你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure Stack Edge Pro GPU 设备上使用证书
适用于:
Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
本文介绍使用 Azure PowerShell cmdlet 创建自己的证书的过程。 本文包含用户打算在 Azure Stack Edge 设备上使用自己的证书时,需要遵循的准则。
证书确保设备与访问设备的客户端之间的通信是受信任的,并且你向正确的服务器发送加密的信息。 最初配置 Azure Stack Edge 设备时,将自动生成自签名证书。 你也可以选择自带证书。
你可以使用下列方法之一,为设备创建你自己的证书:
- 使用 Azure PowerShell cmdlet。
- 使用 Azure Stack Hub 就绪情况检查器工具来创建证书签名请求 (CSR),以帮助你的证书颁发机构颁发证书。
本文只介绍如何使用 Azure PowerShell cmdlet 创建自己的证书。
先决条件
在自带证书之前,请确保:
创建证书
以下部分介绍了创建签名链和终结点证书的过程。
证书工作流
你可以使用定义的方式为环境中运行的设备创建证书。 可以使用 IT 管理员提供的证书。
对于仅开发或测试目的,还可以使用 Windows PowerShell 在本地系统上创建证书。 为客户端创建证书时,请遵循以下准则:
你可以创建以下任何类型的证书:
- 创建一个有效证书,与一个完全限定的域名 (FQDN) 一起使用。 例如,mydomain.com。
- 还可以创建通配符证书来保护主域名和多个子域。 例如,.mydomain.com。
- 创建使用者可选名称 (SAN) 证书,它将在一个证书中覆盖多个域名。
如果自带证书,则需要签名链的根证书。 有关步骤,请参阅创建签名链证书。
接下来,可以为设备、blob 和 Azure 资源管理器的本地 UI 创建终结点证书。 可以为设备、blob 和 Azure 资源管理器创建 3 个单独的证书,也可以为所有 3 个终结点创建一个证书。 有关详细步骤,请参阅创建签名和终结点证书。
无论是创建 3 个单独的证书还是一个证书,请根据为每个证书类型提供的指导,指定使用者名称 (SN) 和使用者可选名称 (SAN)。
创建签名链证书
通过在管理员模式下运行的 Windows PowerShell 创建这些证书。 以这种方式创建的证书应只用于开发或测试目的。
签名链证书只需创建一次。 其他终结点证书将引用此证书进行签名。
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
创建签名的终结点证书
通过在管理员模式下运行的 Windows PowerShell 创建这些证书。
在这些示例中,使用以下项为设备创建终结点证书: - 设备名称: DBE-HWDC1T2 - DNS 域: microsoftdatabox.com
替换为设备的名称和 DNS 域,以便为设备创建证书。
Blob 终结点证书
为个人存储中的 Blob 终结点创建证书。
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Azure 资源管理器终结点证书
为个人存储中的 Azure 资源管理器终结点创建证书。
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
设备本地 Web UI 证书
为个人存储中设备的本地 Web UI 创建证书。
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
所有终结点的单个多 SAN 证书
为个人存储中的所有终结点创建单个证书。
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
创建证书后,下一步是在 Azure Stack Edge Pro GPU 设备上上传证书。