Menggunakan sertifikat dengan perangkat Azure Stack Edge Pro GPU

Artikel
06/01/2023

BERLAKU UNTUK: Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Yes for Mini R SKU Azure Stack Edge Mini R

Artikel ini menjelaskan prosedur untuk membuat sertifikat Anda sendiri menggunakan cmdlet Azure PowerShell. Artikel ini mencakup panduan yang harus Anda ikuti jika Anda berencana untuk membawa sertifikat Anda sendiri di perangkat Azure Stack Edge.

Sertifikat memastikan bahwa komunikasi antara perangkat Anda dan klien yang mengaksesnya tepercaya dan Anda mengirim informasi terenkripsi ke server yang tepat. Saat perangkat Azure Stack Edge Anda awalnya dikonfigurasi, sertifikat yang ditandatangani sendiri akan dibuat secara otomatis. Secara opsional, Anda dapat membawa sertifikat Anda sendiri.

Anda dapat menggunakan salah satu metode berikut untuk membuat sertifikat Anda sendiri untuk perangkat:

Gunakan cmdlet Azure PowerShell.
Gunakan alat Pemeriksa Kesiapan Azure Stack Hub untuk membuat permintaan penandatanganan sertifikat (CSR) yang akan membantu otoritas sertifikat menerbitkan sertifikat Anda.

Artikel ini hanya membahas cara membuat sertifikat Anda sendiri menggunakan cmdlet Azure PowerShell.

Prasyarat

Sebelum Anda membawa sertifikat Anda sendiri, pastikan bahwa:

Anda sudah terbiasa dengan Jenis sertifikat yang dapat digunakan dengan perangkat Azure Stack Edge Anda.
Anda telah meninjau Persyaratan sertifikat untuk setiap jenis sertifikat.

Buat sertifikat

Bagian berikut menjelaskan prosedur untuk membuat rantai penandatanganan dan sertifikat titik akhir.

Alur kerja sertifikat

Anda akan memiliki cara yang ditentukan untuk membuat sertifikat untuk perangkat yang beroperasi di lingkungan Anda. Anda bisa menggunakan sertifikat yang diberikan kepada Anda oleh administrator TI Anda.

Untuk tujuan pengembangan atau pengujian saja, Anda juga dapat menggunakan Windows PowerShell untuk membuat sertifikat pada sistem lokal Anda. Saat membuat sertifikat untuk klien, ikuti panduan berikut:

Anda bisa membuat salah satu jenis sertifikat berikut ini:
- Buat sertifikat tunggal yang valid untuk digunakan dengan nama domain tunggal yang sepenuhnya memenuhi syarat (FQDN). Misalnya, mydomain.com.
- Buat sertifikat kartubebas untuk mengamankan nama domain utama dan beberapa sub domain juga. Misalnya, *.mydomain.com.
- Buat sertifikat nama alternatif subjek (SAN) yang akan mencakup beberapa nama domain dalam satu sertifikat tunggal.
Jika Anda membawa sertifikat Anda sendiri, Anda akan memerlukan sertifikat akar untuk rantai penanda tangan. Lihat langkah-langkah untuk Membuat sertifikat rantai penandatanganan.
Selanjutnya Anda dapat membuat sertifikat titik akhir untuk UI lokal appliance, blob, dan Azure Resource Manager. Anda dapat membuat 3 sertifikat terpisah untuk appliance, blob, dan Azure Resource Manager, atau Anda dapat membuat satu sertifikat untuk semua 3 titik akhir. Untuk langkah-langkah mendetail, lihat Membuat sertifikat penandatanganan dan titik akhir.
Baik Anda membuat 3 sertifikat terpisah atau satu sertifikat, tentukan nama subjek (SN) dan nama alternatif subjek (SAN) sesuai panduan yang disediakan untuk setiap jenis sertifikat.

Membuat sertifikat rantai penandatanganan

Buat sertifikat ini melalui Windows PowerShell yang berjalan dalam mode administrator. Sertifikat yang dibuat dengan cara ini harus digunakan hanya untuk tujuan pengembangan atau pengujian.

Sertifikat rantai penandatanganan hanya perlu dibuat sekali. Sertifikat titik akhir lainnya akan merujuk ke sertifikat ini untuk penandatanganan.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Membuat sertifikat titik akhir yang ditandatangani

Buat sertifikat ini melalui Windows PowerShell yang berjalan dalam mode administrator.

Dalam contoh ini, sertifikat titik akhir dibuat untuk perangkat dengan: - Nama perangkat: DBE-HWDC1T2 - Domain DNS: microsoftdatabox.com

Ganti dengan nama dan domain DNS untuk perangkat Anda untuk membuat sertifikat untuk perangkat Anda.

Sertifikat titik akhir blob

Buat sertifikat untuk titik akhir Blob di penyimpanan pribadi Anda.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Sertifikat titik akhir Azure Resource Manager

Buat sertifikat untuk titik akhir Azure Resource Manager di penyimpanan pribadi Anda.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Sertifikat UI web lokal perangkat

Buat sertifikat untuk UI web lokal perangkat di penyimpanan pribadi Anda.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Sertifikat multi-SAN tunggal untuk semua titik akhir

Buat sertifikat tunggal untuk semua titik akhir di penyimpanan pribadi Anda.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Setelah sertifikat dibuat, langkah selanjutnya adalah mengunggah sertifikat di perangkat Azure Stack Edge Pro GPU Anda.

Langkah berikutnya

Mengunggah sertifikat di perangkat Anda.