共用方式為


在 Azure Stack Edge Pro GPU 上傳、匯入、匯出和刪除憑證

適用於:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

若要在 Azure Stack Edge 裝置及其連線的用戶端之間確保安全又可信任的通訊,您可以使用自我簽署憑證或攜帶您自己的憑證。 本文說明如何管理這些憑證,包括如何上傳、匯入和匯出這些憑證。 您也可以檢視憑證到期日,並刪除舊的簽署憑證。

若要深入了解如何建立這些憑證,請參閱使用 Azure PowerShell 建立憑證

將憑證上傳至裝置

如果您攜帶自己的憑證,則您為裝置建立的憑證預設位於用戶端的個人存放區。 在用戶端,這些憑證必須匯出為適當格式的檔案,才能上傳至裝置。

必要條件

將根憑證和端點憑證上傳至裝置之前,請務必以適當的格式匯出憑證。

上傳憑證

若要將根憑證和端點憑證上傳至裝置,請在本機 Web UI 的 [憑證] 頁面上使用 [+ 新增憑證] 選項。 執行下列步驟:

  1. 先上傳根憑證。 在本機 Web UI 中,移至 [憑證]

  2. 選取 [+新增憑證]

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. 儲存憑證。

上傳端點憑證

  1. 接下來上傳端點憑證。

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    選擇 .pfx 格式的憑證檔案,然後輸入您匯出憑證時提供的密碼。 套用 Azure Resource Manager 憑證可能需要幾分鐘。

    如果未先更新簽署鏈結,就嘗試上傳端點憑證,則會發生錯誤。

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    返回並上傳簽署鏈結憑證,然後上傳並套用端點憑證。

重要

如果裝置名稱或 DNS 網域已變更,則必須建立新的憑證。 然後,應該以新的裝置名稱和 DNS 網域來更新用戶端憑證和裝置憑證。

上傳 Kubernetes 憑證

Kubernetes 憑證可以用於 Edge Container Registry 或 Kubernetes 儀表板。 不論何者,都必須上傳憑證和金鑰檔案。 請遵循下列步驟來建立和上傳 Kubernetes 憑證:

  1. 您將使用 openssl 來建立 Kubernetes 儀表板憑證或 Edge Container Registry。 請務必在您要用來建立憑證的系統上安裝 openssl。 在 Windows 系統上,您可以使用 Chocolatey 來安裝 openssl。 安裝 Chocolatey 之後,開啟 PowerShell 並輸入:

    choco install openssl
    
  2. 使用 openssl 來建立這些憑證。 將會建立 cert.pem 憑證檔案和 key.pem 金鑰檔案。

    • 若為 Edge Container Registry,請使用下列命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
      

      範例輸出如下:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
    • 若為 Kubernetes 儀表板憑證,請使用下列命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
      

      範例輸出如下:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
  3. 上傳您稍早產生的 Kubernetes 憑證和對應的金鑰檔案。

    • Edge Container Registry

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Kubernetes 儀表板

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

在存取裝置的用戶端匯入憑證

您可以使用裝置產生的憑證或攜帶您自己的憑證。 使用裝置產生的憑證時,您必須先在用戶端下載憑證,才能將憑證匯入適當的憑證存放區。 請參閱將憑證下載到存取裝置的用戶端

在這兩種情況下,您已建立並上傳至裝置的憑證必須在 Windows 用戶端 (存取裝置) 匯入適當的憑證存放區。

將憑證匯入為 DER 格式

若要在 Windows 用戶端匯入憑證,請執行下列步驟:

  1. 以滑鼠右鍵按一下檔案,然後選取 [安裝憑證]。 這個動作會啟動 [憑證匯入精靈]。

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. 對於 [存放位置],選取 [本機電腦],然後選取 [下一步]

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. 選取 [將所有憑證放入以下的存放區],然後選取 [瀏覽]

    • 若要匯入個人存放區,請瀏覽至遠端主機的個人存放區,然後選取 [下一步]

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • 若要匯入信任的存放區,請瀏覽至 [受信任的根憑證授權單位],然後選取 [下一步]

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. 選取 [完成]。 出現訊息指出匯入成功。

檢視憑證到期日

如果您攜帶自己的憑證,憑證通常會在 1 年或 6 個月內到期。 若要檢視憑證的到期日,請移至裝置本機 Web UI 中的 [憑證] 頁面。 如果您選取特定憑證,則可以在憑證上檢視到期日。

刪除簽署鏈結憑證

您可以從裝置刪除舊的過期簽署鏈結憑證。 當您這麼做時,簽署鏈結中的任何相依憑證將不再有效。 只能刪除簽署鏈結憑證。

若要從 Azure Stack Edge 裝置刪除簽署鏈結憑證,請執行下列步驟:

  1. 在裝置的本機 Web UI 中,移至 [設定]>[憑證]

  2. 選取您要刪除的簽署鏈結憑證。 接著選取刪除

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. 在 [刪除憑證] 窗格上,驗證憑證的指紋,然後選取 [刪除]。 憑證刪除就無法回復。

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    憑證刪除完成後,簽署鏈結中的所有相依憑證就不再有效。

  4. 若要查看狀態更新,請重新整理顯示畫面。 簽署鏈結憑證不再出現,而相依憑證的狀態為無效

下一步

了解如何針對憑證問題進行疑難排解