共用方式為

在 Azure Stack Edge Pro GPU 上傳、匯入、匯出和刪除憑證

  • 發行項

適用於: 是,適用於 Pro GPU SKUAzure Stack Edge Pro - GPU是,適用於 Pro 2 SKUAzure Stack Edge Pro 2是,適用於 Pro R SKUAzure Stack Edge Pro R是,適用於 Mini R SKUAzure Stack Edge Mini R

若要在 Azure Stack Edge 裝置及其連線的用戶端之間確保安全又可信任的通訊,您可以使用自我簽署憑證或攜帶您自己的憑證。 本文說明如何管理這些憑證,包括如何上傳、匯入和匯出這些憑證。 您也可以檢視憑證到期日,並刪除舊的簽署憑證。

若要深入了解如何建立這些憑證,請參閱使用 Azure PowerShell 建立憑證

將憑證上傳至裝置

如果您攜帶自己的憑證,則您為裝置建立的憑證預設位於用戶端的個人存放區。 在用戶端,這些憑證必須匯出為適當格式的檔案,才能上傳至裝置。

必要條件

將根憑證和端點憑證上傳至裝置之前,請務必以適當的格式匯出憑證。

上傳憑證

若要將根憑證和端點憑證上傳至裝置,請在本機 Web UI 的 [憑證] 頁面上使用 [+ 新增憑證] 選項。 執行下列步驟:

  1. 先上傳根憑證。 在本機 Web UI 中,移至 [憑證]

  2. 選取 [+新增憑證]

    顯示將簽署鏈結憑證新增至 Azure Stack Edge 裝置時新增憑證畫面的螢幕快照。[儲存憑證] 按鈕會反白顯示。

  3. 儲存憑證。

上傳端點憑證

  1. 接下來上傳端點憑證。

    顯示將端點憑證新增至 Azure Stack Edge 裝置時新增憑證畫面的螢幕快照。[儲存憑證] 按鈕會反白顯示。

    選擇 .pfx 格式的憑證檔案,然後輸入您匯出憑證時提供的密碼。 套用 Azure Resource Manager 憑證可能需要幾分鐘。

    如果未先更新簽署鏈結,就嘗試上傳端點憑證,則會發生錯誤。

    此螢幕快照顯示當端點憑證上傳時套用憑證錯誤,而不需要先在 Azure Stack Edge 裝置上上傳簽署鏈結憑證。

    返回並上傳簽署鏈結憑證,然後上傳並套用端點憑證。

重要

如果裝置名稱或 DNS 網域已變更,則必須建立新的憑證。 然後,應該以新的裝置名稱和 DNS 網域來更新用戶端憑證和裝置憑證。

上傳 Kubernetes 憑證

Kubernetes 憑證可以用於 Edge Container Registry 或 Kubernetes 儀表板。 不論何者,都必須上傳憑證和金鑰檔案。 請遵循下列步驟來建立和上傳 Kubernetes 憑證:

  1. 您將使用 openssl 來建立 Kubernetes 儀表板憑證或 Edge Container Registry。 請務必在您要用來建立憑證的系統上安裝 openssl。 在 Windows 系統上,您可以使用 Chocolatey 來安裝 openssl。 安裝 Chocolatey 之後,開啟 PowerShell 並輸入:

    choco install openssl

  2. 使用 openssl 來建立這些憑證。 將會建立 cert.pem 憑證檔案和 key.pem 金鑰檔案。

    • 若為 Edge Container Registry,請使用下列命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      範例輸出如下:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • 若為 Kubernetes 儀表板憑證,請使用下列命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      範例輸出如下:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. 上傳您稍早產生的 Kubernetes 憑證和對應的金鑰檔案。

    • Edge Container Registry

      顯示將Edge Container Registry 憑證新增至 Azure Stack Edge 裝置時,[新增憑證] 畫面的螢幕快照。憑證和金鑰檔案的瀏覽按鈕會反白顯示。

    • Kubernetes 儀表板

      顯示將 Kubernetes 儀錶板憑證新增至 Azure Stack Edge 裝置時新增憑證畫面的螢幕快照。憑證和金鑰檔案的瀏覽按鈕會反白顯示。

在存取裝置的用戶端匯入憑證

您可以使用裝置產生的憑證或攜帶您自己的憑證。 使用裝置產生的憑證時,您必須先在用戶端下載憑證,才能將憑證匯入適當的憑證存放區。 請參閱將憑證下載到存取裝置的用戶端

在這兩種情況下,您已建立並上傳至裝置的憑證必須在 Windows 用戶端 (存取裝置) 匯入適當的憑證存放區。

將憑證匯入為 DER 格式

若要在 Windows 用戶端匯入憑證,請執行下列步驟:

  1. 以滑鼠右鍵按一下檔案,然後選取 [安裝憑證]。 這個動作會啟動 [憑證匯入精靈]。

    螢幕快照:Windows 檔案總管 中檔案的操作功能表。[安裝憑證] 選項會反白顯示。

  2. 對於 [存放位置],選取 [本機電腦],然後選取 [下一步]

    Windows 用戶端上憑證匯入精靈的螢幕快照。[本機計算機] 儲存位置會反白顯示。

  3. 選取 [將所有憑證放入以下的存放區],然後選取 [瀏覽]

    • 若要匯入個人存放區,請瀏覽至遠端主機的個人存放區,然後選取 [下一步]

      Windows 中已選取個人證書存儲的 [憑證匯入精靈] 螢幕快照。[證書存儲] 選項和 [下一步] 按鈕會反白顯示。

    • 若要匯入信任的存放區,請瀏覽至 [受信任的根憑證授權單位],然後選取 [下一步]

      Windows 中 [憑證匯入精靈] 的螢幕快照,其中已選取 [受信任的跟證書授權單位] 證書存儲。[證書存儲] 選項和 [下一步] 按鈕會反白顯示。

  4. 選取 [完成]。 出現訊息指出匯入成功。

檢視憑證到期日

如果您攜帶自己的憑證,憑證通常會在 1 年或 6 個月內到期。 若要檢視憑證的到期日,請移至裝置本機 Web UI 中的 [憑證] 頁面。 如果您選取特定憑證,則可以在憑證上檢視到期日。

刪除簽署鏈結憑證

您可以從裝置刪除舊的過期簽署鏈結憑證。 當您這麼做時,簽署鏈結中的任何相依憑證將不再有效。 只能刪除簽署鏈結憑證。

若要從 Azure Stack Edge 裝置刪除簽署鏈結憑證,請執行下列步驟:

  1. 在裝置的本機 Web UI 中,移至 [設定]>[憑證]

  2. 選取您要刪除的簽署鏈結憑證。 接著選取刪除

    Azure Stack Edge 裝置本機 Web UI 的 [憑證] 刀鋒窗口螢幕快照。已醒目提示簽署憑證的 [刪除] 選項。

  3. 在 [刪除憑證] 窗格上,驗證憑證的指紋,然後選取 [刪除]。 憑證刪除就無法回復。

    Azure Stack Edge 裝置上簽署憑證的 [刪除憑證] 畫面螢幕快照。憑證指紋和 [刪除] 按鈕會反白顯示。

    憑證刪除完成後,簽署鏈結中的所有相依憑證就不再有效。

  4. 若要查看狀態更新,請重新整理顯示畫面。 簽署鏈結憑證不再出現,而相依憑證的狀態為無效

下一步

了解如何針對憑證問題進行疑難排解