Mengunggah, mengimpor, mengekspor, dan menghapus sertifikat di Azure Stack Edge Pro GPU

BERLAKU UNTUK: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Untuk memastikan komunikasi yang aman dan tepercaya antara perangkat Azure Stack Edge Anda dan klien yang tersambung ke sana, Anda dapat menggunakan sertifikat yang ditandatangani sendiri atau membawa sertifikat Anda sendiri. Artikel ini menjelaskan cara mengelola sertifikat ini, termasuk cara mengunggah, mengimpor, dan mengekspor sertifikat ini. Anda juga dapat melihat tanggal kedaluwarsa sertifikat dan menghapus sertifikat penandatanganan lama Anda.

Untuk mengetahui selengkapnya tentang cara membuat sertifikat ini, lihat Membuat sertifikat menggunakan Azure PowerShell.

Mengunggah sertifikat ke perangkat Anda

Jika Anda membawa sertifikat Anda sendiri, maka sertifikat yang Anda buat untuk perangkat Anda secara default berada di penyimpanan Pribadi pada klien Anda. Sertifikat ini harus diekspor ke klien Anda ke dalam file format yang sesuai yang kemudian dapat diunggah ke perangkat Anda.

Prasyarat

Sebelum Anda mengunggah sertifikat akar dan sertifikat titik akhir ke perangkat, pastikan sertifikat diekspor dalam format yang sesuai.

• Sertifikat akar harus diekspor sebagai format DER dengan ekstensi .cer. Untuk langkah-langkah mendetail, lihat Mengekspor sertifikat sebagai format DER.
• Sertifikat titik akhir harus diekspor sebagai file .pfx dengan kunci pribadi. Untuk langkah-langkah mendetail, lihat Mengekspor sertifikat sebagai file .pfx dengan kunci privat.

Mengunggah sertifikat

Untuk mengunggah sertifikat akar dan titik akhir ke perangkat, gunakan opsi + Tambahkan sertifikat pada halaman Sertifikat di antarmuka pengguna web lokal. Ikuti langkah-langkah ini:

1. Unggah sertifikat akar terlebih dahulu. Di UI web lokal, buka Sertifikat.

2. Pilih + Tambahkan sertifikat.

   

3. Simpan sertifikat.

Unggah sertifikat titik akhir

1. Berikutnya unggah sertifikat titik akhir.

   

   Pilih file sertifikat dalam format .pfx dan masukkan kata sandi yang Anda disediakan saat mengekspor sertifikat. Sertifikat Azure Resource Manager mungkin perlu waktu beberapa menit untuk diterapkan.

   Jika rantai penandatanganan tidak diperbarui terlebih dahulu, dan Anda mencoba untuk mengunggah sertifikat titik akhir, maka Anda akan mendapatkan kesalahan.

   

   Kembali dan unggah sertifikat rantai penandatanganan lalu unggah dan terapkan sertifikat titik akhir.

Penting

Jika nama perangkat atau domain DNS diubah, sertifikat baru harus dibuat. Sertifikat klien dan sertifikat perangkat kemudian harus diperbarui dengan nama perangkat dan domain DNS baru.

Unggah sertifikat Kubernetes

Sertifikat Kubernetes dapat untuk Edge Container Registry atau untuk dasbor Kubernetes. Dalam setiap kasus, sertifikat dan file kunci harus diunggah. Ikuti langkah-langkah berikut untuk membuat dan mengunggah sertifikat Kubernetes:

1. Anda akan menggunakan openssl untuk membuat sertifikat dasbor Kubernetes atau Edge Container Registry. Pastikan untuk memasang openssl pada sistem yang akan Anda gunakan untuk membuat sertifikat. Pada sistem Windows, Anda dapat menggunakan Chocolatey untuk memasang openssl. Setelah Anda memasang Chocolatey, buka PowerShell dan ketik:

   choco install openssl
   

2. Gunakan openssl untuk membuat sertifikat ini. File sertifikat cert.pem dan file kunci key.pem dibuat.

   • Untuk Edge Container Registry, gunakan perintah berikut:

     openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
     

     Berikut adalah contoh output:

     PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
     Generating a RSA private key
     .....................++++....++++
     writing new private key to 'key.pem'
     -----
     PS C:\WINDOWS\system32>
     

   • Untuk sertifikat dasbor Kubernetes, gunakan perintah berikut:

     openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
     

     Berikut adalah contoh output:

     PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
     Generating a RSA private key
     .....................++++....++++
     writing new private key to 'key.pem'
     -----
     PS C:\WINDOWS\system32>
     

3. Upload sertifikat Kubernetes dan file kunci yang sesuai yang Anda hasilkan sebelumnya.

   • Untuk Edge Container Registry

     

   • Untuk dasbor Kubernetes

     

Mengimpor sertifikat pada klien yang mengakses perangkat

Anda dapat menggunakan sertifikat yang dibuat perangkat atau membawa sertifikat Anda sendiri. Saat menggunakan sertifikat yang dibuat perangkat, Anda harus mengunduh sertifikat pada klien Anda sebelum dapat mengimpornya ke penyimpanan sertifikat yang sesuai. Lihat Mengunduh sertifikat ke klien Anda yang mengakses perangkat.

Di kedua kasus, sertifikat yang Anda buat dan unggah ke perangkat Anda harus diimpor ke klien Windows Anda (yang mengakses perangkat) ke dalam penyimpanan sertifikat yang sesuai.

• Sertifikat akar yang Anda ekspor sebagai DER sekarang harus diimpor di Otoritas Sertifikat Akar Tepercaya pada sistem klien Anda. Untuk detail langkah, lihat Mengimpor sertifikat ke penyimpanan Otoritas Sertifikat Akar Tepercaya.

• Sertifikat titik akhir yang Anda ekspor sebagai .pfx harus diekspor sebagai DER dengan ekstensi .cer. Ini .cer kemudian diimpor di penyimpanan sertifikat Pribadi pada sistem Anda. Untuk langkah-langkah mendetail, lihat Mengimpor sertifikat ke penyimpanan sertifikat Pribadi.

Mengimpor sertifikat sebagai format DER

Untuk mengimpor sertifikat pada klien Windows, ambil langkah-langkah berikut:

1. Klik kanan file dan pilih Instal sertifikat. Tindakan ini akan memulai Wizard Impor Sertifikat.

   

2. Untuk Lokasi penyimpanan, pilih Komputer Lokal, lalu pilih Berikutnya.

   

3. Pilih Tempatkan semua sertifikat pada penyimpanan berikut, lalu klik Telusuri.

   • Untuk mengimpor ke penyimpanan pribadi, navigasikan ke penyimpanan Pribadi host jarak jauh Anda, lalu pilih Berikutnya.

     

   • Untuk mengimpor ke penyimpanan tepercaya, navigasi ke Otoritas Sertifikat Akar Tepercaya, lalu pilih Berikutnya.

     

4. Pilih Selesai. Akan muncul pesan yang memberi tahu Anda bahwa impor berhasil.

Lihat masa kedaluwarsa sertifikat

Jika Anda membawa sertifikat Anda sendiri, sertifikat biasanya akan kedaluwarsa dalam 1 tahun atau 6 bulan. Untuk melihat tanggal kedaluwarsa pada sertifikat Anda, buka halaman Sertifikat di UI web lokal perangkat Anda. Jika Anda memilih sertifikat tertentu, Anda bisa melihat tanggal kedaluwarsa pada sertifikat Anda.

Menghapus sertifikat rantai penandatanganan

Anda dapat menghapus sertifikat rantai penandatanganan lama yang kedaluwarsa dari perangkat Anda. Ketika Anda melakukannya, sertifikat dependen apa pun dalam rantai penandatanganan tidak akan valid lagi. Hanya sertifikat rantai penandatanganan yang dapat dihapus.

Untuk menghapus sertifikat rantai penandatanganan dari perangkat Azure Stack Edge Anda, lakukan langkah-langkah berikut:

1. Di antarmuka pengguna web lokal perangkat Anda, buka Sertifikat KONFIGURASI>.

2. Pilih sertifikat rantai penandatanganan yang ingin Anda hapus. Kemudian pilih Hapus.

   

3. Pada panel Hapus sertifikat , verifikasi thumbprint sertifikat, lalu pilih Hapus. Penghapusan sertifikat tidak dapat dibalik.

   

   Setelah penghapusan sertifikat selesai, semua sertifikat dependen dalam rantai penandatanganan tidak lagi valid.

4. Untuk melihat pembaruan status, refresh tampilan. Sertifikat rantai penandatanganan tidak akan lagi ditampilkan, dan sertifikat dependen akan memiliki status Tidak valid .

Langkah berikutnya

Pelajari cara Memecahkan masalah sertifikat