Создание сертификатов для GPU Azure Stack Edge Pro с помощью средства проверки готовности Azure Stack Hub

ОБЛАСТЬ ПРИМЕНЕНИЯ: Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

В этой статье описывается, как создать сертификаты для Azure Stack Edge Pro с помощью средства проверки готовности Azure Stack Hub.

Использование средства проверки готовности Azure Stack Hub

Средство проверки готовности Azure Stack Hub можно использовать для создания запросов на подпись сертификатов (CSR) для развертывания устройств Azure Stack Edge Pro. Эти запросы можно создать после размещения заказа на устройство Azure Stack Edge Pro и дождаться прибытия устройства.

Примечание.

Используйте это средство только для целей тестирования и разработки, а не для рабочих устройств.

Вы можете использовать средство проверки готовности Azure Stack Hub (AzsReadinessChecker) для запроса следующих сертификатов.

• Сертификат Azure Resource Manager
• Сертификат локального пользовательского интерфейса
• Сертификат узла
• Сертификат BLOB-объекта
• Сертификат VPN

Необходимые компоненты

Чтобы создать CSR для развертывания устройства Azure Stack Edge Pro, убедитесь в следующем:

• У вас есть клиент под управлением Windows 10 или Windows Server 2016 или более поздней версии.
• Вы скачали средство проверки готовности Microsoft Azure Stack Hub из коллекции PowerShell для этой системы.
• У вас есть следующие сведения о сертификатах:
  • Наименование устройства
  • Серийный номер узла
  • Внешнее полное доменное имя (FQDN)

Создание запросов на подпись сертификата

Выполните следующую инструкцию, чтобы подготовить сертификаты для устройства Azure Stack Edge Pro.

1. Запустите PowerShell (5.1 или более поздней версии) от имени администратора.

2. Установите средство проверки готовности Azure Stack Hub. В командной строке PowerShell введите следующее:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Чтобы получить установленную версию, введите:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Создайте каталог для всех сертификатов, если у вас его еще нет. Тип:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Чтобы создать запрос сертификата, укажите следующие сведения. При создании VPN-сертификата некоторые из этих входных данных не применяются.

   Входные данные	Description
   OutputRequestPath	Путь к файлу на локальном клиенте, на котором должны быть созданы запросы сертификатов.
   DeviceName	Имя устройства на странице "Устройство" в локальном веб-интерфейсе устройства. Это поле не требуется для VPN-сертификата.
   NodeSerialNumber	Узел Node serial number устройства, показанный на странице обзора в локальном веб-интерфейсе устройства. Это поле не требуется для VPN-сертификата.
   ExternalFQDN	Значение DNS domain на странице "Устройство" в локальном веб-интерфейсе устройства.
   RequestType	Типом запроса может быть MultipleCSR— разные сертификаты для разных конечных точек или SingleCSR — один сертификат для всех конечных точек. Это поле не требуется для VPN-сертификата.

   Для всех сертификатов, кроме VPN-сертификата, введите:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   При создании VPN-сертификата введите:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. Файлы запросов сертификатов находятся в каталоге,который указан выше в параметре OutputRequestPath. При использовании параметра MultipleCSR вы увидите следующие четыре файла с расширением .req:

   Имена файлов	Тип запроса сертификата
   Начинается с DeviceName	Запрос сертификата для локального пользовательского веб-интерфейса
   Начинается с NodeSerialNumber	Запрос сертификата узла
   Начиная с login	Запрос сертификата конечной точки Azure Resource Manager
   Начиная с wildcard	Запрос сертификата хранилища BLOB-объектов. Он содержит подстановочный знак, так как охватывает все учетные записи хранения, которые можно создать на устройстве.
   Начиная с AzureStackEdgeVPNCertificate	Запрос сертификата VPN-клиента

   Вы также увидите папку INF. Это содержит управление.<Файл сведений об имени> пограничного устройства в ясном тексте, объясняющий сведения о сертификате.

6. Отправьте эти файлы в центр сертификации (внутренний или общедоступный). Убедитесь, что центр сертификации генерирует с помощью созданного запроса сертификаты, отвечающие требованиям Azure Stack Edge Pro для сертификатов узлов, сертификатов конечных точек и сертификатов локальных пользовательских интерфейсов.

Подготовка сертификатов к развертыванию

Полученные от центра сертификации файлы сертификатов должны быть импортированы и экспортированы с помощью свойств, которые отвечают требованиям устройства Azure Stack Edge Pro к сертификатам. Выполните следующие действия в той же системе, в которой были созданы запросы на подпись сертификатов.

• Чтобы импортировать сертификаты выполните инструкцию из раздела Импорт сертификатов на клиенты, имеющие доступ к устройству Azure Stack Edge Pro.

• Чтобы экспортировать сертификаты, выполните инструкции из раздела Экспорт сертификатов с клиента, имеющего доступ к устройству Azure Stack Edge Pro.

Проверка сертификатов

Для начала вы должны создать правильную структуру папок и поместить сертификаты в соответствующие папки. Только после этого вы сможете проверить сертификаты с помощью инструмента.

1. Запустите оболочку PowerShell от имени администратора.

2. Чтобы создать соответствующую структуру папок, введите в командной строке:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Преобразуйте пароль PFX в защищенную строку. Тип:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Затем проверьте сертификаты. Тип:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Следующие шаги

Отправка сертификатов на устройство.