Använda certifikat med Azure Stack Edge Pro GPU-enhet

GÄLLER FÖR: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

I den här artikeln beskrivs hur du skapar egna certifikat med hjälp av Azure PowerShell-cmdletar. Artikeln innehåller de riktlinjer som du behöver följa om du planerar att ta med dina egna certifikat på Azure Stack Edge-enheten.

Certifikat säkerställer att kommunikationen mellan enheten och klienterna som kommer åt den är betrodd och att du skickar krypterad information till rätt server. När din Azure Stack Edge-enhet först konfigureras genereras självsignerade certifikat automatiskt. Du kan också ta med egna certifikat.

Du kan använda någon av följande metoder för att skapa egna certifikat för enheten:

• Använd Azure PowerShell-cmdletarna.
• Använd verktyget Beredskapskontroll för Azure Stack Hub för att skapa certifikatsigneringsbegäranden (CSR) som hjälper certifikatutfärdaren att utfärda certifikat.

Den här artikeln beskriver bara hur du skapar egna certifikat med hjälp av Azure PowerShell-cmdletar.

Förutsättningar

Innan du tar med dina egna certifikat kontrollerar du att:

• Du är bekant med de typer av certifikat som kan användas med din Azure Stack Edge-enhet.
• Du har granskat certifikatkraven för varje typ av certifikat.

Skapa certifikat

I följande avsnitt beskrivs proceduren för att skapa signeringskedja och slutpunktscertifikat.

Certifikatarbetsflöde

Du har ett definierat sätt att skapa certifikaten för de enheter som arbetar i din miljö. Du kan använda de certifikat som tillhandahålls av IT-administratören.

I utvecklings- eller testsyfte kan du också använda Windows PowerShell för att skapa certifikat i det lokala systemet. När du skapar certifikaten för klienten följer du dessa riktlinjer:

1. Du kan skapa någon av följande typer av certifikat:

   • Skapa ett enda certifikat som är giltigt för användning med ett enda fullständigt domännamn (FQDN). Till exempel mydomain.com.
   • Skapa ett jokerteckencertifikat för att skydda huvuddomännamnet och flera underdomäner. Till exempel *.mydomain.com.
   • Skapa ett SAN-certifikat (Subject Alternative Name) som täcker flera domännamn i ett enda certifikat.

2. Om du tar med ditt eget certifikat behöver du ett rotcertifikat för signeringskedjan. Se steg för att skapa certifikat för signeringskedjan.

3. Du kan sedan skapa slutpunktscertifikaten för det lokala användargränssnittet för installationen, blobben och Azure Resource Manager. Du kan skapa tre separata certifikat för installationen, bloben och Azure Resource Manager, eller så kan du skapa ett certifikat för alla tre slutpunkterna. Detaljerade steg finns i Skapa signerings- och slutpunktscertifikat.

4. Oavsett om du skapar tre separata certifikat eller ett certifikat anger du ämnesnamnen (SN) och alternativa namn för certifikatmottagare (SAN) enligt vägledningen för varje certifikattyp.

Skapa certifikat för signeringskedja

Skapa dessa certifikat via Windows PowerShell som körs i administratörsläge. De certifikat som skapas på det här sättet bör endast användas för utveckling eller testning.

Certifikatet för signeringskedjan behöver bara skapas en gång. De andra slutpunktscertifikaten refererar till det här certifikatet för signering.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Skapa signerade slutpunktscertifikat

Skapa dessa certifikat via Windows PowerShell som körs i administratörsläge.

I de här exemplen skapas slutpunktscertifikat för en enhet med: – Enhetsnamn: DBE-HWDC1T2 – DNS-domän: microsoftdatabox.com

Ersätt med namnet och DNS-domänen för enheten för att skapa certifikat för enheten.

Blobslutpunktscertifikat

Skapa ett certifikat för blobslutpunkten i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Azure Resource Manager-slutpunktscertifikat

Skapa ett certifikat för Azure Resource Manager-slutpunkterna i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Certifikat för lokalt webbgränssnitt för enhet

Skapa ett certifikat för enhetens lokala webbgränssnitt i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Enskilt multi-SAN-certifikat för alla slutpunkter

Skapa ett enda certifikat för alla slutpunkter i ditt personliga arkiv.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

När certifikaten har skapats är nästa steg att ladda upp certifikaten på din Azure Stack Edge Pro GPU-enhet.

Nästa steg

Ladda upp certifikat på enheten.