Usar certificados com dispositivo Azure Stack Edge Pro GPU
APLICA-SE A: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Este artigo descreve o procedimento para criar seus próprios certificados usando os cmdlets do Azure PowerShell. O artigo inclui as diretrizes que você precisa seguir se planeja colocar seus próprios certificados no dispositivo do Azure Stack Edge.
Os certificados garantem que a comunicação entre o dispositivo e os clientes que o acessam seja confiável e que você está enviando informações criptografadas para o servidor correto. Quando seu dispositivo do Azure Stack Edge é inicialmente configurado, os certificados autoassinados são gerados automaticamente. Opcionalmente você pode colocar seus próprios certificados.
Você pode usar um dos seguintes métodos para criar seus próprios certificados para o dispositivo:
- Usar os cmdlets do Azure PowerShell.
- Usar a ferramenta Verificador de Preparação do Azure Stack Hub para criar CSRs (solicitações de assinatura de certificado) que ajudarão sua autoridade de certificação a emitir certificados.
Este artigo aborda apenas como criar seus próprios certificados usando os cmdlets do Azure PowerShell.
Pré-requisitos
Para trazer seus próprios certificados, verifique se:
- Você está familiarizado com os Tipos de certificados que podem ser usados com o dispositivo do Azure Stack Edge.
- Você examinou os Requisitos de certificado para cada tipo de certificado.
Criar certificados
A seção a seguir descreve o procedimento para criar uma cadeia de assinatura e certificados de ponto de extremidade.
Fluxo de trabalho do certificado
Você terá um processo definido para criar os certificados para os dispositivos que estão operando em seu ambiente. Você pode usar os certificados fornecidos pelo administrador de TI.
Somente para fins de desenvolvimento ou teste, você também pode usar o Windows PowerShell para criar certificados no sistema local. Ao criar os certificados para o cliente, siga estas orientações:
Você pode criar qualquer um dos seguintes tipos de certificados:
- Criar um único certificado válido para usar com um único nome de domínio totalmente qualificado (FQDN). Por exemplo, mydomain.com.
- Criar um certificado curinga para proteger o nome de domínio principal e os vários subdomínios. Por exemplo, *.mydomain.com.
- Criar um certificado SAN (nome alternativo da entidade) que abrange vários nomes de domínio em um único certificado.
Se você estiver usando seu próprio certificado, é necessário um certificado raiz para a cadeia de assinatura. Consulte as etapas de Criar certificados de cadeia de assinatura.
Em seguida, você pode criar os certificados de ponto de extremidade para a IU local do dispositivo, BLOB e Azure Resource Manager. Você pode criar 3 certificados separados para o dispositivo, o blob e o Azure Resource Manager, ou pode criar um certificado para todos os 3 pontos de extremidade. Para saber mais, consulte Criar certificados de assinatura e de ponto de extremidade.
Se você estiver criando 3 certificados separados ou um certificado, especifique os nomes das entidades (SN) e os nomes alternativos das entidades (SAN) de acordo com as orientações fornecidas para cada tipo de certificado.
Criar certificados de cadeia de assinatura
Crie esses certificados com o Windows PowerShell executando no modo administrador. Os certificados criados dessa forma devem ser usados apenas para fins de desenvolvimento ou teste.
O certificado de cadeia de assinatura precisa ser criado apenas uma vez. Os outros certificados de ponto de extremidade farão referência a este certificado para assinatura.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
Criar certificados de ponto de extremidade assinados
Crie esses certificados com o Windows PowerShell executando no modo administrador.
Nesses exemplos, os certificados de pontos de extremidade são criados para um dispositivo com: – Nome do dispositivo: DBE-HWDC1T2
– Domínio DNS: microsoftdatabox.com
Substitua pelo nome e domínio DNS do seu dispositivo para criar certificados para seu dispositivo.
Certificado de ponto de extremidade de BLOB
Crie um certificado para o ponto de extremidade de BLOB em seu repositório pessoal.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificado de ponto de extremidade do Azure Resource Manager
Crie um certificado para os pontos de extremidade do Azure Resource Manager em seu repositório pessoal.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificados IU da Web local do dispositivo
Crie um certificado para a IU da Web local do dispositivo em seu repositório pessoal.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificado único de várias SANs para todos os pontos de extremidade
Crie um único certificado para todos os pontos de extremidade em seu repositório pessoal.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Depois que os certificados forem criados, a próxima etapa será fazer upload dos certificados em seu dispositivo de GPU do Azure Stack Edge Pro.