你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：使用 GPU 为 Azure Stack Edge Pro 配置证书

项目
06/01/2023

本教程介绍如何通过本地 Web UI，使用板载 GPU 为 Azure Stack Edge Pro 设备配置证书。

本教程介绍如何通过本地 Web UI 为具有 2 个节点的 Azure Stack Edge Pro GPU 设备配置证书。

此步骤所花费的时间取决于你选择的特定选项，以及在环境中建立证书流的方式。

在本教程中，你将学习：

先决条件
为物理设备配置证书

先决条件

在使用 GPU 配置和设置 Azure Stack Edge Pro 设备之前，请确保：

已按照安装 Azure Stack Edge Pro GPU 中详述的内容安装物理设备。
如果计划自带证书：
- 应该使用适当的格式来准备证书，包括签名链证书。有关证书的详细信息，请参阅管理证书
- 如果你的设备已在 Azure 政府中部署，但未在 Azure 公有云中部署，则需具备签名链证书，然后才能激活该设备。有关证书的详细信息，请参阅管理证书。

为设备配置证书

在设备的本地 Web UI 中打开“证书”页。此页将显示设备上可用的证书。设备随附自签名证书，也称为设备证书。你也可以自带证书。
如果在之前配置设备设置时没有更改设备名称或 DNS 域，并且不想使用自己的证书，则不需要在此页上进行任何配置。只需验证所有证书的状态是否在此页上显示为有效。

你已准备好使用现有设备证书激活设备。
只有在更改了设备的设备名称或 DNS 域时，才执行以下步骤。在这些情况下，设备证书的状态将为“无效”。这是因为证书的 subject name 和 subject alternative 设置中的设备名称和 DNS 域已过期。

选择某个证书，查看状态详细信息。
如果已更改了设备的设备名称或 DNS 域，并且没有提供新证书，则将阻止激活设备。若要在设备上使用一组新证书，请选择以下选项之一：
- 生成所有设备证书。如果打算使用自动生成的设备证书并且需要生成新的设备证书，请选择此选项，然后完成生成设备证书中的步骤。应将这些设备证书仅用于测试，而不用于生产工作负载。
- 使用自己的证书。如果要使用自己的签名终结点证书和相应的签名链，请选择此选项，然后执行自带证书中的步骤。建议始终将自己的证书用于生产工作负载。
- 可以选择自带一些证书并生成一些设备证书。 “生成所有设备证书”选项仅重新生成设备证书。
如果设备有一套完整的有效证书，则该设备已准备好激活。选择“< 返回到开始”，继续下一个部署步骤激活设备。

在设备的本地 Web UI 中打开“证书”页。此页将显示设备上可用的证书。设备随附自签名证书，也称为设备证书。你也可以自带证书。
如果在之前配置设备设置时没有更改设备名称或 DNS 域，并且不想使用自己的证书，则不需要在此页上进行任何配置。只需验证所有证书的状态是否在此页上显示为有效。

你已准备好使用现有设备证书激活设备。
只有在更改了设备的设备名称或 DNS 域时，才执行以下步骤。在这些情况下，设备证书的状态将为“无效”。这是因为证书的 subject name 和 subject alternative 设置中的设备名称和 DNS 域已过期。

选择某个证书，查看状态详细信息。
如果已更改了设备的设备名称或 DNS 域，并且没有提供新证书，则将阻止激活设备。若要在设备上使用一组新证书，请选择以下选项之一：
- 生成所有设备证书。如果打算使用自动生成的设备证书并且需要生成新的设备证书，请选择此选项，然后完成生成设备证书中的步骤。应将这些设备证书仅用于测试，而不用于生产工作负载。
- 使用自己的证书。如果要使用自己的签名终结点证书和相应的签名链，请选择此选项，然后执行自带证书中的步骤。建议始终将自己的证书用于生产工作负载。
- 可以选择自带一些证书并生成一些设备证书。 “生成所有设备证书”选项仅重新生成设备证书。
如果设备有一套完整的有效证书，则该设备已准备好激活。选择“< 返回到开始”，继续下一个部署步骤激活设备。

生成设备证书

按照以下步骤操作，以生成设备证书。

使用以下步骤重新生成并下载 Azure Stack Edge Pro GPU 设备证书：

在设备的本地 Web UI 中，转到“配置”>“证书”。选择“生成证书”。
在“生成设备证书”中，选择“生成” 。

现在已生成并应用设备证书。生成并应用证书需要几分钟时间。

重要

正在执行证书生成操作时，请勿使用自己的证书并尝试通过“+ 添加证书”选项添加证书。

操作成功完成后，系统会发出通知。 若要避免任何潜在的缓存问题，请重启浏览器。
生成证书后：
- 所有证书的状态会显示为“有效”。
- 可以选择特定证书名称，并查看证书详细信息。
- “下载”列现已填充。此列包含用于下载重新生成的证书的链接。
选择证书的下载链接，并在系统出现提示时保存证书。
对要下载的所有证书重复此过程。

在设备的本地 Web UI 中，转到“配置”>“证书”。选择“生成证书”。
在“生成设备证书”中，选择“生成” 。

现在已生成并应用设备证书。生成并应用证书需要几分钟时间。

重要

正在执行证书生成操作时，请勿使用自己的证书并尝试通过“+ 添加证书”选项添加证书。

操作成功完成后，系统会发出通知。 若要避免任何潜在的缓存问题，请重启浏览器。
生成证书后：
- 所有证书的状态会显示为“有效”。
- 可以选择特定证书名称，并查看证书详细信息。
- “下载”列现已填充。此列包含用于下载重新生成的证书的链接。
选择证书的下载链接，并在系统出现提示时保存证书。
对要下载的所有证书重复此过程。

设备生成的证书按以下名称格式保存为 DER 证书：

<Device name>_<Endpoint name>.cer

这些证书包含设备上安装的相应证书的公钥。

需要在所用客户端系统上安装这些证书，才能在 Azure Stack Edge 设备上访问终结点。这些证书在客户端和设备之间建立信任关系。

若要在所用客户端上导入并安装这些证书以访问设备，请按照在访问 Azure Stack Edge Pro GPU 设备的客户端上导入证书中的步骤操作。

如果使用 Azure 存储资源管理器，需要在客户端上以 PEM 格式安装证书，并且需要将设备生成的证书转换为 PEM 格式。

重要

下载链接仅适用于设备生成的证书，并不适用于使用自己的证书。
可以决定搭配使用设备生成的证书和自己的证书，只要满足其他证书要求即可。有关详细信息，请转到证书要求。

使用自己的证书

你可以使用自己的证书。

首先了解可与 Azure Stack Edge 设备一起使用的证书类型。
接下来，查看每种类型的证书的证书要求。
然后，可以通过 Azure PowerShell 创建证书或通过就绪检查器工具创建证书。
最后，将证书转换成正确的格式，这样它们就可以上传到你的设备。

请按照以下步骤上传自己的证书，包括签名链。

若要上传证书，请在“证书”页上选择“+ 添加证书” 。
如果在导出 .pfx 格式的证书时，在证书路径中包含了所有证书，则可以跳过此步骤。如果导出中不包含所有证书，请上传签名链，然后选择“ 验证并添加”。需要在上传其他证书之前执行此操作。

在某些情况下，建议单独将签名链用于其他目的 - 例如，连接到 Windows Server Update Services (WSUS) 的更新服务器。
上传其他证书。例如，可以上传 Azure 资源管理器和 Blob 存储终结点证书。

还可以上传本地 Web UI 证书。上传该证书后，需要启动浏览器并清除缓存。然后需要连接到设备本地 Web UI。

还可以上传节点证书。

可以随时选择证书并查看详细信息，以确保这些内容与上传的证书匹配。

证书页面应会更新，显示新添加的证书。

注意

除 Azure 公有云外，需要在激活所有云配置（Azure 政府或 Azure Stack）之前引入签名链证书。