Поделиться через

Руководство. Настройка сертификатов для Azure Stack Edge Pro с GPU

  • Статья

В этом руководстве объясняется, как настроить сертификаты для устройства Azure Stack Edge Pro со встроенным GPU, используя локальный пользовательский веб-интерфейс.

В этом руководстве описывается, как настроить сертификаты для устройства С GPU Azure Stack Edge Pro с помощью локального веб-интерфейса.

Необходимое время на выполнение этого шага зависит от выбранного варианта и существующего потока управления сертификатами в вашей среде.

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства

Необходимые компоненты

Перед установкой и настройкой устройства Azure Stack Edge Pro с GPU проверьте следующие условия:

  • Вы установили физическое устройство, как описано в статье Установка Azure Stack Edge Pro GPU.
  • Если вы планируете принести собственные сертификаты:

    • эти сертификаты должны быть подготовлены в соответствующем формате, включая сертификат цепочки подписывания. Дополнительные сведения о сертификате см. в статье Управление сертификатами.

    • Если ваше устройство развернуто в Azure для государственных организаций, а не в общедоступном облаке Azure, то перед активацией устройства необходимо получить сертификат цепочки подписывания. Дополнительные сведения см. в статье об управлении сертификатами.

Настройка сертификатов для устройства

  1. Откройте страницу "Сертификаты" в локальном веб-интерфейсе устройства. На этой странице будут отображаться сертификаты, доступные на устройстве. Устройство поставляется с самозаверяющей подписью сертификатов, которые также называются сертификатами устройств. Вы также можете принести собственные сертификаты.

  2. Если вы не изменили имя устройства или домен DNS при настройке параметров устройства ранее, и вы не хотите использовать собственные сертификаты, вам не нужна какая-либо конфигурация на этой странице. Необходимо убедиться, что состояние всех сертификатов отображается как допустимое на этой странице.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Вы готовы активировать устройство с помощью существующих сертификатов устройств.

  3. Выполните следующие действия, только если вы изменили имя устройства или домен DNS для устройства. В этих случаях состояние сертификатов устройства будет недопустимо. Это связано с тем, что имя устройства и домен DNS в сертификатах subject name и subject alternative параметры устарели.

    Выберите сертификат для просмотра сведений о состоянии.

    Screenshot of Certificate Details for a certificate on the Certificates page of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Если вы изменили имя устройства или домен DNS устройства, и вы не предоставляете новые сертификаты, активация устройства будет заблокирована. Чтобы использовать новый набор сертификатов на устройстве, выберите один из следующих вариантов:

    • Создание всех сертификатов устройства. Выберите этот параметр, а затем выполните действия, описанные в разделе "Создание сертификатов устройств", если планируется использовать автоматически созданные сертификаты устройств и создавать новые сертификаты устройств. Эти сертификаты устройств следует использовать только для тестирования, а не для рабочих нагрузок.

    • Использование собственных сертификатов. Выберите этот параметр, а затем выполните действия, описанные в разделе "Перенос собственных сертификатов", если вы хотите использовать собственные сертификаты подписанных конечных точек и соответствующие цепочки подписывания. Мы рекомендуем всегда использовать для рабочих нагрузок собственные сертификаты.

    • Вы можете принести некоторые из собственных сертификатов и создать некоторые сертификаты устройств. Параметр "Создать все сертификаты устройства" создает только сертификаты устройства.

  5. Если у вас есть полный набор допустимых сертификатов для устройства, устройство готово к активации. Нажмите кнопку < "Вернуться к началу работы", чтобы перейти к следующему шагу развертывания, активируйте устройство.

  1. Откройте страницу "Сертификаты" в локальном веб-интерфейсе устройства. На этой странице будут отображаться сертификаты, доступные на устройстве. Устройство поставляется с самозаверяющей подписью сертификатов, которые также называются сертификатами устройств. Вы также можете принести собственные сертификаты.

  2. Если вы не изменили имя устройства или домен DNS при настройке параметров устройства ранее, и вы не хотите использовать собственные сертификаты, вам не нужна какая-либо конфигурация на этой странице. Необходимо убедиться, что состояние всех сертификатов отображается как допустимое на этой странице.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Вы готовы активировать устройство с помощью существующих сертификатов устройств.

  3. Выполните следующие действия, только если вы изменили имя устройства или домен DNS для устройства. В этих случаях состояние сертификатов устройства будет недопустимо. Это связано с тем, что имя устройства и домен DNS в сертификатах subject name и subject alternative параметры устарели.

    Выберите сертификат для просмотра сведений о состоянии.

    Screenshot of Certificate Details for a certificate on the Certificates page of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Если вы изменили имя устройства или домен DNS устройства, и вы не предоставляете новые сертификаты, активация устройства будет заблокирована. Чтобы использовать новый набор сертификатов на устройстве, выберите один из следующих вариантов:

    • Создание всех сертификатов устройства. Выберите этот параметр, а затем выполните действия, описанные в разделе "Создание сертификатов устройств", если планируется использовать автоматически созданные сертификаты устройств и создавать новые сертификаты устройств. Эти сертификаты устройств следует использовать только для тестирования, а не для рабочих нагрузок.

    • Использование собственных сертификатов. Выберите этот параметр, а затем выполните действия, описанные в разделе "Перенос собственных сертификатов", если вы хотите использовать собственные сертификаты подписанных конечных точек и соответствующие цепочки подписывания. Мы рекомендуем всегда использовать для рабочих нагрузок собственные сертификаты.

    • Вы можете принести некоторые из собственных сертификатов и создать некоторые сертификаты устройств. Параметр "Создать все сертификаты устройства" создает только сертификаты устройства.

  5. Если у вас есть полный набор допустимых сертификатов для устройства, устройство готово к активации. Нажмите кнопку < "Вернуться к началу работы", чтобы перейти к следующему шагу развертывания, активируйте устройство.

Создание сертификатов устройства

Выполните описанные ниже действия, чтобы создать сертификаты устройства.

Следующие шаги позволят повторно создать и скачать сертификаты устройства Azure Stack Edge Pro GPU.

  1. В локальном пользовательском интерфейсе устройства перейдите к сертификатам конфигурации>. Выберите действие Создать сертификаты.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. В разделе Создание сертификатов устройства выберите элемент Создать.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    При выполнении этого действия будут созданы и применены сертификаты устройства. Создание и применение сертификатов занимает несколько минут.

    Важно!

    Пока выполняется операция создания сертификатов, не начинайте передачу собственных сертификатов или добавление с помощью действия + Добавить сертификат.

    Когда операция завершится успешно, вы получите соответствующее извещение. Чтобы избежать возможных проблем с кэшем, перезапустите браузер.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. После создания сертификатов происходят следующие изменения:

    • Для всех сертификатов отображается состояние Допустимый.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Вы можете выбрать конкретное имя сертификата и просмотреть сведения о сертификате.

      Screenshot showing the Certificate Details pane on the Certificates page of an Azure Stack Edge device. The selected certificate is highlighted.

    • Столбец Скачивания теперь заполнен. Этот столбец содержит ссылки для скачивания повторно созданных сертификатов.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Щелкните ссылку, чтобы скачать нужный сертификат, и подтвердите его сохранение в соответствующем запросе.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Повторите этот процесс для всех нужных сертификатов.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

  1. В локальном пользовательском интерфейсе устройства перейдите к сертификатам конфигурации>. Выберите действие Создать сертификаты.

    Generate and download certificate 1

  2. В разделе Создание сертификатов устройства выберите элемент Создать.

    Generate and download certificate 2

    При выполнении этого действия будут созданы и применены сертификаты устройства. Создание и применение сертификатов занимает несколько минут.

    Важно!

    Пока выполняется операция создания сертификатов, не начинайте передачу собственных сертификатов или добавление с помощью действия + Добавить сертификат.

    Когда операция завершится успешно, вы получите соответствующее извещение. Чтобы избежать возможных проблем с кэшем, перезапустите браузер.

    Generate and download certificate 4

  3. После создания сертификатов происходят следующие изменения:

    • Для всех сертификатов отображается состояние Допустимый.

      Generate and download certificate 5

    • Вы можете выбрать конкретное имя сертификата и просмотреть сведения о сертификате.

      Generate and download certificate 6

    • Столбец Скачивания теперь заполнен. Этот столбец содержит ссылки для скачивания повторно созданных сертификатов.

      Generate and download certificate 7

  4. Щелкните ссылку, чтобы скачать нужный сертификат, и подтвердите его сохранение в соответствующем запросе.

    Generate and download certificate 8

  5. Повторите этот процесс для всех нужных сертификатов.

    Generate and download certificate 9

Созданные устройством сертификаты сохраняются в формате DER с именами следующего вида:

  • <Device name>_<Endpoint name>.cer

Эти сертификаты содержат открытый ключ сертификатов, закрытая часть которых установлена на устройстве.

Их нужно установить в той клиентской системе, которую вы используете для доступа к конечным точкам на устройстве Azure Stack Edge. Эти сертификаты позволяют создать отношения доверия между клиентом и устройством.

Чтобы импортировать и установить сертификат в клиентской системе, из которой будет выполняться доступ к устройству, выполните инструкции из раздела Импорт сертификатов в клиент, обращающийся к устройству.

Если вы используете Обозреватель службы хранилища, сертификаты в клиенте нужно устанавливать в формате PEM. Для этого потребуется преобразовать в этот формат созданные устройством сертификаты.

Важно!

  • Ссылка для скачивания предоставляется только для созданных устройством сертификатов, но не для предоставленных вами собственных сертификатов.
  • Вы можете произвольным образом сочетать созданные устройством сертификаты и собственные сертификаты, если соблюдаются все остальные требования к сертификатам. Дополнительные сведения о требованиях к сертификатам см. здесь.

Использование собственных сертификатов

Вы можете использовать собственные сертификаты.

Следующая процедура позволяет передать собственные сертификаты, включая цепочку подписывания.

  1. Чтобы отправить сертификат, выберите на странице Сертификат действие + Добавить сертификат.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Этот шаг можно пропустить, если вы включили все сертификаты в путь к сертификату при экспорте сертификатов в формате PFX. Если вы не включили все сертификаты в экспорт, отправьте цепочку подписей и нажмите кнопку "Проверить и добавить". Это необходимо сделать перед отправкой других сертификатов.

    В некоторых случаях может потребоваться создать цепочку подписей только для других целей, например подключиться к серверу обновления для служб Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Отправьте другие сертификаты. Например, вы можете отправить сертификаты конечных точек Azure Resource Manager и (или) Хранилища BLOB-объектов.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Кроме того, вы можете отправить сертификаты локального пользовательского веб-интерфейса. Когда вы завершите отправку сертификатов, вам будет предложено перезапустить браузер и очистить кэш. После этого войдите в локальный пользовательский веб-интерфейс.

    Local web UI

    Кроме того, вы можете отправить сертификат узла.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    В любое время вы можете выбрать сертификат, просмотреть сведения о нем и убедиться, что они соответствуют отправленному сертификату.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Теперь на странице "Сертификаты" должны появиться все добавленные вами сертификаты.

    Screenshot of the Certificates page in the local web UI for an Azure Stack Edge device. A newly added set of certificates is highlighted.

    Примечание.

    Во всех облачных конфигурациях, кроме общедоступного облака Azure (то есть в Azure для государственных организаций или Azure Stack), сертификаты цепочки подписывания нужно предоставить до активации.

Теперь устройство готово к активации. Нажмите кнопку < "Вернуться к началу работы".

Следующие шаги

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства

Сведения об активировании устройства Azure Stack Edge Pro GPU:

Активации устройства Azure Stack Edge Pro GPU