Co to są certyfikaty na procesorze GPU Pro usługi Azure Stack Edge?

DOTYCZY: Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge Pro R Azure Stack Edge Mini R

W tym artykule opisano typy certyfikatów, które można zainstalować na urządzeniu z procesorem GPU Usługi Azure Stack Edge Pro. Artykuł zawiera również szczegółowe informacje dotyczące każdego typu certyfikatu.

Informacje o certyfikatach

Certyfikat zapewnia połączenie między kluczem publicznym a jednostką (taką jak nazwa domeny), która została podpisana (zweryfikowana) przez zaufaną osobę trzecią (np. urząd certyfikacji). Certyfikat zapewnia wygodny sposób dystrybucji zaufanych publicznych kluczy szyfrowania. Dzięki temu certyfikaty zapewniają, że komunikacja jest zaufana i że wysyłasz zaszyfrowane informacje do odpowiedniego serwera.

Wdrażanie certyfikatów na urządzeniu

Na urządzeniu Azure Stack Edge możesz użyć certyfikatów z podpisem własnym lub użyć własnych certyfikatów.

• Certyfikaty generowane przez urządzenie: po początkowym skonfigurowaniu urządzenia automatycznie generowane są certyfikaty z podpisem własnym. W razie potrzeby można ponownie wygenerować te certyfikaty za pośrednictwem lokalnego internetowego interfejsu użytkownika. Po ponownym wygenerowaniu certyfikatów pobierz i zaimportuj certyfikaty na klientach używanych do uzyskiwania dostępu do urządzenia.

• Przynieś własne certyfikaty: opcjonalnie możesz przynieść własne certyfikaty. Istnieją wskazówki, które należy przestrzegać, jeśli planujesz przynieść własne certyfikaty.

  • Zacznij od zrozumienia typów certyfikatów, które mogą być używane z urządzeniem Azure Stack Edge w tym artykule.
  • Następnie zapoznaj się z wymaganiami dotyczącymi certyfikatów dla każdego typu certyfikatu.
  • Następnie możesz utworzyć certyfikaty za pomocą programu Azure PowerShell lub utworzyć certyfikaty za pomocą narzędzia do sprawdzania gotowości.
  • Na koniec przekonwertuj certyfikaty na odpowiedni format, aby były gotowe do przekazania na urządzenie.
  • Przekaż certyfikaty na urządzeniu.
  • Zaimportuj certyfikaty na klientach, którzy uzyskują dostęp do urządzenia.

Typy certyfikatów

Różne typy certyfikatów, które można przynieść dla urządzenia, są następujące:

• Podpisywanie certyfikatów

  • Główny urząd certyfikacji
  • Średni

• Certyfikaty węzłów

• Certyfikaty punktów końcowych

  • Certyfikaty usługi Azure Resource Manager
  • Certyfikaty usługi Blob Storage

• Certyfikaty lokalnego interfejsu użytkownika

• Certyfikaty urządzeń IoT

• Certyfikaty kubernetes

  • Certyfikat usługi Edge Container Registry
  • Certyfikat pulpitu nawigacyjnego platformy Kubernetes

• Certyfikaty sieci Wi-Fi

• Certyfikaty sieci VPN

• Certyfikaty szyfrowania

  • Certyfikaty sesji pomocy technicznej

Każdy typ certyfikatu został szczegółowo opisany w poniższych sekcjach.

Certyfikaty łańcucha podpisywania

Są to certyfikaty urzędu, który podpisuje certyfikaty lub urząd certyfikacji podpisywania.

Typy

Te certyfikaty mogą być certyfikatami głównymi lub certyfikatami pośrednimi. Certyfikaty główne są zawsze z podpisem własnym (lub podpisywane samodzielnie). Certyfikaty pośrednie nie są podpisane samodzielnie i są podpisane przez urząd podpisywania.

Zastrzeżenia

• Certyfikaty główne powinny być certyfikatami łańcucha podpisywania.
• Certyfikaty główne można przekazać na urządzeniu w następującym formacie:
  • DER — są one dostępne jako .cer rozszerzenie pliku.
  • Zakodowany w formacie Base-64 — są one dostępne jako .cer rozszerzenie pliku.
  • P7b — ten format jest używany tylko w przypadku certyfikatów łańcucha podpisywania, które zawierają certyfikaty główne i pośrednie.
• Certyfikaty łańcucha podpisywania są zawsze przekazywane przed przekazaniem innych certyfikatów.

Certyfikaty węzłów

Wszystkie węzły na urządzeniu stale komunikują się ze sobą i dlatego muszą mieć relację zaufania. Certyfikaty węzłów umożliwiają ustalenie tego zaufania. Certyfikaty węzłów są również odtwarzane podczas nawiązywania połączenia z węzłem urządzenia przy użyciu zdalnej sesji programu PowerShell za pośrednictwem protokołu HTTPS.

Zastrzeżenia

• Certyfikat węzła należy podać w .pfx formacie z kluczem prywatnym, który można wyeksportować.

• Można utworzyć i przekazać 1 certyfikat węzła wieloznacznych lub 4 certyfikaty poszczególnych węzłów.

• Certyfikat węzła należy zmienić, jeśli domena DNS ulegnie zmianie, ale nazwa urządzenia nie ulegnie zmianie. Jeśli wprowadzasz własny certyfikat węzła, nie możesz zmienić numeru seryjnego urządzenia, możesz zmienić tylko nazwę domeny.

• Poniższa tabela zawiera instrukcje dotyczące tworzenia certyfikatu węzła.

  Typ	Nazwa podmiotu (SN)	Alternatywna nazwa podmiotu (SAN)	Przykład nazwy podmiotu
  Węzeł	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certyfikaty punktów końcowych

W przypadku wszystkich punktów końcowych udostępnianych przez urządzenie certyfikat jest wymagany do zaufanej komunikacji. Certyfikaty punktu końcowego obejmują te wymagane podczas uzyskiwania dostępu do usługi Azure Resource Manager i magazynu obiektów blob za pośrednictwem interfejsów API REST.

Po dodaniu własnego podpisanego certyfikatu potrzebny jest również odpowiedni łańcuch podpisywania certyfikatu. W przypadku łańcucha podpisywania, usługi Azure Resource Manager i certyfikatów obiektów blob na urządzeniu potrzebne będą odpowiednie certyfikaty na maszynie klienckiej również do uwierzytelniania i komunikowania się z urządzeniem.

Zastrzeżenia

• Certyfikaty punktu końcowego muszą być w .pfx formacie z kluczem prywatnym. Łańcuch podpisywania powinien mieć format DER (.cer rozszerzenie pliku).

• W przypadku korzystania z własnych certyfikatów punktu końcowego mogą to być pojedyncze certyfikaty lub certyfikaty wielodomenowe.

• Jeśli wprowadzasz łańcuch podpisywania, przed przekazaniem certyfikatu punktu końcowego należy przekazać certyfikat łańcucha podpisywania.

• Te certyfikaty należy zmienić, jeśli nazwa urządzenia lub nazwy domen DNS zmienią się.

• Można użyć certyfikatu punktu końcowego z symbolami wieloznacznymi.

• Właściwości certyfikatów punktów końcowych są podobne do tych typowych certyfikatów SSL.

• Podczas tworzenia certyfikatu punktu końcowego użyj poniższej tabeli:

  Typ	Nazwa podmiotu (SN)	Alternatywna nazwa podmiotu (SAN)	Przykład nazwy podmiotu
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blob storage	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Pojedynczy certyfikat z wieloma sieciami SAN dla obu punktów końcowych	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Certyfikaty lokalnego interfejsu użytkownika

Dostęp do lokalnego internetowego interfejsu użytkownika urządzenia można uzyskać za pośrednictwem przeglądarki. Aby zapewnić bezpieczeństwo tej komunikacji, możesz przekazać własny certyfikat.

Zastrzeżenia

• Lokalny certyfikat interfejsu użytkownika jest również przekazywany w .pfx formacie z kluczem prywatnym, który można wyeksportować.

• Po przekazaniu lokalnego certyfikatu interfejsu użytkownika należy ponownie uruchomić przeglądarkę i wyczyścić pamięć podręczną. Zapoznaj się z konkretnymi instrukcjami dotyczącymi przeglądarki.

  Typ	Nazwa podmiotu (SN)	Alternatywna nazwa podmiotu (SAN)	Przykład nazwy podmiotu
  Lokalny interfejs użytkownika	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

Certyfikaty urządzeń usługi IoT Edge

Urządzenie jest również urządzeniem IoT z połączonym z nim urządzeniem obliczeniowym włączonym przez urządzenie usługi IoT Edge. W przypadku dowolnej bezpiecznej komunikacji między tym urządzeniem usługi IoT Edge a urządzeniami podrzędnymi, które mogą się z nim połączyć, możesz również przekazać certyfikaty usługi IoT Edge.

Urządzenie ma certyfikaty z podpisem własnym, których można użyć, jeśli chcesz używać tylko scenariusza obliczeniowego z urządzeniem. Jeśli urządzenie jest jednak połączone z urządzeniami podrzędnym, musisz wprowadzić własne certyfikaty.

Istnieją trzy certyfikaty usługi IoT Edge, które należy zainstalować, aby włączyć tę relację zaufania:

• Główny urząd certyfikacji lub urząd certyfikacji właściciela
• Urząd certyfikacji urządzenia
• Certyfikat klucza urządzenia

Zastrzeżenia

• Certyfikaty usługi IoT Edge są przekazywane w .pem formacie.

Aby uzyskać więcej informacji na temat certyfikatów usługi IoT Edge, zobacz Szczegóły certyfikatu usługi Azure IoT Edge i Tworzenie certyfikatów produkcyjnych usługi IoT Edge.

Certyfikaty kubernetes

Następujące certyfikaty Kubernetes mogą być używane z urządzeniem Azure Stack Edge.

• Certyfikat rejestru kontenerów usługi Edge: jeśli urządzenie ma rejestr kontenerów usługi Edge, potrzebny będzie certyfikat usługi Edge Container Registry do bezpiecznej komunikacji z klientem, który uzyskuje dostęp do rejestru na urządzeniu.
• Certyfikat punktu końcowego pulpitu nawigacyjnego: do uzyskiwania dostępu do pulpitu nawigacyjnego pulpitu nawigacyjnego na urządzeniu potrzebny będzie certyfikat punktu końcowego pulpitu nawigacyjnego.

Zastrzeżenia

• Certyfikat usługi Edge Container Registry powinien:

  • Być certyfikatem formatu PEM.
  • Zawierają alternatywną nazwę podmiotu (SAN) lub CName (CN) typu: *.<endpoint suffix> lub ecr.<endpoint suffix>. Na przykład: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com.

• Certyfikat pulpitu nawigacyjnego powinien:

  • Być certyfikatem formatu PEM.
  • Zawierają alternatywną nazwę podmiotu (SAN) lub CName (CN) typu: *.<endpoint-suffix> lub kubernetes-dashboard.<endpoint-suffix>. Na przykład: *.dbe-1d6phq2.microsoftdatabox.com lub kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Certyfikaty sieci VPN

Jeśli sieć VPN (punkt-lokacja) jest skonfigurowana na urządzeniu, możesz przenieść własny certyfikat sieci VPN, aby upewnić się, że komunikacja jest zaufana. Certyfikat główny jest instalowany w usłudze Azure VPN Gateway, a certyfikaty klienta są instalowane na każdym komputerze klienckim, który łączy się z siecią wirtualną przy użyciu połączenia punkt-lokacja.

Zastrzeżenia

• Certyfikat sieci VPN musi zostać przekazany jako format pfx z kluczem prywatnym.
• Certyfikat sieci VPN nie jest zależny od nazwy urządzenia, numeru seryjnego urządzenia ani konfiguracji urządzenia. Wymaga tylko zewnętrznej nazwy FQDN.
• Upewnij się, że ustawiono identyfikator OID klienta.

Aby uzyskać więcej informacji, zobacz Generowanie i eksportowanie certyfikatów dla połączeń punkt-lokacja przy użyciu programu PowerShell.

Certyfikaty sieci Wi-Fi

Jeśli urządzenie jest skonfigurowane do działania w sieci bezprzewodowej WPA2-Enterprise, będzie również potrzebny certyfikat sieci Wi-Fi dla każdej komunikacji, która odbywa się przez sieć bezprzewodową.

Zastrzeżenia

• Certyfikat sieci Wi-Fi musi zostać przekazany jako format pfx z kluczem prywatnym.
• Upewnij się, że ustawiono identyfikator OID klienta.

Certyfikaty sesji pomocy technicznej

Jeśli na urządzeniu występują jakiekolwiek problemy, w celu rozwiązania tych problemów na urządzeniu może zostać otwarta zdalna sesja pomocy technicznej programu PowerShell. Aby włączyć bezpieczną, zaszyfrowaną komunikację za pośrednictwem tej sesji pomocy technicznej, możesz przekazać certyfikat.

Zastrzeżenia

• Upewnij się, że odpowiedni .pfx certyfikat z kluczem prywatnym jest zainstalowany na maszynie klienckiej przy użyciu narzędzia odszyfrowywania.

• Sprawdź, czy pole Użycie klucza dla certyfikatu nie jest podpisywaniem certyfikatu. Aby to sprawdzić, kliknij prawym przyciskiem myszy certyfikat, wybierz polecenie Otwórz i na karcie Szczegóły znajdź pozycję Użycie klucza.

• Certyfikat sesji pomocy technicznej musi być podany jako format DER z .cer rozszerzeniem.

Następne kroki

Przejrzyj wymagania dotyczące certyfikatów.