Mik azok a tanúsítványok az Azure Stack Edge Pro GPU-n?

A következőkre vonatkozik: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Ez a cikk az Azure Stack Edge Pro GPU-eszközön telepíthető tanúsítványok típusait ismerteti. A cikk az egyes tanúsítványtípusok részleteit is tartalmazza.

Információ a tanúsítványokról

A tanúsítvány kapcsolatot biztosít egy nyilvános kulcs és egy olyan entitás (például tartománynév) között, amelyet egy megbízható harmadik fél (például egy hitelesítésszolgáltató) írt alá (ellenőrzött). A tanúsítványok kényelmes módot biztosítanak a megbízható nyilvános titkosítási kulcsok terjesztésére. A tanúsítványok így biztosítják, hogy a kommunikáció megbízható legyen, és titkosított adatokat küldjön a megfelelő kiszolgálónak.

Tanúsítványok üzembe helyezése az eszközön

Az Azure Stack Edge-eszközön használhatja az önaláírt tanúsítványokat, vagy saját tanúsítványokat hozhat.

• Eszköz által létrehozott tanúsítványok: Az eszköz kezdeti konfigurálásakor a rendszer automatikusan létrehozza az önaláírt tanúsítványokat. Szükség esetén ezeket a tanúsítványokat a helyi webes felhasználói felületen újra létrehozhatja. A tanúsítványok újragenerálását követően töltse le és importálja a tanúsítványokat az eszköz eléréséhez használt ügyfeleken.

• Saját tanúsítványokat hozhat: Igény szerint saját tanúsítványokat is használhat. Vannak irányelvek, amelyeket követnie kell, ha saját tanúsítványokat szeretne használni.

  • Első lépésként ismerje meg az Azure Stack Edge-eszközével használható tanúsítványok típusait ebben a cikkben.
  • Ezután tekintse át az egyes tanúsítványtípusok tanúsítványkövetelményét.
  • Ezután létrehozhatja a tanúsítványokat az Azure PowerShell-lel , vagy létrehozhatja a tanúsítványokat a Készültség-ellenőrző eszközzel.
  • Végül alakítsa át a tanúsítványokat megfelelő formátumra, hogy készen álljon az eszközre való feltöltésre.
  • Töltse fel a tanúsítványokat az eszközön.
  • Importálja a tanúsítványokat az eszközhöz hozzáférő ügyfeleken .

A tanúsítványok típusai

Az eszközhöz a következő típusú tanúsítványokat hozhatja el:

• Aláíró tanúsítványok

  • Gyökér CA
  • Haladó

• Csomóponttanúsítványok

• Végponttanúsítványok

  • Azure Resource Manager-tanúsítványok
  • Blob Storage-tanúsítványok

• Helyi felhasználói felületi tanúsítványok

• IoT-eszköztanúsítványok

• Kubernetes-tanúsítványok

  • Edge Container Registry-tanúsítvány
  • Kubernetes-irányítópult tanúsítványa

• Wi-Fi-tanúsítványok

• VPN-tanúsítványok

• Titkosítási tanúsítványok

  • Munkamenet-tanúsítványok támogatása

Az egyes tanúsítványtípusokat részletesen a következő szakaszok ismertetik.

Aláírási lánctanúsítványok

Ezek azok a tanúsítványok, amelyek a tanúsítványokat aláíró vagy aláíró hitelesítésszolgáltatóhoz tartoznak.

Típusok

Ezek a tanúsítványok lehetnek főtanúsítványok vagy köztes tanúsítványok. A főtanúsítványok mindig önaláírtak (vagy saját aláírással vannak aláírva). A köztes tanúsítványok nem önaláírtak, és az aláíró hatóság alá van írva.

Figyelmeztetések

• A főtanúsítványoknak aláírási lánctanúsítványoknak kell lenniük.
• A főtanúsítványok az alábbi formátumban tölthetők fel az eszközre:
  • DER – Ezek fájlkiterjesztésként .cer érhetők el.
  • Base-64 kódolású – Ezek fájlkiterjesztésként .cer érhetők el.
  • P7b – Ez a formátum csak a fő- és köztes tanúsítványokat tartalmazó aláírási lánctanúsítványokhoz használható.
• Az aláírási lánc tanúsítványait a rendszer mindig feltölti, mielőtt bármilyen más tanúsítványt feltölt.

Csomóponttanúsítványok

Az eszköz összes csomópontja folyamatosan kommunikál egymással, ezért megbízhatósági kapcsolatot kell létesítenie. A csomóponttanúsítványok lehetővé teszik a megbízhatóság megállapítását. A csomóponttanúsítványok akkor is használatba kerülnek, ha egy távoli PowerShell-munkamenet használatával csatlakozik az eszközcsomóponthoz https-en keresztül.

Figyelmeztetések

• A csomóponttanúsítványt egy exportálható titkos kulccsal kell megadni .pfx .

• Létrehozhat és feltölthet 1 helyettesítő karakteres csomóponttanúsítványt vagy 4 különálló csomóponttanúsítványt.

• A csomóponttanúsítványt módosítani kell, ha a DNS-tartomány megváltozik, de az eszköz neve nem változik. Ha saját csomóponttanúsítványt hoz, akkor nem módosíthatja az eszköz sorozatszámát, csak a tartománynevet módosíthatja.

• A csomóponttanúsítvány létrehozásakor az alábbi táblázat útmutatást nyújt.

  Típus	Tulajdonos neve (SN)	Tulajdonos alternatív neve (SAN)	Példa tulajdonosnévre
  Csomópont	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Végponttanúsítványok

Minden olyan végponthoz, amelyet az eszköz elérhetővé tesz, tanúsítványra van szükség a megbízható kommunikációhoz. A végponttanúsítványok tartalmazzák az Azure Resource Manager és a blobtároló REST API-kon keresztüli elérésekor szükséges tanúsítványokat.

Ha saját aláírt tanúsítványt hoz létre, szüksége lesz a tanúsítvány megfelelő aláíró láncára is. Az aláírási lánchoz, az Azure Resource Managerhez és az eszközön található blobtanúsítványokhoz az ügyfélszámítógép megfelelő tanúsítványaira is szüksége lesz az eszköz hitelesítéséhez és kommunikálásához.

Figyelmeztetések

• A végponttanúsítványoknak privát kulccsal kell formázni .pfx . Az aláírási láncnak DER formátumúnak (.cer fájlkiterjesztésnek) kell lennie.

• Ha saját végponttanúsítványokat hoz, ezek lehetnek önálló tanúsítványok vagy többtartományos tanúsítványok.

• Ha bejelentkezési láncot hoz létre, az aláírólánc-tanúsítványt fel kell töltenie a végponttanúsítvány feltöltése előtt.

• Ezeket a tanúsítványokat módosítani kell, ha az eszköz neve vagy a DNS-tartománynevek megváltoznak.

• Helyettesítő végponttanúsítvány használható.

• A végponttanúsítványok tulajdonságai hasonlóak egy tipikus SSL-tanúsítvány tulajdonságaihoz.

• Végponttanúsítvány létrehozásakor használja az alábbi táblázatot:

  Típus	Tulajdonos neve (SN)	Tulajdonos alternatív neve (SAN)	Példa tulajdonosnévre
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blob Storage	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Több-SAN egyetlen tanúsítvány mindkét végponthoz	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Helyi felhasználói felületi tanúsítványok

Az eszköz helyi webes felhasználói felületét böngészőben érheti el. A kommunikáció biztonságossá tételéhez feltöltheti saját tanúsítványát.

Figyelmeztetések

• A rendszer a helyi felhasználói felület tanúsítványát .pfx is feltölti egy exportálható titkos kulccsal rendelkező formátumban.

• A helyi felhasználói felületi tanúsítvány feltöltése után újra kell indítania a böngészőt, és törölnie kell a gyorsítótárat. Tekintse meg a böngészőre vonatkozó utasításokat.

  Típus	Tulajdonos neve (SN)	Tulajdonos alternatív neve (SAN)	Példa tulajdonosnévre
  Helyi felhasználói felület	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

IoT Edge-eszköztanúsítványok

Az eszköz egy IoT-eszköz is, amelyhez egy IoT Edge-eszköz csatlakozik, és a számítás engedélyezve van. Az IoT Edge-eszköz és az ahhoz csatlakozó alsóbb rétegbeli eszközök közötti biztonságos kommunikációhoz IoT Edge-tanúsítványokat is feltölthet.

Az eszköz önaláírt tanúsítványokkal rendelkezik, amelyek akkor használhatók, ha csak a számítási forgatókönyvet szeretné használni az eszközzel. Ha azonban az eszköz csatlakoztatva van az alsóbb rétegbeli eszközökhöz, akkor saját tanúsítványokat kell hoznia.

A megbízhatósági kapcsolat engedélyezéséhez három IoT Edge-tanúsítványt kell telepítenie:

• Főtanúsítvány- vagy tulajdonostanúsítvány-szolgáltató
• Eszköztanúsítvány-szolgáltató
• Eszközkulcs-tanúsítvány

Figyelmeztetések

• Az IoT Edge-tanúsítványok formátumba .pem vannak feltöltve.

Az IoT Edge-tanúsítványokról további információt az Azure IoT Edge-tanúsítványok részleteiben és az IoT Edge éles tanúsítványainak létrehozása című témakörben talál.

Kubernetes-tanúsítványok

Az Alábbi Kubernetes-tanúsítványokat használhatja az Azure Stack Edge-eszközével.

• Edge-tárolóregisztrációs tanúsítvány: Ha az eszköz rendelkezik Edge-tárolóregisztrációs adatbázissal, akkor egy Edge Container Registry-tanúsítványra lesz szüksége az eszközön a beállításjegyzékhez hozzáférő ügyféllel való biztonságos kommunikációhoz.
• Irányítópult-végpont tanúsítványa: Az eszköz Kubernetes-irányítópultjának eléréséhez irányítópult-végponttanúsítványra lesz szüksége.

Figyelmeztetések

• Az Edge Container Registry-tanúsítványnak a következőnek kell lennie:

  • Legyen PEM formátumú tanúsítvány.
  • A következő típusú tulajdonos alternatív nevét (SAN) vagy CName -t (CN) tartalmazza: *.<endpoint suffix> vagy ecr.<endpoint suffix>. Például: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Az irányítópult-tanúsítványnak a következőnek kell lennie:

  • Legyen PEM formátumú tanúsítvány.
  • A következő típusú tulajdonos alternatív nevét (SAN) vagy CName -t (CN) tartalmazza: *.<endpoint-suffix> vagy kubernetes-dashboard.<endpoint-suffix>. Például: *.dbe-1d6phq2.microsoftdatabox.com vagy kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

VPN-tanúsítványok

Ha a VPN (pont–hely) konfigurálva van az eszközön, saját VPN-tanúsítványt is használhat a kommunikáció megbízhatóságának biztosítása érdekében. A főtanúsítvány telepítve van az Azure VPN Gatewayen, és az ügyféltanúsítványok minden olyan ügyfélszámítógépre telepítve vannak, amely pont–hely használatával csatlakozik egy virtuális hálózathoz.

Figyelmeztetések

• A VPN-tanúsítványt .pfx formátumban kell feltölteni titkos kulccsal.
• A VPN-tanúsítvány nem függ az eszköz nevétől, sorozatszámától vagy eszközkonfigurációtól. Csak a külső teljes tartománynevet igényli.
• Győződjön meg arról, hogy az ügyfél OID-azonosítója be van állítva.

További információ: Tanúsítványok létrehozása és exportálása pont–hely rendszerhez a PowerShell használatával.

Wi-Fi-tanúsítványok

Ha az eszköz úgy van konfigurálva, hogy WPA2-Enterprise vezeték nélküli hálózaton működjön, akkor a vezeték nélküli hálózaton keresztüli kommunikációhoz Wi-Fi-tanúsítványra is szüksége lesz.

Figyelmeztetések

• A Wi-Fi-tanúsítványt .pfx formátumban kell feltölteni titkos kulccsal.
• Győződjön meg arról, hogy az ügyfél OID-azonosítója be van állítva.

Munkamenet-tanúsítványok támogatása

Ha az eszköz bármilyen problémát tapasztal, akkor a problémák elhárításához távoli PowerShell-támogatási munkamenetet nyithat meg az eszközön. Ha biztonságos, titkosított kommunikációt szeretne engedélyezni ezen a támogatási munkameneten keresztül, feltölthet egy tanúsítványt.

Figyelmeztetések

• Győződjön meg arról, hogy a megfelelő .pfx titkos kulccsal rendelkező tanúsítvány telepítve van az ügyfélszámítógépen a visszafejtési eszközzel.

• Győződjön meg arról, hogy a tanúsítvány Kulcshasználat mezője nem tanúsítványaláírás. Ennek ellenőrzéséhez kattintson a jobb gombbal a tanúsítványra, válassza a Megnyitás lehetőséget, majd a Részletek lapon keresse meg a kulcshasználatot.

• A támogatási munkamenet tanúsítványát DER formátumban kell megadni egy .cer kiterjesztéssel.

Következő lépések

Tekintse át a tanúsítványra vonatkozó követelményeket.