Pro 2Sì per SKU R ProAzure Stack Edge Pro RSì per SKU R MiniAzure Stack Edge Mini R

Per garantire la comunicazione sicura e attendibile tra il dispositivo Azure Stack Edge e i client che si connettono, è possibile usare certificati autofirmati o usare certificati personalizzati. Questo articolo descrive come gestire questi certificati, tra cui come caricare, importare ed esportare questi certificati. È anche possibile visualizzare le date di scadenza del certificato ed eliminare i certificati di firma precedenti.

Per altre informazioni su come creare questi certificati, vedere Creare certificati con Azure PowerShell.

Caricare i certificati nel dispositivo

Se si mettono i propri certificati, i certificati creati per il dispositivo per impostazione predefinita risiedono nell'archivio personale nel client. Questi certificati devono essere esportati nel client in file di formato appropriati che possono quindi essere caricati nel dispositivo.

Prerequisiti

Prima di caricare i certificati radice e i certificati endpoint nel dispositivo, assicurarsi che i certificati vengano esportati nel formato appropriato.

Caricare i certificati

Per caricare i certificati radice ed endpoint nel dispositivo, usare l'opzione + Aggiungi certificato nella pagina Certificati nell'interfaccia utente Web locale. Seguire questa procedura:

  1. Caricare prima i certificati radice. Nell'interfaccia utente Web locale passare a Certificati.

  2. Selezionare + Aggiungi certificato.

    Screenshot che mostra la schermata Aggiungi certificato quando si aggiunge un certificato della catena di firma a un dispositivo Azure Stack Edge. Il pulsante Salva certificato è evidenziato.

  3. Salvare il certificato.

Caricare il certificato dell'endpoint

  1. Caricare quindi i certificati dell'endpoint.

    Screenshot che mostra la schermata Aggiungi certificato quando si aggiungono certificati endpoint a un dispositivo Azure Stack Edge. Il pulsante Salva certificato è evidenziato.

    Scegliere i file di certificato in formato pfx e immettere la password specificata durante l'esportazione del certificato. L'applicazione del certificato di Azure Resource Manager potrebbe richiedere alcuni minuti.

    Se la catena di firma non viene aggiornata per prima e si tenta di caricare i certificati dell'endpoint, verrà visualizzato un errore.

    Screenshot che mostra l'errore Applica certificato quando viene caricato un certificato endpoint senza prima caricare un certificato della catena di firma in un dispositivo Azure Stack Edge.

    Tornare indietro e caricare il certificato della catena di firma, quindi caricare e applicare i certificati dell'endpoint.

Importante

Se il nome del dispositivo o il dominio DNS vengono modificati, è necessario creare nuovi certificati. I certificati client e i certificati del dispositivo devono quindi essere aggiornati con il nuovo nome del dispositivo e il dominio DNS.

Caricare i certificati Kubernetes

I certificati Kubernetes possono essere per registro contenitori Edge o per il dashboard kubernetes. In ogni caso, è necessario caricare un certificato e un file di chiave. Seguire questa procedura per creare e caricare i certificati Kubernetes:

  1. Si userà openssl per creare il certificato del dashboard kubernetes o il registro contenitori di Edge. Assicurarsi di installare openssl nel sistema da usare per creare i certificati. In un sistema Windows è possibile usare Chocolatey per installare openssl. Dopo aver installato Chocolatey, aprire PowerShell e digitare:

    choco install openssl

  2. Usare openssl per creare questi certificati. Vengono creati un file di certificato e key.pem un cert.pem file di chiave.

    • Per Registro Contenitori Edge, usare il comando seguente:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Di seguito è riportato un esempio di output:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Per il certificato del dashboard kubernetes, usare il comando seguente:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Di seguito è riportato un esempio di output:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Caricare il certificato Kubernetes e il file di chiave corrispondente generato in precedenza.

    • Per Registro Contenitori Edge

      Screenshot che mostra la schermata Aggiungi certificato quando si aggiunge un certificato del Registro Azure Container a un dispositivo Azure Stack Edge. I pulsanti Sfoglia per il certificato e il file di chiave sono evidenziati.

    • Per il dashboard di Kubernetes

      Screenshot che mostra la schermata Aggiungi certificato quando si aggiunge un certificato del dashboard Kubernetes a un dispositivo Azure Stack Edge. I pulsanti Sfoglia per il certificato e il file di chiave sono evidenziati.

Importare i certificati nel client che accede al dispositivo

È possibile usare i certificati generati dal dispositivo o i certificati personalizzati. Quando si usano i certificati generati dal dispositivo, è necessario scaricare i certificati nel client prima di poterli importare nell'archivio certificati appropriato. Vedere Scaricare i certificati al client che accede al dispositivo.

In entrambi i casi, i certificati creati e caricati nel dispositivo devono essere importati nel client Windows (accesso al dispositivo) nell'archivio certificati appropriato.

  • Il certificato radice esportato come DER dovrebbe ora essere importato nelle autorità di certificazione radice attendibili nel sistema client. Per i passaggi dettagliati, vedere Importare i certificati nell'archivio Autorità di certificazione radice attendibili.

  • I certificati endpoint esportati come .pfx devono essere esportati come DER con .cer estensione. Questa .cer operazione viene quindi importata nell'archivio certificati personale nel sistema. Per i passaggi dettagliati, vedere Importare i certificati nell'archivio certificati personali.

Importare i certificati come formato DER

Per importare i certificati in un client Windows, seguire questa procedura:

  1. Fare clic con il pulsante destro del mouse sul file e scegliere Installa certificato. Questa azione avvia l'Importazione guidata certificati.

    Screenshot del menu di scelta rapida per un file in Windows Esplora file. L'opzione Installa certificato è evidenziata.

  2. Per Percorso archivio, selezionare Computer locale, quindi selezionare Avanti.

    Screenshot dell'Importazione guidata certificati in un client Windows. Il percorso di archiviazione del computer locale è evidenziato.

  3. Selezionare Inserisci tutti i certificati nell'archivio seguente e quindi selezionare Sfoglia.

    • Per importare nell'archivio personale, passare all'archivio personale dell'host remoto e quindi selezionare Avanti.

      Screenshot dell'Importazione guidata certificati in Windows con l'archivio certificati personale selezionato. L'opzione Archivio certificati e il pulsante Avanti sono evidenziati.

    • Per eseguire l'importazione in un archivio attendibile, passare all'autorità di certificazione radice attendibile e quindi selezionare Avanti.

      Screenshot dell'Importazione guidata certificati in Windows con l'archivio certificati autorità di certificazione radice attendibile selezionato. L'opzione Archivio certificati e il pulsante Avanti sono evidenziati.

  4. Selezionare Fine. Viene visualizzato un messaggio relativo all'esito positivo dell'importazione.

Visualizzare la scadenza del certificato

Se si apportano certificati personalizzati, i certificati scadono in genere in 1 anno o 6 mesi. Per visualizzare la data di scadenza del certificato, passare alla pagina Certificati nell'interfaccia utente Web locale del dispositivo. Se si seleziona un certificato specifico, è possibile visualizzare la data di scadenza del certificato.

Eliminare il certificato della catena di firma

È possibile eliminare un certificato della catena di firma scaduto precedente dal dispositivo. Quando si esegue questa operazione, tutti i certificati dipendenti nella catena di firma non saranno più validi. È possibile eliminare solo i certificati della catena di firma.

Per eliminare un certificato della catena di firma dal dispositivo Azure Stack Edge, seguire questa procedura:

  1. Nell'interfaccia utente Web locale del dispositivo passare a Certificati DI CONFIGURAZIONE>.

  2. Selezionare il certificato della catena di firma da eliminare. Quindi seleziona Elimina.

    Screenshot del pannello Certificati dell'interfaccia utente Web locale di un dispositivo Azure Stack Edge. L'opzione Elimina per i certificati di firma è evidenziata.

  3. Nel riquadro Elimina certificato verificare l'identificazione personale del certificato e quindi selezionare Elimina. L'eliminazione del certificato non può essere annullata.

    Screenshot della schermata Elimina certificato per un certificato di firma in un dispositivo Azure Stack Edge. L'identificazione personale del certificato e il pulsante Elimina sono evidenziati.

    Al termine dell'eliminazione del certificato, tutti i certificati dipendenti nella catena di firma non sono più validi.

  4. Per visualizzare gli aggiornamenti dello stato, aggiornare la visualizzazione. Il certificato della catena di firma non verrà più visualizzato e i certificati dipendenti avranno lo stato Non valido .

Passaggi successivi

Informazioni su come risolvere i problemi relativi ai certificati