Vad är certifikat på Azure Stack Edge Pro GPU?

GÄLLER FÖR: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Den här artikeln beskriver de typer av certifikat som kan installeras på din Azure Stack Edge Pro GPU-enhet. Artikeln innehåller även information om varje certifikattyp.

Om certifikat

Ett certifikat ger en länk mellan en offentlig nyckel och en entitet (till exempel domännamn) som har signerats (verifierats) av en betrodd tredje part (till exempel en certifikatutfärdare). Ett certifikat är ett praktiskt sätt att distribuera betrodda offentliga krypteringsnycklar. Certifikaten säkerställer därmed att kommunikationen är betrodd och att du skickar krypterad information till rätt server.

Distribuera certifikat på enheten

På din Azure Stack Edge-enhet kan du använda självsignerade certifikat eller ta med egna certifikat.

• Enhetsgenererade certifikat: När enheten först konfigureras genereras självsignerade certifikat automatiskt. Om det behövs kan du återskapa dessa certifikat via det lokala webbgränssnittet. När certifikaten har återskapats laddar du ned och importerar certifikaten på klienterna som används för att komma åt enheten.

• Ta med egna certifikat: Du kan också ta med dina egna certifikat. Det finns riktlinjer som du måste följa om du planerar att ta med dina egna certifikat.

  • Börja med att förstå vilka typer av certifikat som kan användas med din Azure Stack Edge-enhet i den här artikeln.
  • Granska sedan certifikatkraven för varje typ av certifikat.
  • Du kan sedan skapa dina certifikat via Azure PowerShell eller Skapa dina certifikat via verktyget Beredskapskontroll.
  • Konvertera slutligen certifikaten till lämpligt format så att de är redo att laddas upp på enheten.
  • Ladda upp dina certifikat på enheten.
  • Importera certifikaten på klienterna som har åtkomst till enheten.

Typer av certifikat

De olika typerna av certifikat som du kan ta med för din enhet är följande:

• Signeringscertifikat

  • Rotcertifikatutfärdare
  • Medel

• Nodcertifikat

• Slutpunktscertifikat

  • Azure Resource Manager-certifikat
  • Blob Storage-certifikat

• Lokala användargränssnittscertifikat

• IoT-enhetscertifikat

• Kubernetes-certifikat

  • Edge Container Registry-certifikat
  • Kubernetes-instrumentpanelscertifikat

• Wi-Fi-certifikat

• VPN-certifikat

• Krypteringscertifikat

  • Stöd för sessionscertifikat

Varje typ av certifikat beskrivs i detalj i följande avsnitt.

Certifikat för signeringskedja

Det här är certifikaten för den utfärdare som signerar certifikaten eller certifikatutfärdare för signering.

Typer

Dessa certifikat kan vara rotcertifikat eller mellanliggande certifikat. Rotcertifikaten är alltid självsignerade (eller signerade av sig själv). Mellanliggande certifikat är inte självsignerade och signeras av signeringsutfärdare.

Varningar

• Rotcertifikaten ska vara signeringskedjecertifikat.
• Rotcertifikaten kan laddas upp på enheten i följande format:
  • DER – Dessa är tillgängliga som ett .cer filnamnstillägg.
  • Base-64-kodad – dessa är tillgängliga som .cer filnamnstillägg.
  • P7b – Det här formatet används endast för signeringskedjans certifikat som innehåller rotcertifikaten och mellanliggande certifikat.
• Signeringskedjans certifikat laddas alltid upp innan du laddar upp andra certifikat.

Nodcertifikat

Alla noder på enheten kommunicerar ständigt med varandra och måste därför ha en förtroenderelation. Nodcertifikat är ett sätt att upprätta det förtroendet. Nodcertifikat spelar också in när du ansluter till enhetsnoden med hjälp av en fjärransluten PowerShell-session via https.

Varningar

• Nodcertifikatet ska anges i .pfx format med en privat nyckel som kan exporteras.

• Du kan skapa och ladda upp ett jokerteckennodcertifikat eller 4 enskilda nodcertifikat.

• Ett nodcertifikat måste ändras om DNS-domänen ändras men enhetsnamnet inte ändras. Om du tar med ditt eget nodcertifikat kan du inte ändra enhetens serienummer, du kan bara ändra domännamnet.

• Använd följande tabell för att vägleda dig när du skapar ett nodcertifikat.

  Typ	Ämnesnamn (SN)	Alternativt namn på certifikatmottagare (SAN)	Exempel på ämnesnamn
  Nod	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Slutpunktscertifikat

För alla slutpunkter som enheten exponerar krävs ett certifikat för betrodd kommunikation. Slutpunktscertifikaten innehåller de som krävs vid åtkomst till Azure Resource Manager och bloblagringen via REST-API:erna.

När du tar in ett eget signerat certifikat behöver du även motsvarande signeringskedja för certifikatet. För signeringskedjan, Azure Resource Manager och blobcertifikaten på enheten behöver du även motsvarande certifikat på klientdatorn för att autentisera och kommunicera med enheten.

Varningar

• Slutpunktscertifikaten måste vara i .pfx format med en privat nyckel. Signeringskedjan ska vara DER-format (.cer filnamnstillägg).

• När du tar med egna slutpunktscertifikat kan dessa vara som enskilda certifikat eller flerdomäncertifikat.

• Om du tar in signeringskedjan måste certifikatet för signeringskedjan laddas upp innan du laddar upp ett slutpunktscertifikat.

• Dessa certifikat måste ändras om enhetsnamnet eller DNS-domännamnen ändras.

• Ett slutpunktscertifikat för jokertecken kan användas.

• Egenskaperna för slutpunktscertifikaten liknar egenskaperna för ett typiskt SSL-certifikat.

• Använd följande tabell när du skapar ett slutpunktscertifikat:

  Typ	Ämnesnamn (SN)	Alternativt namn på certifikatmottagare (SAN)	Exempel på ämnesnamn
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blobb-lagring	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Multi-SAN-enskilt certifikat för båda slutpunkterna	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Lokala användargränssnittscertifikat

Du kan komma åt enhetens lokala webbgränssnitt via en webbläsare. För att säkerställa att kommunikationen är säker kan du ladda upp ditt eget certifikat.

Varningar

• Det lokala användargränssnittscertifikatet laddas också upp i ett .pfx format med en privat nyckel som kan exporteras.

• När du har laddat upp det lokala användargränssnittscertifikatet måste du starta om webbläsaren och rensa cacheminnet. Se de specifika instruktionerna för webbläsaren.

  Typ	Ämnesnamn (SN)	Alternativt namn på certifikatmottagare (SAN)	Exempel på ämnesnamn
  Lokalt användargränssnitt	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

IoT Edge-enhetscertifikat

Enheten är också en IoT-enhet med beräkningen aktiverad av en IoT Edge-enhet som är ansluten till den. För säker kommunikation mellan den här IoT Edge-enheten och de underordnade enheter som kan ansluta till den kan du också ladda upp IoT Edge-certifikat.

Enheten har självsignerade certifikat som kan användas om du bara vill använda beräkningsscenariot med enheten. Om enheten dock är ansluten till underordnade enheter måste du ta med dina egna certifikat.

Det finns tre IoT Edge-certifikat som du behöver installera för att aktivera den här förtroenderelationen:

• Rotcertifikatutfärdare eller ägarens certifikatutfärdare
• Utfärdare av enhetscertifikat
• Certifikat för enhetsnyckel

Varningar

• IoT Edge-certifikaten laddas upp i .pem format.

Mer information om IoT Edge-certifikat finns i Azure IoT Edge-certifikatinformation och Skapa IoT Edge-produktionscertifikat.

Kubernetes-certifikat

Följande Kubernetes-certifikat kan användas med din Azure Stack Edge-enhet.

• Edge-containerregistercertifikat: Om enheten har ett Edge-containerregister behöver du ett Edge Container Registry-certifikat för säker kommunikation med klienten som har åtkomst till registret på enheten.
• Slutpunktscertifikat för instrumentpanelen: Du behöver ett slutpunktscertifikat för instrumentpanelen för att få åtkomst till Kubernetes-instrumentpanelen på enheten.

Varningar

• Edge Container Registry-certifikatet bör:

  • Vara ett PEM-formatcertifikat.
  • Innehåller antingen Alternativt namn på ämne (SAN) eller CName (CN) av typen: *.<endpoint suffix> eller ecr.<endpoint suffix>. Till exempel: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Instrumentpanelscertifikatet bör:

  • Vara ett PEM-formatcertifikat.
  • Innehåller antingen Alternativt namn på ämne (SAN) eller CName (CN) av typen: *.<endpoint-suffix> eller kubernetes-dashboard.<endpoint-suffix>. Till exempel: *.dbe-1d6phq2.microsoftdatabox.com eller kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

VPN-certifikat

Om VPN (punkt-till-plats) har konfigurerats på enheten kan du ta med ditt eget VPN-certifikat för att säkerställa att kommunikationen är betrodd. Rotcertifikatet är installerat på Azure VPN Gateway och klientcertifikaten installeras på varje klientdator som ansluter till ett virtuellt nätverk med punkt-till-plats.

Varningar

• VPN-certifikatet måste laddas upp som ett PFX-format med en privat nyckel.
• VPN-certifikatet är inte beroende av enhetsnamnet, enhetens serienummer eller enhetskonfigurationen. Det kräver bara det externa fullständiga domännamnet.
• Kontrollera att klientens OID har angetts.

Mer information finns i Generera och exportera certifikat för punkt-till-plats med PowerShell.

Wi-Fi-certifikat

Om enheten är konfigurerad för att fungera i ett trådlöst WPA2-Enterprise-nätverk behöver du även ett Wi-Fi-certifikat för all kommunikation som sker via det trådlösa nätverket.

Varningar

• Wi-Fi-certifikatet måste laddas upp som ett .pfx-format med en privat nyckel.
• Kontrollera att klientens OID har angetts.

Stöd för sessionscertifikat

Om enheten har problem kan en powershell-fjärrsupportsession öppnas på enheten för att felsöka dessa problem. Om du vill aktivera en säker, krypterad kommunikation via den här supportsessionen kan du ladda upp ett certifikat.

Varningar

• Kontrollera att motsvarande .pfx certifikat med privat nyckel är installerat på klientdatorn med hjälp av dekrypteringsverktyget.

• Kontrollera att fältet Nyckelanvändning för certifikatet inte är certifikatsignering. Kontrollera detta genom att högerklicka på certifikatet, välja Öppna och leta upp nyckelanvändning på fliken Information.

• Certifikatet för supportsessionen måste anges som DER-format med ett .cer tillägg.

Nästa steg

Granska certifikatkraven.