Udostępnij za pośrednictwem

Przekazywanie, importowanie, eksportowanie i usuwanie certyfikatów na procesorze GPU usługi Azure Stack Edge Pro

  • Artykuł

DOTYCZY: Tak dla jednostki SKU procesora GPU ProAzure Stack Edge Pro — GPUTak dla jednostki SKU Pro 2Azure Stack Edge Pro 2Tak dla jednostki SKU Pro RAzure Stack Edge Pro R Azure Stack Edge Mini RTak dla jednostki SKU Mini R

Aby zapewnić bezpieczną i zaufaną komunikację między urządzeniem Azure Stack Edge i klientami nawiązującymi z nim połączenie, możesz użyć certyfikatów z podpisem własnym lub użyć własnych certyfikatów. W tym artykule opisano sposób zarządzania tymi certyfikatami, w tym sposobu przekazywania, importowania i eksportowania tych certyfikatów. Możesz również wyświetlić daty wygaśnięcia certyfikatu i usunąć stare certyfikaty podpisywania.

Aby dowiedzieć się więcej na temat tworzenia tych certyfikatów, zobacz Tworzenie certyfikatów przy użyciu programu Azure PowerShell.

Przekazywanie certyfikatów na urządzeniu

Jeśli przywieziesz własne certyfikaty, certyfikaty utworzone dla urządzenia domyślnie znajdują się w magazynie osobistym na kliencie. Te certyfikaty należy wyeksportować na klienta do odpowiednich plików formatu, które można następnie przekazać do urządzenia.

Wymagania wstępne

Przed przekazaniem certyfikatów głównych i certyfikatów punktów końcowych na urządzeniu upewnij się, że certyfikaty są eksportowane w odpowiednim formacie.

Przekazywanie certyfikatów

Aby przekazać certyfikaty katalogu głównego i punktu końcowego na urządzeniu, użyj opcji + Dodaj certyfikat na stronie Certyfikaty w lokalnym internetowym interfejsie użytkownika. Wykonaj te kroki:

  1. Najpierw przekaż certyfikaty główne. W lokalnym internetowym interfejsie użytkownika przejdź do pozycji Certyfikaty.

  2. Wybierz pozycję + Dodaj certyfikat.

    Zrzut ekranu przedstawiający ekran Dodawanie certyfikatu certyfikatu podczas dodawania certyfikatu łańcucha podpisywania do urządzenia Usługi Azure Stack Edge. Przycisk Zapisz certyfikat został wyróżniony.

  3. Zapisz certyfikat.

Przekazywanie certyfikatu punktu końcowego

  1. Następnie przekaż certyfikaty punktu końcowego.

    Zrzut ekranu przedstawiający ekran Dodawanie certyfikatu podczas dodawania certyfikatów punktu końcowego do urządzenia usługi Azure Stack Edge. Przycisk Zapisz certyfikat został wyróżniony.

    Wybierz pliki certyfikatów w formacie pfx i wprowadź hasło podane podczas eksportowania certyfikatu. Zastosowanie certyfikatu usługi Azure Resource Manager może potrwać kilka minut.

    Jeśli łańcuch podpisywania nie został zaktualizowany jako pierwszy i spróbujesz przekazać certyfikaty punktu końcowego, zostanie wyświetlony błąd.

    Zrzut ekranu przedstawiający błąd Zastosuj certyfikat po przekazaniu certyfikatu punktu końcowego bez uprzedniego przekazania certyfikatu łańcucha podpisywania na urządzeniu Azure Stack Edge.

    Wróć i przekaż certyfikat łańcucha podpisywania, a następnie przekaż i zastosuj certyfikaty punktu końcowego.

Ważne

Jeśli nazwa urządzenia lub domena DNS zostaną zmienione, należy utworzyć nowe certyfikaty. Następnie certyfikaty klienta i certyfikaty urządzenia powinny zostać zaktualizowane przy użyciu nowej nazwy urządzenia i domeny DNS.

Przekazywanie certyfikatów platformy Kubernetes

Certyfikaty Kubernetes mogą być przeznaczone dla usługi Edge Container Registry lub pulpitu nawigacyjnego kubernetes. W każdym przypadku należy przekazać certyfikat i plik klucza. Wykonaj następujące kroki, aby utworzyć i przekazać certyfikaty Kubernetes:

  1. Użyjesz polecenia openssl , aby utworzyć certyfikat pulpitu nawigacyjnego platformy Kubernetes lub rejestr kontenerów usługi Edge. Pamiętaj, aby zainstalować plik openssl w systemie, którego chcesz użyć do utworzenia certyfikatów. W systemie Windows można użyć narzędzia Chocolatey do zainstalowania programu openssl. Po zainstalowaniu aplikacji Chocolatey otwórz program PowerShell i wpisz:

    choco install openssl

  2. Użyj polecenia openssl , aby utworzyć te certyfikaty. Tworzony cert.pem jest plik certyfikatu i key.pem plik klucza.

    • W przypadku usługi Edge Container Registry użyj następującego polecenia:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Oto przykładowe dane wyjściowe:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • W przypadku certyfikatu pulpitu nawigacyjnego platformy Kubernetes użyj następującego polecenia:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Oto przykładowe dane wyjściowe:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Przekaż certyfikat Kubernetes i odpowiedni wygenerowany wcześniej plik klucza.

    • W przypadku usługi Edge Container Registry

      Zrzut ekranu przedstawiający ekran Dodawanie certyfikatu podczas dodawania certyfikatu usługi Container Registry usługi Edge do urządzenia Usługi Azure Stack Edge. Przyciski przeglądania dla certyfikatu i pliku klucza są wyróżnione.

    • Dla pulpitu nawigacyjnego platformy Kubernetes

      Zrzut ekranu przedstawiający ekran Dodawanie certyfikatu certyfikatu podczas dodawania certyfikatu pulpitu nawigacyjnego kubernetes do urządzenia usługi Azure Stack Edge. Przyciski przeglądania dla certyfikatu i pliku klucza są wyróżnione.

Importowanie certyfikatów na kliencie, którzy uzyskują dostęp do urządzenia

Możesz użyć certyfikatów generowanych przez urządzenie lub użyć własnych certyfikatów. W przypadku korzystania z certyfikatów generowanych przez urządzenie należy pobrać certyfikaty na klienta, zanim będzie można je zaimportować do odpowiedniego magazynu certyfikatów. Zobacz Pobieranie certyfikatów do klienta, który uzyskuje dostęp do urządzenia.

W obu przypadkach certyfikaty utworzone i przekazane do urządzenia muszą zostać zaimportowane na klienta systemu Windows (uzyskiwanie dostępu do urządzenia) do odpowiedniego magazynu certyfikatów.

  • Certyfikat główny wyeksportowany jako DER powinien zostać zaimportowany do zaufanych głównych urzędów certyfikacji w systemie klienckim. Aby uzyskać szczegółowe instrukcje, zobacz Importowanie certyfikatów do magazynu zaufanych głównych urzędów certyfikacji.

  • Certyfikaty punktu końcowego .pfx wyeksportowane jako muszą zostać wyeksportowane jako DER z .cer rozszerzeniem. Jest to .cer następnie importowane do osobistego magazynu certyfikatów w systemie. Aby uzyskać szczegółowe instrukcje, zobacz Importowanie certyfikatów do osobistego magazynu certyfikatów.

Importowanie certyfikatów jako formatu DER

Aby zaimportować certyfikaty na kliencie systemu Windows, wykonaj następujące czynności:

  1. Kliknij prawym przyciskiem myszy plik i wybierz polecenie Zainstaluj certyfikat. Ta akcja powoduje uruchomienie Kreatora importu certyfikatów.

    Zrzut ekranu przedstawiający menu kontekstowe pliku w Eksplorator plików systemu Windows. Opcja Zainstaluj certyfikat jest wyróżniona.

  2. W polu Lokalizacja magazynu wybierz pozycję Komputer lokalny, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający Kreatora importu certyfikatów na kliencie systemu Windows. Lokalizacja magazynu komputera lokalnego jest wyróżniona.

  3. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie, a następnie wybierz pozycję Przeglądaj.

    • Aby zaimportować do magazynu osobistego, przejdź do magazynu osobistego hosta zdalnego, a następnie wybierz przycisk Dalej.

      Zrzut ekranu Przedstawiający Kreatora importu certyfikatów w systemie Windows z wybranym magazynem certyfikatów osobistych. Wyróżniono opcję Magazyn certyfikatów i przycisk Dalej.

    • Aby zaimportować do zaufanego magazynu, przejdź do zaufanego głównego urzędu certyfikacji, a następnie wybierz przycisk Dalej.

      Zrzut ekranu Kreatora importu certyfikatów w systemie Windows z wybranym magazynem certyfikatów zaufanego głównego urzędu certyfikacji. Wyróżniono opcję Magazyn certyfikatów i przycisk Dalej.

  4. Wybierz Zakończ. Zostanie wyświetlony komunikat informujący o pomyślnym zaimportowaniu.

Wyświetlanie wygaśnięcia certyfikatu

Jeśli wprowadzisz własne certyfikaty, certyfikaty wygasną zazwyczaj w ciągu 1 roku lub 6 miesięcy. Aby wyświetlić datę wygaśnięcia certyfikatu, przejdź do strony Certyfikaty w lokalnym internetowym interfejsie użytkownika urządzenia. Jeśli wybierzesz określony certyfikat, możesz wyświetlić datę wygaśnięcia certyfikatu.

Usuwanie certyfikatu łańcucha podpisywania

Możesz usunąć stary, wygasły certyfikat łańcucha podpisywania z urządzenia. Gdy to zrobisz, wszystkie zależne certyfikaty w łańcuchu podpisywania nie będą już prawidłowe. Można usunąć tylko certyfikaty łańcucha podpisywania.

Aby usunąć certyfikat łańcucha podpisywania z urządzenia Azure Stack Edge, wykonaj następujące kroki:

  1. W lokalnym internetowym interfejsie użytkownika urządzenia przejdź do pozycji Certyfikaty KONFIGURACJI>.

  2. Wybierz certyfikat łańcucha podpisywania, który chcesz usunąć. Następnie wybierz Usuń.

    Zrzut ekranu przedstawiający blok Certyfikaty lokalnego internetowego interfejsu użytkownika urządzenia Azure Stack Edge. Opcja Usuń dla certyfikatów podpisywania jest wyróżniona.

  3. W okienku Usuwanie certyfikatu sprawdź odcisk palca certyfikatu , a następnie wybierz pozycję Usuń. Nie można cofnąć usuwania certyfikatu.

    Zrzut ekranu usuwania certyfikatu dla certyfikatu podpisywania na urządzeniu Azure Stack Edge. Wyróżniono odcisk palca certyfikatu i przycisk Usuń.

    Po zakończeniu usuwania certyfikatu wszystkie zależne certyfikaty w łańcuchu podpisywania nie są już prawidłowe.

  4. Aby wyświetlić aktualizacje stanu, odśwież ekran. Certyfikat łańcucha podpisywania nie będzie już wyświetlany, a certyfikaty zależne będą miały nieprawidłowy stan.

Następne kroki

Dowiedz się, jak rozwiązywać problemy z certyfikatami