チュートリアル:GPU 搭載の Azure Stack Edge Pro 用の証明書を構成する

  • [アーティクル]

このチュートリアルでは、ローカル Web UI を使用して、オンボード GPU 搭載の Azure Stack Edge Pro デバイス用の証明書を構成する方法について説明します。

このチュートリアルでは、ローカル Web UI を使用して、ご利用の 2 ノード Azure Stack Edge Pro GPU デバイス用の証明書を構成する方法について説明します。

この手順の所要時間は、選択した特定のオプションと、お使いの環境で証明書フローがどのように確立されるかによって変わります。

このチュートリアルで学習する内容は次のとおりです。

  • 前提条件
  • 物理デバイスの証明書を構成する

前提条件

GPU 搭載の Azure Stack Edge Pro デバイスの構成と設定を行う前に、次のことを確認してください。

  • Azure Stack Edge Pro GPU の設置に関する記事の説明に従って、物理デバイスが設置されていること。
  • 独自の証明書を持ち込む場合:

    • 署名チェーン証明書を含む適切な形式で証明書を準備しておく必要があります。 証明書の詳細については、「証明書の管理」を参照してください。

    • デバイスが Azure Government に配置されていて、Azure パブリック クラウドに配置されていない場合は、デバイスをアクティブにする前に署名チェーン証明書が必要になります。 証明書の詳細については、証明書の管理に関するページを参照してください。

デバイスの証明書を構成する

  1. デバイスのローカル Web UI で [証明書] ページを開きます。 このページには、デバイスで使用可能な証明書が表示されます。 デバイスには、自己署名証明書 (デバイス証明書とも呼ばれます) が付属しています。 独自の証明書を持ち込むこともできます。

  2. 以前にデバイス設定を構成したときに、デバイス名および DNS ドメインを変更しておらず、独自の証明書を使用しない場合は、このページの構成は不要です。 単にこのページで、すべての証明書の状態が有効と表示されていることを確認してください。

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    既存のデバイス証明書を使用してデバイスをアクティブにする準備ができました。

  3. デバイスのデバイス名または DNS ドメインを変更した場合にのみ、次の手順に従います。 これらの場合、デバイス証明書の状態は [無効] になります。 これは、証明書の subject namesubject alternative 設定のデバイス名と DNS ドメインが古くなっているためです。

    証明書を選択して状態の詳細を表示します。

    Screenshot of Certificate Details for a certificate on the Certificates page of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. デバイスのデバイス名または DNS ドメインを変更し、新しい証明書を提供しない場合、デバイスのアクティブ化はブロックされます。 デバイスで新しい証明書のセットを使用するには、次のいずれかのオプションを選択します。

    • [Bring your own certificates](すべてのデバイス証明書を生成する) 。 自動生成されるデバイス証明書を使用する予定で、新しいデバイス証明書を生成する必要がある場合は、このオプションを選択し、「デバイス証明書を生成する」の手順を完了します。 これらのデバイス証明書は、実稼働ワークロードではなく、テストにのみ使用してください。

    • [Bring your own certificates](独自の証明書を持ち込む) 。 独自の署名付きエンドポイント証明書と対応する署名チェーンを使用する場合は、このオプションを選択し、「独自の証明書を持ち込む」の手順を実行します。 運用環境のワークロードには、常に独自の証明書を持ち込むことをお勧めします。

    • 独自の証明書を複数持ち込み、複数のデバイス証明書を生成することを選択できます。 [Generate all the device certificates](すべてのデバイス証明書を生成する) オプションは、デバイス証明書のみを再生成します。

  5. デバイスに対して有効な証明書の完全なセットが用意できたら、デバイスはアクティブ化の準備ができています。 [< [開始] に戻る] を選択して、次の展開手順である「デバイスのアクティブ化」に進みます。

  1. デバイスのローカル Web UI で [証明書] ページを開きます。 このページには、デバイスで使用可能な証明書が表示されます。 デバイスには、自己署名証明書 (デバイス証明書とも呼ばれます) が付属しています。 独自の証明書を持ち込むこともできます。

  2. 以前にデバイス設定を構成したときに、デバイス名および DNS ドメインを変更しておらず、独自の証明書を使用しない場合は、このページの構成は不要です。 単にこのページで、すべての証明書の状態が有効と表示されていることを確認してください。

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    既存のデバイス証明書を使用してデバイスをアクティブにする準備ができました。

  3. デバイスのデバイス名または DNS ドメインを変更した場合にのみ、次の手順に従います。 これらの場合、デバイス証明書の状態は [無効] になります。 これは、証明書の subject namesubject alternative 設定のデバイス名と DNS ドメインが古くなっているためです。

    証明書を選択して状態の詳細を表示します。

    Screenshot of Certificate Details for a certificate on the Certificates page of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. デバイスのデバイス名または DNS ドメインを変更し、新しい証明書を提供しない場合、デバイスのアクティブ化はブロックされます。 デバイスで新しい証明書のセットを使用するには、次のいずれかのオプションを選択します。

    • [Bring your own certificates](すべてのデバイス証明書を生成する) 。 自動生成されるデバイス証明書を使用する予定で、新しいデバイス証明書を生成する必要がある場合は、このオプションを選択し、「デバイス証明書を生成する」の手順を完了します。 これらのデバイス証明書は、実稼働ワークロードではなく、テストにのみ使用してください。

    • [Bring your own certificates](独自の証明書を持ち込む) 。 独自の署名付きエンドポイント証明書と対応する署名チェーンを使用する場合は、このオプションを選択し、「独自の証明書を持ち込む」の手順を実行します。 運用環境のワークロードには、常に独自の証明書を持ち込むことをお勧めします。

    • 独自の証明書を複数持ち込み、複数のデバイス証明書を生成することを選択できます。 [Generate all the device certificates](すべてのデバイス証明書を生成する) オプションは、デバイス証明書のみを再生成します。

  5. デバイスに対して有効な証明書の完全なセットが用意できたら、デバイスはアクティブ化の準備ができています。 [< [開始] に戻る] を選択して、次の展開手順である「デバイスのアクティブ化」に進みます。

デバイス証明書を生成する

デバイス証明書を生成するには、次の手順を実行します。

次の手順を使用して、Azure Stack Edge Pro GPU デバイス証明書を再生成してダウンロードします。

  1. お使いのデバイスのローカル UI で、[構成] > [証明書] に移動します。 [Generate certificates](証明書の生成) を選択します。

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. [Generate device certificates](デバイス証明書の生成)[生成] を選択します。

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    これでデバイス証明書が生成され、適用されます。 証明書の生成と適用には数分かかります。

    重要

    証明書の生成操作の実行中は、独自の証明書を持ち込まず、 [+ 証明書の追加] オプションを使用して追加してください。

    操作が正常に完了すると、通知が表示されます。 キャッシュの問題の可能性を回避するために、ブラウザーを再起動します。

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. 証明書が生成された後:

    • すべての証明書の状態として [有効] が表示されます。

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • 特定の証明書名を選択し、証明書の詳細を表示できます。

      Screenshot showing the Certificate Details pane on the Certificates page of an Azure Stack Edge device. The selected certificate is highlighted.

    • [ダウンロード] 列に値が設定されています。 この列には、再生成された証明書をダウンロードするためのリンクが含まれます。

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. 証明書のダウンロード リンクを選択し、メッセージが表示されたら、証明書を保存します。

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. ダウンロードするすべての証明書に対してこのプロセスを繰り返します。

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

  1. お使いのデバイスのローカル UI で、[構成] > [証明書] に移動します。 [Generate certificates](証明書の生成) を選択します。

    Generate and download certificate 1

  2. [Generate device certificates](デバイス証明書の生成)[生成] を選択します。

    Generate and download certificate 2

    これでデバイス証明書が生成され、適用されます。 証明書の生成と適用には数分かかります。

    重要

    証明書の生成操作の実行中は、独自の証明書を持ち込まず、 [+ 証明書の追加] オプションを使用して追加してください。

    操作が正常に完了すると、通知が表示されます。 キャッシュの問題の可能性を回避するために、ブラウザーを再起動します。

    Generate and download certificate 4

  3. 証明書が生成された後:

    • すべての証明書の状態として [有効] が表示されます。

      Generate and download certificate 5

    • 特定の証明書名を選択し、証明書の詳細を表示できます。

      Generate and download certificate 6

    • [ダウンロード] 列に値が設定されています。 この列には、再生成された証明書をダウンロードするためのリンクが含まれます。

      Generate and download certificate 7

  4. 証明書のダウンロード リンクを選択し、メッセージが表示されたら、証明書を保存します。

    Generate and download certificate 8

  5. ダウンロードするすべての証明書に対してこのプロセスを繰り返します。

    Generate and download certificate 9

デバイスで生成された証明書は、次の名前形式で DER 証明書として保存されます。

  • <Device name>_<Endpoint name>.cer

これらの証明書には、デバイスにインストールされている対応する証明書の公開キーが含まれています。

Azure Stack Edge デバイス上のエンドポイントへのアクセスに使用しているクライアント システムにこれらの証明書をインストールする必要があります。 これらの証明書によって、クライアントとデバイス間に信頼が確立します。

デバイスへのアクセスに使用しているクライアントにこれらの証明書をインポートしてインストールするには、Azure Stack Edge Pro GPU デバイスにアクセスするクライアントに証明書をインポートする方法の手順を実行します。

Azure Storage Explorer を使用する場合、クライアントに PEM 形式で証明書をインストールする必要があります。また、デバイスで生成された証明書を PEM 形式に変換する必要があります。

重要

  • ダウンロード リンクは、デバイスで生成された証明書にのみ使用できます。独自の証明書を持ち込む場合は使用できません。
  • 他の証明書の要件が満たされている限り、デバイスで生成された証明書を組み合わせて独自の証明書を持ち込むことができます。 詳細については、「証明書の要件」を参照してください。

独自の証明書を持ち込む

独自の証明書を持ち込むことができます。

署名チェーンを含む独自の証明書をアップロードするには、次の手順のようにします。

  1. 証明書をアップロードするには、 [証明書] ページで [+ 証明書の追加] を選択します。

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. 証明書を .pfx 形式でエクスポートしたときに、証明書のパスにすべての証明書を含めた場合は、この手順を省略できます。 エクスポートにすべての証明書を含めなかった場合は、署名チェーンをアップロードし、[検証して追加] を選択します。 これは、他の証明書をアップロードする前に行う必要があります。

    場合によっては、署名チェーンのみを他の目的のために持ち込むことが必要になることがあります。たとえば、Windows Server Update Services (WSUS) の更新サーバーに接続する場合などです。

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. 他の証明書をアップロードします。 たとえば、Azure Resource Manager と BLOB ストレージ エンドポイントの証明書をアップロードできます。

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    ローカル Web UI 証明書をアップロードすることもできます。 この証明書をアップロードした後、ブラウザーを起動してキャッシュをクリアする必要があります。 次に、デバイスのローカル Web UI に接続する必要があります。

    Local web UI

    ノード証明書をアップロードすることもできます。

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    いつでも、証明書を選択して詳細を表示し、アップロードした証明書と一致していることを確認できます。

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    証明書ページが更新され、新しく追加された証明書が反映されます。

    Screenshot of the Certificates page in the local web UI for an Azure Stack Edge device. A newly added set of certificates is highlighted.

    Note

    Azure パブリック クラウドを除き、すべてのクラウド構成 (Azure Government または Azure Stack) をアクティブにする前に、署名チェーン証明書を組み込む必要があります。

これでデバイスをアクティブにする準備ができました。 [< [開始] に戻る] を選択します。

次のステップ

このチュートリアルで学習する内容は次のとおりです。

  • 前提条件
  • 物理デバイスの証明書を構成する

Azure Stack Edge Pro GPU デバイスをアクティブにする方法については、以下を参照してください。

Azure Stack Edge Pro GPU デバイスをアクティブにする