Azure Stack Edge Pro GPU 上で証明書をアップロード、インポート、エクスポート、削除する

  • [アーティクル]

適用対象:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Azure Stack Edge デバイスとそれに接続するクライアント間のセキュリティで保護されて信頼できる通信を確保するために、自己署名証明書を使用することも、独自の証明書を持ち込むこともできます。 この記事では、これらの証明書をアップロード、インポート、エクスポートする方法など、これらの証明書を管理する方法について説明します。 証明書の有効期限を表示し、古い署名証明書を削除することもできます。

これらの証明書の作成方法に関する詳細については、Azure PowerShell で証明書を作成する方法に関するページを参照してください。

デバイスに証明書をアップロードする

独自の証明書を持ち込む場合、デバイス用に作成した証明書は、既定では、クライアントの個人用ストアに格納されます。 これらの証明書は、デバイスにアップロードできるように、クライアントで適切なフォーマット ファイルにエクスポートする必要があります。

前提条件

ルート証明書とエンドポイント証明書をデバイスにアップロードする前に、証明書が適切な形式でエクスポートされていることを確認してください。

証明書をアップロードする

ルート証明書とエンドポイント証明書をデバイスにアップロードするには、ローカル Web UI の [証明書] ページの [+ 証明書の追加] オプションを使用します。 次の手順のようにします。

  1. 最初にルート証明書をアップロードします。 ローカル Web UI で、[証明書] に移動します。

  2. [+ 証明書の追加] を選択します。

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. 証明書を保存します。

エンドポイント証明書をアップロードする

  1. 次に、エンドポイント証明書をアップロードします。

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    .pfx 形式の証明書ファイルを選択し、証明書のエクスポート時に指定したパスワードを入力します。 Azure Resource Manager 証明書が適用されるまでに数分かかる場合があります。

    最初に署名チェーンが更新されていない場合、エンドポイント証明書をアップロードしようとすると、エラーが発生します。

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    前に戻り、署名チェーン証明書をアップロードし、その後にエンドポイント証明書をアップロードし、適用します。

重要

デバイス名または DNS ドメインが変更された場合、新しい証明書を作成する必要があります。 次に、クライアント証明書とデバイス証明書を、新しいデバイス名と DNS ドメインを使用して更新する必要があります。

Kubernetes 証明書をアップロードする

Kubernetes 証明書は、Edge Container Registry か Kubernetes ダッシュボードに使用できます。 いずれの場合も、証明書とキー ファイルをアップロードする必要があります。 Kubernetes 証明書を作成してアップロードするには、次の手順に従います。

  1. openssl を使用し、Kubernetes ダッシュボード証明書または Edge Container Registry を作成します。 証明書の作成に使用するシステムに必ず openssl をインストールしてください。 Windows で、Chocolatey を使用して openssl をインストールできます。 Chocolatey をインストールしたら、PowerShell を開き、次のコマンドを入力します。

    choco install openssl

  2. これらの証明書を作成するには openssl を使用します。 cert.pem 証明書ファイルと key.pem キー ファイルが作成されます。

    • Edge Container Registry の場合、次のコマンドを使用します。

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      出力例を次に示します。

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Kubernetes ダッシュボード証明書の場合、次のコマンドを使用します。

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      出力例を次に示します。

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Kubernetes 証明書とそれに該当する、前に生成したキー ファイルをアップロードします。

    • Edge Container Registry の場合

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Kubernetes ダッシュボードの場合

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

デバイスにアクセスするクライアントに証明書をインポートする

デバイスで生成された証明書を使用するか、独自の証明書を持ち込みます。 デバイスで生成された証明書を使用する場合は、適切な証明書ストアに証明書をインポートする前に、クライアントに証明書をダウンロードする必要があります。 デバイスにアクセスするクライアントに証明書をダウンロードする方法に関するページを参照してください。

どちらの場合も、作成してデバイスにアップロードした証明書を、(デバイスにアクセスする) Windows クライアントの適切な証明書ストアにインポートする必要があります。

  • DER としてエクスポートしたルート証明書は、クライアント システムの信頼されたルート証明機関にインポートする必要があります。 詳細な手順については、信頼されたルート証明機関ストアへの証明書のインポートに関するページを参照してください。

  • .pfx としてエクスポートしたエンドポイント証明書は、.cer 拡張子を使用した DER としてエクスポートする必要があります。 この .cer は、システムの個人用証明書ストアにインポートします。 詳細な手順については、個人用証明書ストアへの証明書のインポートに関するページを参照してください。

DER 形式で証明書をインポートする

Windows クライアントに証明書をインポートするには、次の手順を実行します。

  1. ファイルを右クリックし、[証明書のインストール] を選択します。 このアクションにより、証明書のインポート ウィザードが開始されます。

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. [ストアの場所][ローカル マシン] を選択し、[次へ] を選択します。

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. [証明書をすべて次のストアに配置する] を選択し、[参照] を選択します。

    • 個人用ストアにインポートするには、リモート ホストの個人用ストアに移動し、[次へ] を選択します。

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • 信頼されたストアにインポートするには、信頼されたルート証明機関に移動し、[次へ] を選択します。

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. 完了を選択します。 インポートが成功したことを示すメッセージが表示されます。

証明書の有効期限を確認する

独自の証明書を導入する場合、証明書は通常 1 年または 6 か月で期限切れになります。 証明書の有効期限を確認するには、デバイスのローカル Web UI の [証明書] ページにアクセスします。 特定の証明書を選択すると、その証明書の有効期限を確認できます。

署名チェーン証明書を削除する

古い期限切れの署名チェーン証明書をデバイスから削除できます。 そうすると、署名チェーン内のすべての依存証明書は無効になります。 削除できるのは署名チェーン証明書のみです。

Azure Stack Edge デバイスから署名チェーン証明書を削除するには、次の手順を実行します。

  1. デバイスのローカル Web UI で、[構成]>> [証明書] に移動します。

  2. 削除する署名チェーン証明書を選択します。 次に、 [削除] を選択します。

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. [証明書の削除] ウィンドウで、証明書の拇印を確認し、[削除] を選択します。 証明書の削除を元に戻すことはできません。

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    証明書の削除が完了すると、署名チェーン内のすべての依存証明書は無効になります。

  4. 状態の更新を表示するには、表示を最新の情報に更新します。 署名チェーン証明書は表示されなくなり、依存証明書の状態は [無効] になります。

次のステップ

証明書の問題をトラブルシューティングする方法について学習します