Tworzenie certyfikatów dla procesora GPU usługi Azure Stack Edge Pro przy użyciu narzędzia do sprawdzania gotowości usługi Azure Stack Hub

Artykuł
10/26/2023

DOTYCZY: Tak dla jednostki SKU procesora GPU Pro Azure Stack Edge Pro — GPU Tak dla jednostki SKU Pro 2 Azure Stack Edge Pro 2 Tak dla jednostki SKU Pro R Azure Stack Edge Pro R Azure Stack Edge Mini R Tak dla jednostki SKU Mini R

W tym artykule opisano sposób tworzenia certyfikatów dla usługi Azure Stack Edge Pro przy użyciu narzędzia do sprawdzania gotowości usługi Azure Stack Hub.

Korzystanie z narzędzia do sprawdzania gotowości usługi Azure Stack Hub

Użyj narzędzia do sprawdzania gotowości usługi Azure Stack Hub, aby utworzyć żądania podpisywania certyfikatów (CSR) na potrzeby wdrożenia urządzenia Azure Stack Edge Pro. Te żądania można utworzyć po złożenia zamówienia na urządzenie Azure Stack Edge Pro i poczekać na nadejście urządzenia.

Uwaga

Użyj tego narzędzia tylko do celów testowych lub programistycznych, a nie dla urządzeń produkcyjnych.

Aby zażądać następujących certyfikatów, możesz użyć narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker):

Certyfikat usługi Azure Resource Manager
Lokalny certyfikat interfejsu użytkownika
Certyfikat węzła
Certyfikat obiektu blob
Certyfikat sieci VPN

Wymagania wstępne

Aby utworzyć rejestry CRS dla wdrożenia urządzenia Azure Stack Edge Pro, upewnij się, że:

Masz klienta z systemem Windows 10 lub Windows Server 2016 lub nowszym.
Pobrano narzędzie do sprawdzania gotowości usługi Microsoft Azure Stack Hub z Galeria programu PowerShell w tym systemie.
Dostępne są następujące informacje dotyczące certyfikatów:
- Nazwa urządzenia
- Numer seryjny węzła
- Zewnętrzna w pełni kwalifikowana nazwa domeny (FQDN)

Generowanie żądań podpisywania certyfikatów

Wykonaj następujące kroki, aby przygotować certyfikaty urządzeń Azure Stack Edge Pro:

Uruchom program PowerShell jako administrator (wersja 5.1 lub nowsza).
Zainstaluj narzędzie do sprawdzania gotowości usługi Azure Stack Hub. W wierszu polecenia programu PowerShell wpisz:
```
Install-Module -Name Microsoft.AzureStack.ReadinessChecker
```
Aby pobrać zainstalowaną wersję, wpisz:
```
Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
```
Utwórz katalog dla wszystkich certyfikatów, jeśli jeszcze go nie masz. Typ:
```
New-Item "C:\certrequest" -ItemType Directory
```

Aby utworzyć żądanie certyfikatu, podaj następujące informacje. W przypadku generowania certyfikatu sieci VPN niektóre z tych danych wejściowych nie mają zastosowania.

Dane wejściowe	opis
`OutputRequestPath`	Ścieżka pliku na lokalnym kliencie, w którym mają zostać utworzone żądania certyfikatów.
`DeviceName`	Nazwa urządzenia na stronie Urządzenie w lokalnym internetowym interfejsie użytkownika urządzenia. To pole nie jest wymagane dla certyfikatu sieci VPN.
`NodeSerialNumber`	Węzeł `Node serial number` urządzenia wyświetlany na stronie Przegląd w lokalnym internetowym interfejsie użytkownika urządzenia. To pole nie jest wymagane dla certyfikatu sieci VPN.
`ExternalFQDN`	`DNS domain` Wartość na stronie Urządzenie w lokalnym internetowym interfejsie użytkownika urządzenia.
`RequestType`	Typ żądania może dotyczyć `MultipleCSR` — różnych certyfikatów dla różnych punktów końcowych lub `SingleCSR` — pojedynczego certyfikatu dla wszystkich punktów końcowych. To pole nie jest wymagane dla certyfikatu sieci VPN.

Dla wszystkich certyfikatów z wyjątkiem certyfikatu sieci VPN wpisz:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeDEVICE'
    DeviceName = 'myTEA1'
    NodeSerialNumber = 'VM1500-00025'
    externalFQDN = 'azurestackedge.contoso.com'
    requestType = 'MultipleCSR'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

Jeśli tworzysz certyfikat sieci VPN, wpisz:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeVPN'
    externalFQDN = 'azurestackedge.contoso.com'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

Pliki żądania certyfikatu znajdują się w katalogu określonym w powyższym parametrze OutputRequestPath. W przypadku korzystania z parametru MultipleCSR zobaczysz następujące cztery pliki z .req rozszerzeniem:

Nazwy plików	Typ żądania certyfikatu
Rozpoczynanie od `DeviceName`	Żądanie certyfikatu lokalnego internetowego interfejsu użytkownika
Rozpoczynanie od `NodeSerialNumber`	Żądanie certyfikatu węzła
Rozpoczynanie od `login`	Żądanie certyfikatu punktu końcowego usługi Azure Resource Manager
Rozpoczynanie od `wildcard`	Żądanie certyfikatu usługi Blob Storage. Zawiera symbol wieloznaczny, ponieważ obejmuje wszystkie konta magazynu, które można utworzyć na urządzeniu.
Rozpoczynanie od `AzureStackEdgeVPNCertificate`	Żądanie certyfikatu klienta sieci VPN.

Zobaczysz również folder INF. Zawiera to zarządzanie.<edge-devicename> plik informacyjny w postaci zwykłego tekstu wyjaśniającego szczegóły certyfikatu.

Prześlij te pliki do urzędu certyfikacji (wewnętrzne lub publiczne). Upewnij się, że urząd certyfikacji generuje certyfikaty przy użyciu wygenerowanego żądania, które spełniają wymagania dotyczące certyfikatu usługi Azure Stack Edge Pro dla certyfikatów węzłów, certyfikatów punktów końcowych i lokalnych certyfikatów interfejsu użytkownika.

Przygotowywanie certyfikatów do wdrożenia

Pliki certyfikatów uzyskiwane z urzędu certyfikacji muszą być importowane i eksportowane z właściwościami, które spełniają wymagania certyfikatu urządzenia Azure Stack Edge Pro. Wykonaj następujące kroki w tym samym systemie, w którym wygenerowano żądania podpisania certyfikatu.

Aby zaimportować certyfikaty, wykonaj kroki opisane w temacie Importowanie certyfikatów na klientach, którzy uzyskują dostęp do urządzenia Azure Stack Edge Pro.
Aby wyeksportować certyfikaty, wykonaj kroki opisane w artykule Eksportowanie certyfikatów z klienta, który uzyskuje dostęp do urządzenia Azure Stack Edge Pro.

Weryfikowanie certyfikatów

Najpierw wygenerujesz odpowiednią strukturę folderów i umieścisz certyfikaty w odpowiednich folderach. Dopiero wtedy zweryfikujesz certyfikaty przy użyciu narzędzia .

Uruchom program PowerShell jako administrator.
Aby wygenerować odpowiednią strukturę folderów, wpisz monit:

New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"
Przekonwertuj hasło PFX na bezpieczny ciąg. Typ:

$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
Następnie zweryfikuj certyfikaty. Typ:

Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Następne kroki

Przekazywanie certyfikatów na urządzeniu.

Udostępnij za pośrednictwem