次の方法で共有


Azure Stack Edge Pro GPU 上で証明書をアップロード、インポート、エクスポート、削除する

適用対象: はい (Pro GPU SKU の場合)Azure Stack Edge Pro - GPUはい (Pro 2 SKU の場合)Azure Stack Edge Pro 2はい (Pro R SKU の場合)Azure Stack Edge Pro Rはい (Mini R SKU の場合)Azure Stack Edge Mini R

Azure Stack Edge デバイスとそれに接続するクライアント間のセキュリティで保護されて信頼できる通信を確保するために、自己署名証明書を使用することも、独自の証明書を持ち込むこともできます。 この記事では、これらの証明書をアップロード、インポート、エクスポートする方法など、これらの証明書を管理する方法について説明します。 証明書の有効期限を表示し、古い署名証明書を削除することもできます。

これらの証明書の作成方法に関する詳細については、Azure PowerShell で証明書を作成する方法に関するページを参照してください。

デバイスに証明書をアップロードする

独自の証明書を持ち込む場合、デバイス用に作成した証明書は、既定では、クライアントの個人用ストアに格納されます。 これらの証明書は、デバイスにアップロードできるように、クライアントで適切なフォーマット ファイルにエクスポートする必要があります。

前提条件

ルート証明書とエンドポイント証明書をデバイスにアップロードする前に、証明書が適切な形式でエクスポートされていることを確認してください。

証明書をアップロードする

ルート証明書とエンドポイント証明書をデバイスにアップロードするには、ローカル Web UI の [証明書] ページの [+ 証明書の追加] オプションを使用します。 次の手順のようにします。

  1. 最初にルート証明書をアップロードします。 ローカル Web UI で、[証明書] に移動します。

  2. [+ 証明書の追加] を選択します。

    Azure Stack Edge デバイスに署名チェーン証明書を追加する際の [証明書の追加] 画面を示すスクリーンショット。[証明書の保存] ボタンが強調表示されている。

  3. 証明書を保存します。

エンドポイント証明書をアップロードする

  1. 次に、エンドポイント証明書をアップロードします。

    Azure Stack Edge デバイスにエンドポイント証明書を追加する際の [証明書の追加] 画面を示すスクリーンショット。[証明書の保存] ボタンが強調表示されている。

    .pfx 形式の証明書ファイルを選択し、証明書のエクスポート時に指定したパスワードを入力します。 Azure Resource Manager 証明書が適用されるまでに数分かかる場合があります。

    最初に署名チェーンが更新されていない場合、エンドポイント証明書をアップロードしようとすると、エラーが発生します。

    Azure Stack Edge デバイスに対して、最初に署名チェーン証明書をアップロードしないでエンドポイント証明書をアップロードした場合の [証明書の適用] エラーを示すスクリーンショット。

    前に戻り、署名チェーン証明書をアップロードし、その後にエンドポイント証明書をアップロードし、適用します。

重要

デバイス名または DNS ドメインが変更された場合、新しい証明書を作成する必要があります。 次に、クライアント証明書とデバイス証明書を、新しいデバイス名と DNS ドメインを使用して更新する必要があります。

Kubernetes 証明書をアップロードする

Kubernetes 証明書は、Edge Container Registry か Kubernetes ダッシュボードに使用できます。 いずれの場合も、証明書とキー ファイルをアップロードする必要があります。 Kubernetes 証明書を作成してアップロードするには、次の手順に従います。

  1. openssl を使用し、Kubernetes ダッシュボード証明書または Edge Container Registry を作成します。 証明書の作成に使用するシステムに必ず openssl をインストールしてください。 Windows で、Chocolatey を使用して openssl をインストールできます。 Chocolatey をインストールしたら、PowerShell を開き、次のコマンドを入力します。

    choco install openssl
    
  2. これらの証明書を作成するには openssl を使用します。 cert.pem 証明書ファイルと key.pem キー ファイルが作成されます。

    • Edge Container Registry の場合、次のコマンドを使用します。

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
      

      出力例を次に示します。

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
    • Kubernetes ダッシュボード証明書の場合、次のコマンドを使用します。

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
      

      出力例を次に示します。

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
  3. Kubernetes 証明書とそれに該当する、前に生成したキー ファイルをアップロードします。

    • Edge Container Registry の場合

      Azure Stack Edge デバイスに Edge コンテナー レジストリ証明書を追加する際の [証明書の追加] 画面のスクリーンショットを示す図。証明書とキー ファイルの [参照] ボタンが強調表示されている。

    • Kubernetes ダッシュボードの場合

      Azure Stack Edge デバイスに Kubernetes ダッシュボード証明書を追加する際の [証明書の追加] 画面のスクリーンショットを示す図。証明書とキー ファイルの [参照] ボタンが強調表示されている。

デバイスにアクセスするクライアントに証明書をインポートする

デバイスで生成された証明書を使用するか、独自の証明書を持ち込みます。 デバイスで生成された証明書を使用する場合は、適切な証明書ストアに証明書をインポートする前に、クライアントに証明書をダウンロードする必要があります。 デバイスにアクセスするクライアントに証明書をダウンロードする方法に関するページを参照してください。

どちらの場合も、作成してデバイスにアップロードした証明書を、(デバイスにアクセスする) Windows クライアントの適切な証明書ストアにインポートする必要があります。

  • DER としてエクスポートしたルート証明書は、クライアント システムの信頼されたルート証明機関にインポートする必要があります。 詳細な手順については、信頼されたルート証明機関ストアへの証明書のインポートに関するページを参照してください。

  • .pfx としてエクスポートしたエンドポイント証明書は、.cer 拡張子を使用した DER としてエクスポートする必要があります。 この .cer は、システムの個人用証明書ストアにインポートします。 詳細な手順については、個人用証明書ストアへの証明書のインポートに関するページを参照してください。

DER 形式で証明書をインポートする

Windows クライアントに証明書をインポートするには、次の手順を実行します。

  1. ファイルを右クリックし、[証明書のインストール] を選択します。 このアクションにより、証明書のインポート ウィザードが開始されます。

    Windows ファイル エクスプローラーのファイルのコンテキスト メニューのスクリーンショット。[証明書のインストール] オプションが強調表示されている。

  2. [ストアの場所][ローカル マシン] を選択し、[次へ] を選択します。

    Windows クライアントでの [証明書のインポート] ウィザードのスクリーンショット。[ローカル マシン] のストレージの場所が強調表示されている。

  3. [証明書をすべて次のストアに配置する] を選択し、[参照] を選択します。

    • 個人用ストアにインポートするには、リモート ホストの個人用ストアに移動し、[次へ] を選択します。

      Windows で個人証明書ストアが選択されている [証明書のインポート] ウィザードのスクリーンショット。[証明書ストア] オプションと [次へ] ボタンが強調表示されている。

    • 信頼されたストアにインポートするには、信頼されたルート証明機関に移動し、[次へ] を選択します。

      Windows で信頼されたルート証明機関の証明書ストアが選択されている [証明書のインポート] ウィザードのスクリーンショット。[証明書ストア] オプションと [次へ] ボタンが強調表示されている。

  4. 完了 を選択します。 インポートが成功したことを示すメッセージが表示されます。

証明書の有効期限を確認する

独自の証明書を導入する場合、証明書は通常 1 年または 6 か月で期限切れになります。 証明書の有効期限を確認するには、デバイスのローカル Web UI の [証明書] ページにアクセスします。 特定の証明書を選択すると、その証明書の有効期限を確認できます。

署名チェーン証明書を削除する

古い期限切れの署名チェーン証明書をデバイスから削除できます。 そうすると、署名チェーン内のすべての依存証明書は無効になります。 削除できるのは署名チェーン証明書のみです。

Azure Stack Edge デバイスから署名チェーン証明書を削除するには、次の手順を実行します。

  1. デバイスのローカル Web UI で、[構成] >> [証明書] に移動します。

  2. 削除する署名チェーン証明書を選択します。 次に、 [削除] を選択します。

    Azure Stack Edge デバイスのローカル Web UI の証明書ブレードのスクリーンショット。署名証明書の [削除] オプションが強調表示されている。

  3. [証明書の削除] ウィンドウで、証明書の拇印を確認し、[削除] を選択します。 証明書の削除を元に戻すことはできません。

    Azure Stack Edge デバイスの署名証明書の [証明書の削除] 画面のスクリーンショット。証明書のサムプリントと [削除] ボタンが強調表示されている。

    証明書の削除が完了すると、署名チェーン内のすべての依存証明書は無効になります。

  4. 状態の更新を表示するには、表示を最新の情報に更新します。 署名チェーン証明書は表示されなくなり、依存証明書の状態は [無効] になります。

次のステップ

証明書の問題をトラブルシューティングする方法について学習します