Отправка, импорт, экспорт и удаление сертификатов на GPU Azure Stack Edge Pro

Статья
06/01/2023

ОБЛАСТЬ ПРИМЕНЕНИЯ: Да для SKU GPU Pro Azure Stack Edge Pro — GPU Да для SKU Pro 2 Azure Stack Edge Pro 2 Да для SKU R Pro Azure Stack Edge Pro R Да для номера SKU Mini R Azure Stack Edge Mini R

Чтобы обеспечить безопасное и надежное взаимодействие между вашим устройством Azure Stack Edge и клиентами, которые к нему подключаются, можно использовать самозаверяющие сертификаты или собственные сертификаты. В этой статье описывается, как управлять этими сертификатами, включая отправку, импорт и экспорт этих сертификатов. Вы также можете просмотреть даты окончания срока действия сертификата и удалить старые сертификаты подписи.

Дополнительные сведения о создании этих сертификатов см. в статье Создание сертификатов с помощью Azure PowerShell.

Отправка сертификатов на устройство

Если вы используете собственные сертификаты, то сертификаты, созданные для устройства по умолчанию, находятся в личном хранилище на вашем клиенте. Эти сертификаты на вашем клиенте необходимо экспортировать в файлы соответствующего формата, которые затем можно отправить на устройство.

Необходимые компоненты

Перед отправкой корневых сертификатов и сертификатов конечных точек на устройство убедитесь, что сертификаты экспортированы в соответствующем формате.

Корневой сертификат необходимо экспортировать в формат DER с расширением .cer. Подробные инструкции см. в разделе Экспорт сертификатов в формате DER.
Сертификаты конечных точек необходимо экспортировать в PFX-файлы с закрытыми ключами. Подробные инструкции см. в разделе Экспорт сертификатов в виде PFX-файлов с закрытыми ключами.

Отправка сертификатов

Чтобы отправить корневые сертификаты и сертификаты конечных точек на устройство, используйте пункт + Добавить сертификат на странице сертификатов в локальном пользовательском веб-интерфейсе. Выполните следующие действия:

Сначала передайте корневой сертификат. В локальном веб-интерфейсе перейдите к сертификатам.
Щелкните элемент + Add certificate (Добавление сертификата).
Сохраните сертификат.

Отправка сертификата конечной точки

Затем передайте сертификаты конечной точки.

Выберите файлы сертификатов в формате PFX и введите пароль, указанный при экспорте сертификата. Для применения сертификата Azure Resource Manager может потребоваться несколько минут.

Если вы пытаетесь передать сертификаты конечной точки, когда цепочка подписывания еще не успела обновиться, то получите сообщение об ошибке.

Вернитесь назад и передайте сертификат цепочки подписывания, а затем передайте и примените сертификаты конечной точки.

Внимание

При изменении имени устройства или домена DNS необходимо создать новые сертификаты. После этого следует обновить сертификаты клиентов и сертификаты устройств с учетом нового имени устройства и домена DNS.

Отправка сертификатов Kubernetes

Сертификаты Kubernetes можно использовать для реестра контейнеров Edge или для панели мониторинга Kubernetes. В каждом случае необходимо отправить сертификат и файл ключа. Выполните следующие действия, чтобы создать и отправить сертификаты Kubernetes:

Вы будете использовать openssl для создания сертификата панели мониторинга Kubernetes или реестра контейнеров Edge. Не забудьте установить opensl в системе, используемой для создания сертификатов. В системе Windows для установки opensslможно использовать Chocolatey. После установки Chocolatey откройте PowerShell и введите следующее:
```
choco install openssl
```

Используется openssl для создания этих сертификатов. cert.pem Создается файл сертификата и key.pem файл ключа.

Для реестра контейнеров Edge используйте следующую команду:

openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

Пример выходных данных:

PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

Для сертификата панели мониторинга Kubernetes используйте следующую команду:

openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

Пример выходных данных:

PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

Отправьте сертификат Kubernetes и соответствующий файл ключа, созданный ранее.
- Для реестра контейнеров Edge
- Панель мониторинга Kubernetes

Импорт сертификатов на клиенте, который обращается к устройству

Можно использовать сертификаты, созданные устройством, или собственные сертификаты. При использовании сертификатов, созданных устройством, необходимо скачать сертификаты на клиент, прежде чем сможете импортировать их в соответствующее хранилище сертификатов. См. раздел о скачивании сертификатов на клиент, обращающийся к устройству.

В обоих случаях сертификаты, созданные и переданные на устройство, необходимо импортировать на клиенте Windows (обращающемся к устройству) в соответствующее хранилище сертификатов.

Корневой сертификат, экспортированный в формате DER, теперь следует импортировать в центры доверенных корневых сертификатов в вашей системе клиентов. Подробные инструкции см. в разделе Импорт сертификатов в хранилище центров доверенных корневых сертификатов.
Сертификаты конечных точек, экспортированные в формате .pfx, следует экспортировать в формате DER с расширением .cer. Затем этот .cer импортируется в личное хранилище сертификатов в вашей системе. Подробные инструкции см. в разделе Импорт сертификатов в личное хранилище сертификатов.

Импорт сертификатов в формате DER

Чтобы импортировать сертификаты на клиенте Windows, выполните следующие действия.

Щелкните правой кнопкой мыши файл и выберите Установить сертификат. Запустится мастер импорта сертификатов.
В качестве расположения хранилища выберите локальный компьютер, а затем нажмите кнопку Далее.
Выберите Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.
- Для импорта в личное хранилище перейдите в личное хранилище удаленного узла, а затем нажмите кнопку Далее.
- Чтобы импортировать в доверенное хранилище, перейдите в центр доверенных корневых сертификатов и нажмите кнопку Далее.
Выберите Готово. Появится сообщение об успешном импорте.

Просмотр срока действия сертификата

Если вы используете собственные сертификаты, их срок действия обычно истекает через год или через 6 месяцев. Чтобы просмотреть дату окончания срока действия сертификата, перейдите на страницу сертификатов в локальном пользовательском веб-интерфейсе устройства. Выберите конкретный сертификат и просмотрите дату окончания срока действия этого сертификата.

Удаление сертификата цепочки подписей

С устройства можно удалить старый сертификат цепочки подписывания с истекшим сроком действия. При этом все зависимые сертификаты в цепочке подписывания больше не будут действительными. Удалить можно только сертификаты цепочки подписей.

Чтобы удалить сертификат цепочки подписей с устройства Azure Stack Edge, сделайте следующее:

В локальном веб-интерфейсе устройства перейдите к сертификатам КОНФИГУРАЦИи>.
Выберите сертификат цепочки подписей, который требуется удалить. Затем выберите Удалить.
На панели "Удалить сертификат" проверьте отпечаток сертификата и нажмите кнопку "Удалить". Удаление сертификатов невозможно отменить.

После завершения удаления сертификата все зависимые сертификаты в цепочке подписывания больше не являются допустимыми.
Чтобы просмотреть обновления состояния, обновите экран. Сертификат цепочки подписей больше не будет отображаться, а зависимые сертификаты будут иметь недопустимое состояние.

Следующие шаги

Узнайте, как устранять проблемы с сертификатом.

Поделиться через