你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Stack Hub 就绪情况检查器工具为 Azure Stack Edge Pro GPU 创建证书
适用于:
Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
本文介绍如何使用 Azure Stack Hub 准备情况检查器工具为 Azure Stack Edge Pro 创建证书。
使用 Azure Stack Hub 准备情况检查器工具
使用 Azure Stack Hub 准备情况检查器工具创建进行 Azure Stack Edge Pro 设备部署所需的证书签名请求 (CSR)。 你可以在为 Azure Stack Edge Pro 设备下单后,在等待设备到达期间创建这些请求。
注意
此工具仅用于测试或开发目的,不适用于生产设备。
可以使用 Azure Stack Hub 就绪性检查器工具 (AzsReadinessChecker) 请求以下证书:
- Azure 资源管理器证书
- 本地 UI 证书
- 节点证书
- Blob 证书
- VPN 证书
先决条件
若要创建用于 Azure Stack Edge Pro 设备部署的 CSR,请确保:
- 你有运行 Windows 10 或者 Windows Server 2016 或更高版本的客户端。
- 你已将 Microsoft Azure Stack Hub 准备情况检查器工具从 PowerShell 库下载到此系统上。
- 你有以下证书信息:
- 设备名
- 节点序列号
- 外部完全限定的域名 (FQDN)
生成证书签名请求
通过以下步骤准备 Azure Stack Edge Pro 设备证书:
以管理员身份运行 PowerShell(5.1 或更高版本)。
安装 Azure Stack Hub 准备情况检查器工具。 在 PowerShell 提示符处,键入:
Install-Module -Name Microsoft.AzureStack.ReadinessChecker若要获取已安装的版本,请键入:
Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker | ft Name, Version为所有证书创建一个目录(如果还没有)。 类型:
New-Item "C:\certrequest" -ItemType Directory若要创建证书请求,请提供以下信息。 如果要生成 VPN 证书,则其中的某些输入不适用。
Input 说明 OutputRequestPath要在其中创建证书请求的本地客户端上的文件路径。 DeviceName设备在其本地 Web UI 的“设备”页中的名称。
VPN 证书不需要此字段。NodeSerialNumber设备节点的 Node serial number显示在设备本地 Web UI 的“概述”页面上。
VPN 证书不需要此字段。ExternalFQDN设备本地 Web UI 的“设备”页中的 DNS domain值。RequestType请求类型可能是 MultipleCSR(不同的终结点使用不同的证书),也可能是SingleCSR(所有终结点都使用同一个证书)。
VPN 证书不需要此字段。对于除 VPN 证书之外的所有证书,请键入:
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeDEVICE' DeviceName = 'myTEA1' NodeSerialNumber = 'VM1500-00025' externalFQDN = 'azurestackedge.contoso.com' requestType = 'MultipleCSR' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams如果要创建 VPN 证书,请键入:
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeVPN' externalFQDN = 'azurestackedge.contoso.com' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams你会在目录(在上面的 OutputRequestPath 参数中指定)中找到证书请求文件。 使用
MultipleCSR参数时,你会看到以下四个扩展名为.req的文件:文件名 证书请求的类型 以 DeviceName开头本地 Web UI 证书请求 以 NodeSerialNumber开头节点证书请求 自 login起Azure 资源管理器终结点证书请求 自 wildcard起Blob 存储证书请求。 它包含通配符,因为它涵盖了你可以在设备上创建的所有存储帐户。 自 AzureStackEdgeVPNCertificate起VPN 客户端证书请求。 你还会看到一个 INF 文件夹。 这包含一个明文形式的对证书进行了详细说明的 management.<edge-devicename> 信息文件。
将这些文件(内部文件或公共文件)提交给证书颁发机构。 确保 CA 根据生成的请求来生成符合 Azure Stack Edge Pro 证书要求(针对节点证书、终结点证书和本地 UI 证书)的证书。
为部署准备证书
从证书颁发机构 (CA) 获取的证书文件必须导入和导出,其属性与 Azure Stack Edge Pro 设备的证书要求匹配。 请在生成了证书签名请求的系统上完成以下步骤。
若要导入这些证书,请按照在访问 Azure Stack Edge Pro 设备的客户端上导入证书中的步骤操作。
若要导出这些证书,请按照从访问 Azure Stack Edge Pro 设备的客户端导出证书中的步骤操作。
验证证书
首先,需生成正确的文件夹结构,并将证书放入相应的文件夹中。 然后,你才能使用工具来验证证书。
以管理员身份运行 PowerShell。
若要生成适当的文件夹结构,请在提示符下键入:
New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"将 PFX 密码转换为安全字符串。 类型:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString接下来,验证证书。 类型:
Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword