Compartilhar via

Carregar, importar, exportar e excluir certificados no Azure Stack Edge Pro GPU

  • Artigo

APLICA-SE A: Sim, ao SKU do Pro GPUAzure Stack Edge Pro - GPUSim, ao SKU do Pro 2Azure Stack Edge Pro 2Sim, ao SKU do Pro RAzure Stack Edge Pro RSim, ao SKU do Mini RAzure Stack Edge Mini R

Para garantir a comunicação segura e confiável entre seu dispositivo do Azure Stack Edge e os clientes que se conectam a ele, você pode usar certificados autoassinados ou trazer seus próprios certificados. Este artigo descreve como gerenciar esses certificados, incluindo como carregá-los, importá-los e exportá-los. Veja também as datas de validade dos certificados e exclua os certificados de autenticação antigos.

Para saber mais sobre como criar esses certificados, confira Criar certificados usando o Azure PowerShell.

Carregar certificados em seu dispositivo

Ao trazer seus próprios certificados, os certificados que você criou para seu dispositivo residirão, por padrão, no Repositório pessoal em seu cliente. Esses certificados precisam ser exportados do seu cliente em arquivos de formato apropriado que possam ser carregados em seu dispositivo.

Pré-requisitos

Para carregar seus certificados raiz e certificados de ponto de extremidade no dispositivo, verifique se os certificados foram exportados no formato apropriado.

Fazer upload dos certificados

Para carregar certificados raiz e de ponto de extremidade no dispositivo use a opção + Adicionar certificado na página Certificados, na IU da Web local. Siga estas etapas:

  1. Primeiro, faça upload do certificado raiz. No IU da Web local, vá até Certificados.

  2. Selecione + Adicionar certificado.

    Captura de tela mostrando a tela Adicionar certificado ao adicionar um certificado de Cadeia de Assinatura a um dispositivo Azure Stack Edge. O botão Salvar certificado é destacado.

  3. Salvar o certificado.

Carregar o certificado do ponto de extremidade

  1. Em seguida, carregue os certificados do ponto de extremidade.

    Captura de tela mostrando a tela Adicionar certificado ao adicionar certificados de ponto de extremidade a um dispositivo Azure Stack Edge. O botão Salvar certificado é destacado.

    Escolha os arquivos de certificado no formato . pfx e insira a senha que você forneceu quando exportou o certificado. O certificado Azure Resource Manager pode levar alguns minutos para ser aplicado.

    Se a cadeia de assinatura não for atualizada primeiro e você tentar carregar os certificados de ponto de extremidade, você recebe um erro.

    Captura de tela mostrando o erro Aplicar certificado quando um certificado de ponto de extremidade é carregado sem primeiro carregar um certificado de Cadeia de Assinatura em um dispositivo Azure Stack Edge.

    Volte e carregue o certificado da cadeia de assinatura e, em seguida, carregue e aplique os certificados do ponto de extremidade.

Importante

Se o nome do dispositivo ou o domínio DNS forem alterados, novos certificados devem ser criados. Os certificados de cliente e os certificados de dispositivo devem ser atualizados com o novo nome de dispositivo e domínio DNS.

Carregar certificados do Kubernetes

Os certificados do Kubernetes podem ser para o Registro de Contêiner da Borda ou para o painel do Kubernetes. Em cada caso, é preciso carregar um certificado e um arquivo de chave. Siga estas etapas para criar e carregar certificados do Kubernetes:

  1. Você usará openssl para criar o certificado do painel do Kubernetes ou do Registro de Contêiner da Borda. Instale o OpenSSL no sistema que você usará para criar os certificados. Em sistemas Windows, você pode usar o Chocolatey para instalar o openssl. Depois de instalar o Chocolatey, abra o PowerShell e digite:

    choco install openssl

  2. Use openssl para criar esses certificados. Um arquivo de certificado cert.pem e um arquivo de chave key.pem são criados.

    • Para o Registro de Contêiner da Borda, use o seguinte comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Veja um exemplo de saída:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Para o certificado do painel do Kubernetes, use o seguinte comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Veja um exemplo de saída:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Carregue o certificado do Kubernetes e o arquivo de chave correspondente que você gerou anteriormente.

    • Para o Registro de Contêiner da Borda

      Captura de tela mostrando a tela Adicionar certificado ao adicionar um certificado do Registro de Contêiner do Edge a um dispositivo Azure Stack Edge. Os botões de navegação do certificado e do arquivo de chave são destacados.

    • Para o painel do Kubernetes

      Captura de tela mostrando a tela Adicionar certificado ao adicionar um certificado de painel do Kubernetes a um dispositivo Azure Stack Edge. Os botões de navegação do certificado e do arquivo de chave são destacados.

Importar certificados no cliente que está acessando o dispositivo

Você pode usar certificados gerados pelo dispositivo ou trazer seus próprios certificados. Ao usar certificados gerados pelo dispositivo, baixe os certificados no cliente para importá-los para o repositório de certificados apropriado. Veja Baixar certificados no cliente que acessa o dispositivo.

Em ambos os casos, os certificados que você criou e carregou em seu dispositivo devem ser importados no cliente do Windows (que está acessando o dispositivo) no repositório de certificados apropriado.

Importar certificados no formato DER

Para importar certificados em um cliente Windows, execute as seguintes etapas:

  1. Clique com o botão direito do mouse no arquivo e selecione Instalar certificado. Essa ação inicia o Assistente para Importação de Certificados.

    Captura de tela do menu de contexto de um arquivo no Explorador de Arquivos do Windows. A opção Instalar certificado é realçada.

  2. Em Localização do repositório, selecione Computador Local e depois clique em Avançar.

    Captura de tela do Assistente de Importação de Certificado em um cliente do Windows. O local de armazenamento do computador local é destacado.

  3. Selecione Colocar todos os certificados no seguinte repositório e depois selecione Procurar.

    • Para importar para o repositório pessoal, navegue até o Repositório pessoal do seu host remoto e depois selecione Avançar.

      Captura de tela do Assistente de Importação de Certificado no Windows com o armazenamento de certificados pessoal selecionado. A opção Loja Certificada e o botão Avançar são destacados.

    • Para importar para o repositório confiável, navegue até a Autoridade de Certificado Raiz Confiável e selecione Avançar.

      Captura de tela do Assistente de Importação de Certificado no Windows com o armazenamento de certificados da Autoridade de Certificação Raiz Confiável selecionado. A opção Loja Certificada e o botão Avançar são destacados.

  4. Selecione Concluir. Será exibida uma mensagem que informa que a importação foi bem-sucedida.

Visualizar vencimento do certificado

Se estiver usando seus próprios certificados, eles expiram normalmente em 1 ano ou 6 meses. Para visualizar a data de expiração de seu certificado, vá até a página Certificados na IU da Web local do seu dispositivo. Ao selecionar um certificado específico, pode visualizar a data de validade de eu certificado.

Excluir um certificado da cadeia de assinatura

Você pode excluir um certificado da cadeia de assinatura antigo e expirado do seu dispositivo. Quando você fizer isso, todos os certificados dependentes na cadeia de assinatura deixarão de ser válidos. Somente os certificados de cadeia de assinatura podem ser excluídos.

Para excluir um certificado da cadeia de assinatura do dispositivo Azure Stack Edge, execute as seguintes etapas:

  1. Na IU da Web local do dispositivo, acesse CONFIGURAÇÃO>Certificados.

  2. Selecione o certificado da cadeia de assinatura que deseja excluir. Em seguida, selecione Excluir.

    Captura de tela da folha Certificados da interface do usuário da Web local de um dispositivo Azure Stack Edge. A opção Excluir para os certificados de assinatura é destacada.

  3. No painel Excluir certificado, verifique a impressão digital do certificado e escolha Excluir. A exclusão do certificado não pode ser revertida.

    Captura de tela da tela Excluir certificado para um certificado de autenticação em um dispositivo Azure Stack Edge. A impressão digital do certificado e o botão Excluir são destacados.

    Após a conclusão da exclusão do certificado, todos os certificados dependentes na cadeia de assinatura deixarão de ser válidos.

  4. Para ver as atualizações de status, atualize a exibição. O certificado da cadeia de assinatura não será mais exibido, e os certificados dependentes terão o status Não válido.

Próximas etapas

Saiba como Solucionar problemas de certificado