Mik azok a tanúsítványok az Azure Stack Edge Pro GPU-n?
A következőkre vonatkozik: Azure Stack Edge Pro – GPU
Azure Stack Edge Pro 2
Azure Stack Edge Pro R
Azure Stack Edge Mini R
Ez a cikk az Azure Stack Edge Pro GPU-eszközön telepíthető tanúsítványok típusait ismerteti. A cikk az egyes tanúsítványtípusok részleteit is tartalmazza.
Információ a tanúsítványokról
A tanúsítvány kapcsolatot biztosít egy nyilvános kulcs és egy olyan entitás (például tartománynév) között, amelyet egy megbízható harmadik fél (például egy hitelesítésszolgáltató) írt alá (ellenőrzött). A tanúsítványok kényelmes módot biztosítanak a megbízható nyilvános titkosítási kulcsok terjesztésére. A tanúsítványok így biztosítják, hogy a kommunikáció megbízható legyen, és titkosított adatokat küldjön a megfelelő kiszolgálónak.
Tanúsítványok üzembe helyezése az eszközön
Az Azure Stack Edge-eszközön használhatja az önaláírt tanúsítványokat, vagy saját tanúsítványokat hozhat.
Eszköz által létrehozott tanúsítványok: Az eszköz kezdeti konfigurálásakor a rendszer automatikusan létrehozza az önaláírt tanúsítványokat. Szükség esetén ezeket a tanúsítványokat a helyi webes felhasználói felületen újra létrehozhatja. A tanúsítványok újragenerálását követően töltse le és importálja a tanúsítványokat az eszköz eléréséhez használt ügyfeleken.
Saját tanúsítványokat hozhat: Igény szerint saját tanúsítványokat is használhat. Vannak irányelvek, amelyeket követnie kell, ha saját tanúsítványokat szeretne használni.
- Első lépésként ismerje meg az Azure Stack Edge-eszközével használható tanúsítványok típusait ebben a cikkben.
- Ezután tekintse át az egyes tanúsítványtípusok tanúsítványkövetelményét.
- Ezután létrehozhatja a tanúsítványokat az Azure PowerShell-lel , vagy létrehozhatja a tanúsítványokat a Készültség-ellenőrző eszközzel.
- Végül alakítsa át a tanúsítványokat megfelelő formátumra, hogy készen álljon az eszközre való feltöltésre.
- Töltse fel a tanúsítványokat az eszközön.
- Importálja a tanúsítványokat az eszközhöz hozzáférő ügyfeleken .
A tanúsítványok típusai
Az eszközhöz a következő típusú tanúsítványokat hozhatja el:
Aláíró tanúsítványok
- Gyökér CA
- Haladó
Csomóponttanúsítványok
Végponttanúsítványok
- Azure Resource Manager-tanúsítványok
- Blob Storage-tanúsítványok
Helyi felhasználói felületi tanúsítványok
IoT-eszköztanúsítványok
Kubernetes-tanúsítványok
- Edge Container Registry-tanúsítvány
- Kubernetes-irányítópult tanúsítványa
Wi-Fi-tanúsítványok
VPN-tanúsítványok
Titkosítási tanúsítványok
- Munkamenet-tanúsítványok támogatása
Az egyes tanúsítványtípusokat részletesen a következő szakaszok ismertetik.
Aláírási lánctanúsítványok
Ezek azok a tanúsítványok, amelyek a tanúsítványokat aláíró vagy aláíró hitelesítésszolgáltatóhoz tartoznak.
Típusok
Ezek a tanúsítványok lehetnek főtanúsítványok vagy köztes tanúsítványok. A főtanúsítványok mindig önaláírtak (vagy saját aláírással vannak aláírva). A köztes tanúsítványok nem önaláírtak, és az aláíró hatóság alá van írva.
Figyelmeztetések
- A főtanúsítványoknak aláírási lánctanúsítványoknak kell lenniük.
- A főtanúsítványok az alábbi formátumban tölthetők fel az eszközre:
- DER – Ezek fájlkiterjesztésként
.cer
érhetők el. - Base-64 kódolású – Ezek fájlkiterjesztésként
.cer
érhetők el. - P7b – Ez a formátum csak a fő- és köztes tanúsítványokat tartalmazó aláírási lánctanúsítványokhoz használható.
- DER – Ezek fájlkiterjesztésként
- Az aláírási lánc tanúsítványait a rendszer mindig feltölti, mielőtt bármilyen más tanúsítványt feltölt.
Csomóponttanúsítványok
Az eszköz összes csomópontja folyamatosan kommunikál egymással, ezért megbízhatósági kapcsolatot kell létesítenie. A csomóponttanúsítványok lehetővé teszik a megbízhatóság megállapítását. A csomóponttanúsítványok akkor is használatba kerülnek, ha egy távoli PowerShell-munkamenet használatával csatlakozik az eszközcsomóponthoz https-en keresztül.Figyelmeztetések
A csomóponttanúsítványt egy exportálható titkos kulccsal kell megadni
.pfx
.Létrehozhat és feltölthet 1 helyettesítő karakteres csomóponttanúsítványt vagy 4 különálló csomóponttanúsítványt.
A csomóponttanúsítványt módosítani kell, ha a DNS-tartomány megváltozik, de az eszköz neve nem változik. Ha saját csomóponttanúsítványt hoz, akkor nem módosíthatja az eszköz sorozatszámát, csak a tartománynevet módosíthatja.
A csomóponttanúsítvány létrehozásakor az alábbi táblázat útmutatást nyújt.
Típus Tulajdonos neve (SN) Tulajdonos alternatív neve (SAN) Példa tulajdonosnévre Csomópont <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
Végponttanúsítványok
Minden olyan végponthoz, amelyet az eszköz elérhetővé tesz, tanúsítványra van szükség a megbízható kommunikációhoz. A végponttanúsítványok tartalmazzák az Azure Resource Manager és a blobtároló REST API-kon keresztüli elérésekor szükséges tanúsítványokat.
Ha saját aláírt tanúsítványt hoz létre, szüksége lesz a tanúsítvány megfelelő aláíró láncára is. Az aláírási lánchoz, az Azure Resource Managerhez és az eszközön található blobtanúsítványokhoz az ügyfélszámítógép megfelelő tanúsítványaira is szüksége lesz az eszköz hitelesítéséhez és kommunikálásához.
Figyelmeztetések
A végponttanúsítványoknak privát kulccsal kell formázni
.pfx
. Az aláírási láncnak DER formátumúnak (.cer
fájlkiterjesztésnek) kell lennie.Ha saját végponttanúsítványokat hoz, ezek lehetnek önálló tanúsítványok vagy többtartományos tanúsítványok.
Ha bejelentkezési láncot hoz létre, az aláírólánc-tanúsítványt fel kell töltenie a végponttanúsítvány feltöltése előtt.
Ezeket a tanúsítványokat módosítani kell, ha az eszköz neve vagy a DNS-tartománynevek megváltoznak.
Helyettesítő végponttanúsítvány használható.
A végponttanúsítványok tulajdonságai hasonlóak egy tipikus SSL-tanúsítvány tulajdonságaihoz.
Végponttanúsítvány létrehozásakor használja az alábbi táblázatot:
Típus Tulajdonos neve (SN) Tulajdonos alternatív neve (SAN) Példa tulajdonosnévre Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Blob Storage *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Több-SAN egyetlen tanúsítvány mindkét végponthoz <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Helyi felhasználói felületi tanúsítványok
Az eszköz helyi webes felhasználói felületét böngészőben érheti el. A kommunikáció biztonságossá tételéhez feltöltheti saját tanúsítványát.
Figyelmeztetések
A rendszer a helyi felhasználói felület tanúsítványát
.pfx
is feltölti egy exportálható titkos kulccsal rendelkező formátumban.A helyi felhasználói felületi tanúsítvány feltöltése után újra kell indítania a böngészőt, és törölnie kell a gyorsítótárat. Tekintse meg a böngészőre vonatkozó utasításokat.
Típus Tulajdonos neve (SN) Tulajdonos alternatív neve (SAN) Példa tulajdonosnévre Helyi felhasználói felület <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
IoT Edge-eszköztanúsítványok
Az eszköz egy IoT-eszköz is, amelyhez egy IoT Edge-eszköz csatlakozik, és a számítás engedélyezve van. Az IoT Edge-eszköz és az ahhoz csatlakozó alsóbb rétegbeli eszközök közötti biztonságos kommunikációhoz IoT Edge-tanúsítványokat is feltölthet.
Az eszköz önaláírt tanúsítványokkal rendelkezik, amelyek akkor használhatók, ha csak a számítási forgatókönyvet szeretné használni az eszközzel. Ha azonban az eszköz csatlakoztatva van az alsóbb rétegbeli eszközökhöz, akkor saját tanúsítványokat kell hoznia.
A megbízhatósági kapcsolat engedélyezéséhez három IoT Edge-tanúsítványt kell telepítenie:
- Főtanúsítvány- vagy tulajdonostanúsítvány-szolgáltató
- Eszköztanúsítvány-szolgáltató
- Eszközkulcs-tanúsítvány
Figyelmeztetések
- Az IoT Edge-tanúsítványok formátumba
.pem
vannak feltöltve.
Az IoT Edge-tanúsítványokról további információt az Azure IoT Edge-tanúsítványok részleteiben és az IoT Edge éles tanúsítványainak létrehozása című témakörben talál.
Kubernetes-tanúsítványok
Az Alábbi Kubernetes-tanúsítványokat használhatja az Azure Stack Edge-eszközével.
- Edge-tárolóregisztrációs tanúsítvány: Ha az eszköz rendelkezik Edge-tárolóregisztrációs adatbázissal, akkor egy Edge Container Registry-tanúsítványra lesz szüksége az eszközön a beállításjegyzékhez hozzáférő ügyféllel való biztonságos kommunikációhoz.
- Irányítópult-végpont tanúsítványa: Az eszköz Kubernetes-irányítópultjának eléréséhez irányítópult-végponttanúsítványra lesz szüksége.
Figyelmeztetések
Az Edge Container Registry-tanúsítványnak a következőnek kell lennie:
- Legyen PEM formátumú tanúsítvány.
- A következő típusú tulajdonos alternatív nevét (SAN) vagy CName -t (CN) tartalmazza:
*.<endpoint suffix>
vagyecr.<endpoint suffix>
. Például:*.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com
Az irányítópult-tanúsítványnak a következőnek kell lennie:
- Legyen PEM formátumú tanúsítvány.
- A következő típusú tulajdonos alternatív nevét (SAN) vagy CName -t (CN) tartalmazza:
*.<endpoint-suffix>
vagykubernetes-dashboard.<endpoint-suffix>
. Például:*.dbe-1d6phq2.microsoftdatabox.com
vagykubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com
.
VPN-tanúsítványok
Ha a VPN (pont–hely) konfigurálva van az eszközön, saját VPN-tanúsítványt is használhat a kommunikáció megbízhatóságának biztosítása érdekében. A főtanúsítvány telepítve van az Azure VPN Gatewayen, és az ügyféltanúsítványok minden olyan ügyfélszámítógépre telepítve vannak, amely pont–hely használatával csatlakozik egy virtuális hálózathoz.
Figyelmeztetések
- A VPN-tanúsítványt .pfx formátumban kell feltölteni titkos kulccsal.
- A VPN-tanúsítvány nem függ az eszköz nevétől, sorozatszámától vagy eszközkonfigurációtól. Csak a külső teljes tartománynevet igényli.
- Győződjön meg arról, hogy az ügyfél OID-azonosítója be van állítva.
További információ: Tanúsítványok létrehozása és exportálása pont–hely rendszerhez a PowerShell használatával.
Wi-Fi-tanúsítványok
Ha az eszköz úgy van konfigurálva, hogy WPA2-Enterprise vezeték nélküli hálózaton működjön, akkor a vezeték nélküli hálózaton keresztüli kommunikációhoz Wi-Fi-tanúsítványra is szüksége lesz.
Figyelmeztetések
- A Wi-Fi-tanúsítványt .pfx formátumban kell feltölteni titkos kulccsal.
- Győződjön meg arról, hogy az ügyfél OID-azonosítója be van állítva.
Munkamenet-tanúsítványok támogatása
Ha az eszköz bármilyen problémát tapasztal, akkor a problémák elhárításához távoli PowerShell-támogatási munkamenetet nyithat meg az eszközön. Ha biztonságos, titkosított kommunikációt szeretne engedélyezni ezen a támogatási munkameneten keresztül, feltölthet egy tanúsítványt.
Figyelmeztetések
Győződjön meg arról, hogy a megfelelő
.pfx
titkos kulccsal rendelkező tanúsítvány telepítve van az ügyfélszámítógépen a visszafejtési eszközzel.Győződjön meg arról, hogy a tanúsítvány Kulcshasználat mezője nem tanúsítványaláírás. Ennek ellenőrzéséhez kattintson a jobb gombbal a tanúsítványra, válassza a Megnyitás lehetőséget, majd a Részletek lapon keresse meg a kulcshasználatot.
A támogatási munkamenet tanúsítványát DER formátumban kell megadni egy
.cer
kiterjesztéssel.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: