مشاركة عبر

ما هي الشهادات الموجودة على Azure Stack Edge Pro GPU؟

  • مقالة

ينطبق على: نعم ل Pro GPU SKUAzure Stack Edge Pro - GPUنعم ل Pro 2 SKUAzure Stack Edge Pro 2نعم ل Pro R SKUAzure Stack Edge Pro Rنعم ل Mini R SKUAzure Stack Edge Mini R

توضح هذه المقالة أنواع الشهادات التي يمكن تثبيتها على جهازAzure Stack Edge Pro GPU. تتضمن المقالة أيضًا تفاصيل لكل نوع الشهادة.

«About certificates»

توفر الشهادة ارتباطًا بين مفتاح عام وكيان (مثل اسم المجال) تم توقيعه (التحقق منه) من قِبل جهة خارجية موثوق بها (مثل مرجع الشهادة). توفر الشهادة طريقة ملائمة لتوزيع مفاتيح التشفير العامة الموثوق بها. وبالتالي تضمن الشهادات أن الاتصال موثوق به وأنك ترسل معلومات مشفرة إلى ملقم الشبكة الصحيح.

نشر الشهادات على الجهاز

يمكنك استخدام الشهادات الموقعة ذاتيًا على جهاز Azure Stack Edge أو إحضار الشهادات الخاصة بك.

أنواع الشهادات

الأنواع المختلفة من الشهادات التي يمكنك إحضارها لجهازك هي كما يلي:

  • توقيع الشهادات

    • المرجع المصدق الجذر
    • متوسط

  • شهادات العقدة

  • شهادات نقطة النهاية

    • شهادات Azure Resource Manager
    • شهادات تخزين كائن ثنائي كبير الحجم

  • شهادات واجهة المستخدم المحلية

  • شهادات جهاز IoT

  • شهادات Kubernetes

    • شهادة تسجيل حاوية الحافة
    • شهادة لوحة تحكم Kubernetes

  • شهادات Wi-Fi

  • شهادات VPN

  • شهادات التشفير

    • شهادات جلسة عمل الدعم

يتم وصف كل نوع من أنواع الشهادات بالتفصيل في الأقسام التالية.

توقيع شهادات السلسلة

إنها شهادات المرجع الذي يوقع الشهادات أو المرجع المصدق للتوقيع.

الأنواع

يمكن أن تكون هذه الشهادات شهادات الجذر أو الشهادات المتوسطة الشهادات الجذر موقعة ذاتيًا دائمًا (أو موقعة تلقائيًا). الشهادات المتوسطة غير موقعة ذاتيًا ويتم توقيعها من قِبل سلطة التوقيع.

تحذيرات

  • ينبغي أن تكون الشهادات الجذر توقيع شهادات السلسلة.
  • يمكن تحميل الشهادات الجذر على جهازك بالتنسيق التالي:
    • DER – متوفرة كملحق ملف .cer.
    • ترميز Base-64 – متوفرة كملحق للملف .cer.
    • P7b – يستخدم هذا التنسيق فقط لتوقيع شهادات السلسلة التي تتضمن الشهادات الجذر والمتوسطة.
  • يتم تحميل شهادات سلسلة التوقيع دائمًا قبل تحميل أي شهادات أخرى.

شهادات العقدة

تتواصل جميع العقد في جهازك باستمرار مع بعضها البعض وبالتالي تحتاج إلى علاقة ثقة. توفر شهادات العقدة طريقة لتأسيس تلك الثقة. شهادات العقدة أيضًا حيز التنفيذ عند الاتصال عقدة الجهاز باستخدام جلسة عمل PowerShell البعيد عبر https.

تحذيرات

  • ينبغي توفير شهادة العقدة بالتنسيق .pfx مع مفتاح خاص يمكن تصديره.

  • يمكنك إنشاء وتحميل شهادة عقدة بدل واحدة (1) أو 4 شهادات عقدة فردية.

  • ينبغي تغيير شهادة عقدة إذا تغير مجال DNS ولكن اسم الجهاز لا يتغير. في حال كنت تقوم بإحضار شهادة العقدة الخاصة بك، فلا يمكنك تغيير الرقم التسلسلي للجهاز، يمكنك تغيير اسم المجال فقط.

  • استخدم الجدول التالي لإرشادك عند إنشاء شهادة عقدة.

    نوع اسم الموضوع (SN) اسم بديل للموضوع (SAN) مثال لاسم الموضوع
    العقدة <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com

شهادات نقطة النهاية

بالنسبة لأي نقاط نهاية يكشفها الجهاز، يلزم الحصول على شهادة للاتصال الموثوق به. تتضمن شهادات نقطة النهاية تلك المطلوبة عند الوصول إلى Azure Resource Manager وتخزين كائن ثنائي كبير الحجم عبر واجهة برمجة تطبيقات REST.

عند إحضار شهادة موقعة خاصة بك، تحتاج أيضًا إلى سلسلة التوقيع المطابقة للشهادة. لسلسلة التوقيع، إدارة موارد Azure وشهادات كائن ثنائي كبير الحجم على الجهاز، ستحتاج الشهادات المطابقة على جهاز العميل أيضًا للمصادقة والاتصال مع الجهاز.

تحذيرات

  • ينبغي أن تكون شهادات نقطة النهاية بالتنسيق .pfx باستخدام مفتاح خاص. ينبغي أن تكون سلسلة التوقيع بتنسيق DER (.cerامتداد الملف).

  • عند إحضار شهادات نقطة النهاية الخاصة بك، يمكن أن تكون هذه كشهادات فردية أو شهادات متعددة المجالات.

  • في حال كنت تقوم بإحضار سلسلة توقيع، يجب تحميل شهادة سلسلة التوقيع قبل تحميل شهادة نقطة نهاية.

  • ينبغي تغيير هذه الشهادات إذا تغير اسم الجهاز أو أسماء مجال DNS.

  • يمكن استخدام شهادة نقطة نهاية حرف بدل.

  • خصائص شهادات نقطة النهاية مشابهة لخصائص شهادة SSL النموذجية.

  • استخدم الجدول التالي عند إنشاء شهادة نقطة نهاية:

    نوع اسم الموضوع (SN) اسم بديل للموضوع (SAN) مثال لاسم الموضوع
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    مساحة تخزين Blob *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    شهادة واحدة متعددة SAN لكلا النقطتين النهائيتين <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com

شهادات واجهة المستخدم المحلية

يمكنك الوصول إلى واجهة مستخدم الويب المحلية لجهازك عبر متصفح. لضمان أن هذا الاتصال آمن، يمكنك تحميل الشهادة الخاصة بك.

تحذيرات

  • يتم أيضًا تحميل شهادة واجهة المستخدم المحلية بتنسيق .pfx مع مفتاح خاص يمكن تصديره.

  • بعد تحميل شهادة واجهة المستخدم المحلية، ستحتاج إلى إعادة تشغيل المستعرض ومسح ذاكرة التخزين المؤقت. راجع الإرشادات المحددة للمتصفح.

    نوع اسم الموضوع (SN) اسم بديل للموضوع (SAN) مثال لاسم الموضوع
    واجهة المستخدم المحلية <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com

شهادات جهاز IoT Edge

جهازك هو أيضًا جهاز IoT مع حساب تمكين بواسطة جهاز IoT الحافة متصلة به. لأي اتصال آمن بين جهاز IoT Edge هذا والأجهزة المتلقين للمعلومات التي قد تتصل به، يمكنك أيضًا تحميل شهادات IoT Edge.

يحتوي الجهاز على شهادات موقعة ذاتيًا يمكن استخدامها إذا كنت تريد استخدام سيناريو الحساب فقط مع الجهاز. في حال كان الجهاز متصلاً بأجهزة المصب، فستحتاج إلى إحضار الشهادات الخاصة بك.

هناك ثلاث شهادات IoT Edge تحتاج إلى تثبيتها لتمكين علاقة الثقة:

  • مرجع الشهادة الجذر أو مرجع شهادة المالك
  • مرجع شهادة الجهاز
  • شهادة مفتاح الجهاز

تحذيرات

  • يتم تحميل شهادات IoT Edge بتنسيق .pem.

لمزيد من المعلومات حول شهادات IoT Edge، راجع تفاصيل شهادة Azure IoT Edge وإنشاء شهادات إنتاج IoT Edge

شهادات Kubernetes

يمكن استخدام شهادات Kubernetes التالية مع جهاز Azure Stack Edge.

  • حافة حاوية شهادة التسجيل: في حال كان جهازك لديه سجل حاوية الحافة، ثم ستحتاج إلى شهادة "تسجيل حاوية الحافة" للاتصال الآمن مع العميل الذي يتم الوصول إلى التسجيل على الجهاز.
  • شهادة نقطة النهاية للوحة المعلومات: ستحتاج إلى شهادة نقطة نهاية لوحة معلومات للوصول إلى لوحة معلومات Kubernetes على جهازك.

تحذيرات

  • ينبغي أن شهادة تسجيل حاوية الحافة:

    • أن تكون الشهادة بتنسيق PEM.
    • تحتوي إما على اسم بديل الموضوع (SAN) أو CName (CN) من النوع: *.<endpoint suffix> أو ecr.<endpoint suffix>. على سبيل المثال: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

  • ينبغي أن تقوم شهادة لوحة المعلومات بما يلي:

    • أن تكون الشهادة بتنسيق PEM.
    • تحتوي إما على اسم بديل الموضوع (SAN) أو CName (CN) من النوع: *.<endpoint-suffix> أو kubernetes-dashboard.<endpoint-suffix>. على سبيل المثال: *.dbe-1d6phq2.microsoftdatabox.com أو kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

شهادات VPN

في حال تم تكوين VPN (من نقطة إلى موقع) على جهازك، يمكنك إحضار شهادة VPN الخاصة بك لضمان الثقة في الاتصال. يتم تثبيت الشهادة الجذر على بوابة Azure VPN ويتم تثبيت شهادات العميل على كل كمبيوتر عميل يتصل بشبكة ظاهرية باستخدام نقطة إلى موقع.

تحذيرات

  • ينبغي تحميل شهادة VPN بتنسيق .pfx باستخدام مفتاح خاص.
  • لا تعتمد شهادة VPN على اسم الجهاز أو الرقم التسلسلي للجهاز أو تكوين الجهاز. يتطلب فقط FQDN الخارجية.
  • تأكد من تعيين العميل OID.

لمزيد من المعلومات، راجع إنشاء شهادات من نقطة إلى موقع وتصديرها باستخدام PowerShell.

شهادات Wi-Fi

في حال تم تكوين جهازك للعمل على شبكة لاسلكية WPA2-Enterprise، فستحتاج أيضًا إلى شهادة Wi-Fi لأي اتصال يحدث عبر الشبكة اللاسلكية.

تحذيرات

  • ينبغي تحميل شهادة VPN بتنسيق .pfx باستخدام مفتاح خاص.
  • تأكد من تعيين العميل OID.

شهادات جلسة عمل الدعم

في حال كان جهازك يواجه أية مشكلات، ثم لاستكشاف هذه المشكلات، قد يتم فتح جلسة عمل دعم PowerShell بعيد على الجهاز. لتمكين اتصال آمن ومشفرة عبر جلسة عمل الدعم هذه، يمكنك تحميل شهادة.

تحذيرات

  • تأكد من .pfx تثبيت الشهادة المطابقة مع المفتاح الخاص على جهاز العميل باستخدام أداة فك التشفير.

  • تحقق من أن حقل استخدام المفتاح للشهادة ليس توقيع الشهادة. للتحقق من ذلك، انقر بزر الماوس الأيمن فوق الشهادة، واختر فتح وفي علامة التبويب تفاصيل، ابحث عن استخدام المفتاح.

  • ينبغي توفير شهادة جلسة عمل الدعم بتنسيق DER مع .cerملحق.

الخطوات التالية

مراجعة متطلبات الشهادة.