Usare i certificati con il dispositivo AZURE Stack Edge Pro GPU
SI APPLICA A:
Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Questo articolo descrive la procedura per creare certificati personalizzati usando i cmdlet di Azure PowerShell. L'articolo include le linee guida da seguire se si prevede di usare certificati personalizzati nel dispositivo Azure Stack Edge.
I certificati assicurano che la comunicazione tra il dispositivo e i client che vi acceda siano attendibili e che vengano inviate informazioni crittografate al server corretto. Quando il dispositivo Azure Stack Edge è inizialmente configurato, i certificati autofirmati vengono generati automaticamente. Facoltativamente, è possibile usare certificati personalizzati.
Per creare certificati personalizzati per il dispositivo, è possibile usare uno dei metodi seguenti:
- Usare i cmdlet di Azure PowerShell.
- Usare lo strumento Controllo conformità dell'hub di Azure Stack per creare richieste di firma del certificato (CSR) che consentano all'autorità di certificazione di rilasciare i certificati.
Questo articolo illustra solo come creare certificati personalizzati usando i cmdlet di Azure PowerShell.
Prerequisiti
Prima di portare i propri certificati, assicurarsi che:
- Si ha familiarità con i tipi dei certificati che possono essere usati con il dispositivo Azure Stack Edge.
- Sono stati esaminati i requisiti del certificato per ogni tipo di certificato.
Creare i certificati
Nella sezione seguente viene descritta la procedura per creare certificati endpoint e catena di firma.
Flusso di lavoro del certificato
Sarà possibile creare i certificati per i dispositivi che operano nell'ambiente in uso. È possibile usare i certificati forniti dall'amministratore IT.
Solo a scopo di sviluppo o test, è possibile usare Windows PowerShell per creare certificati nel sistema locale. Durante la creazione dei certificati per il client, seguire queste linee guida:
È possibile creare uno dei tipi di certificati seguenti:
- Creare un singolo certificato valido per l'uso con un singolo nome di dominio completo (FQDN). Ad esempio, mydomain.com.
- Creare un certificato con caratteri jolly per proteggere anche il nome di dominio principale e più sottodomini. Ad esempio, *.mydomain.com.
- Creare un certificato del nome alternativo del soggetto (SAN) che coprirà più nomi di dominio in un singolo certificato.
Se si sta portando il proprio certificato, sarà necessario un certificato radice per la catena di firma. Vedere la procedura per creare certificati della catena di firma.
È quindi possibile creare i certificati endpoint per l'interfaccia utente locale dell'appliance, del BLOB e di Azure Resource Manager. È possibile creare 3 certificati separati per l'appliance, il BLOB e Azure Resource Manager oppure creare un certificato per tutti i 3 endpoint. Per i passaggi dettagliati, vedere Creare certificati di firma ed endpoint.
Indipendentemente dal fatto che si creino 3 certificati separati o un certificato, specificare i nomi dei soggetti (SN) e i nomi alternativi del soggetto in base alle indicazioni fornite per ogni tipo di certificato.
Creare un certificato della catena di firma
Creare questi certificati tramite Windows PowerShell in esecuzione in modalità amministratore. I certificati creati in questo modo devono essere usati solo a scopo di sviluppo o test.
Il certificato della catena di firma deve essere creato una sola volta. Gli altri certificati del punto finale fanno riferimento a questo certificato per la firma.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
Creare certificati endpoint firmati
Creare questi certificati tramite Windows PowerShell in esecuzione in modalità amministratore.
In questi esempi, i certificati degli endpoint vengono creati per un dispositivo con: - Nome dispositivo: DBE-HWDC1T2 - Dominio DNS: microsoftdatabox.com
Sostituire con il nome e il dominio DNS per il dispositivo per creare certificati per il dispositivo.
Certificato dell'endpoint BLOB
Creare un certificato per l'endpoint BLOB nell'archivio personale.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificato dell'endpoint di Azure Resource Manager
Creare un certificato per gli endpoint di Azure Resource Manager nell'archivio personale.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificato dell'interfaccia utente Web locale del dispositivo
Creare un certificato per l'interfaccia utente Web locale del dispositivo nell'archivio personale.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificato multi-SAN singolo per tutti gli endpoint
Creare un singolo certificato per tutti gli endpoint nell'archivio personale.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Dopo aver creato i certificati, il passaggio successivo consiste nel caricare i certificati nel dispositivo Azure Stack Edge Pro GPU.