Wat zijn certificaten in Azure Stack Edge Pro GPU?

VAN TOEPASSING OP: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

In dit artikel worden de typen certificaten beschreven die kunnen worden geïnstalleerd op uw Azure Stack Edge Pro GPU-apparaat. Het artikel bevat ook de details voor elk certificaattype.

Over certificaten

Een certificaat biedt een koppeling tussen een openbare sleutel en een entiteit (zoals domeinnaam) die is ondertekend (geverifieerd) door een vertrouwde derde partij (zoals een certificeringsinstantie). Een certificaat biedt een handige manier om vertrouwde openbare versleutelingssleutels te distribueren. Certificaten zorgen ervoor dat uw communicatie wordt vertrouwd en dat u versleutelde gegevens naar de juiste server verzendt.

Certificaten implementeren op apparaat

Op uw Azure Stack Edge-apparaat kunt u de zelfondertekende certificaten gebruiken of uw eigen certificaten meenemen.

• Door het apparaat gegenereerde certificaten: wanneer uw apparaat in eerste instantie is geconfigureerd, worden automatisch zelfondertekende certificaten gegenereerd. Indien nodig kunt u deze certificaten opnieuw genereren via de lokale webinterface. Nadat de certificaten opnieuw zijn gegenereerd, downloadt en importeert u de certificaten op de clients die worden gebruikt voor toegang tot uw apparaat.

• Bring your own certificates: Optioneel kunt u uw eigen certificaten meenemen. Er zijn richtlijnen die u moet volgen als u van plan bent om uw eigen certificaten te gebruiken.

  • Begin met het begrijpen van de typen certificaten die kunnen worden gebruikt met uw Azure Stack Edge-apparaat in dit artikel.
  • Controleer vervolgens de certificaatvereisten voor elk type certificaat.
  • Vervolgens kunt u uw certificaten maken via Azure PowerShell of uw certificaten maken via het hulpprogramma Gereedheidscontrole.
  • Ten slotte converteert u de certificaten naar de juiste indeling , zodat ze klaar zijn om naar uw apparaat te uploaden.
  • Upload uw certificaten op het apparaat.
  • Importeer de certificaten op de clients die toegang hebben tot het apparaat.

Typen certificaten

De verschillende typen certificaten die u voor uw apparaat kunt gebruiken, zijn als volgt:

• Handtekeningcertificaten

  • Basis-CA
  • Gevorderd

• Knooppuntcertificaten

• Eindpuntcertificaten

  • Azure Resource Manager-certificaten
  • Blob Storage-certificaten

• Lokale UI-certificaten

• IoT-apparaatcertificaten

• Kubernetes-certificaten

  • Edge Container Registry-certificaat
  • Kubernetes-dashboardcertificaat

• Wi-Fi-certificaten

• VPN-certificaten

• Versleutelingscertificaten

  • Ondersteuningssessiecertificaten

Elk type certificaat wordt gedetailleerd beschreven in de volgende secties.

Certificaten voor ondertekeningsketen

Dit zijn de certificaten voor de instantie die de certificaten of de handtekeningcertificaatinstantie ondertekent.

Typen

Deze certificaten kunnen basiscertificaten of tussenliggende certificaten zijn. De basiscertificaten zijn altijd zelfondertekend (of zelf ondertekend). De tussenliggende certificaten zijn niet zelfondertekend en worden ondertekend door de ondertekeningsinstantie.

Waarschuwingen

• De basiscertificaten moeten certificaten voor ondertekeningsketens zijn.
• De basiscertificaten kunnen in de volgende indeling op uw apparaat worden geüpload:
  • DER – Deze zijn beschikbaar als een .cer bestandsextensie.
  • Base-64 gecodeerd : deze zijn beschikbaar als .cer bestandsextensie.
  • P7b : deze indeling wordt alleen gebruikt voor ondertekeningsketencertificaten die de basis- en tussenliggende certificaten bevatten.
• Certificaten voor ondertekeningsketens worden altijd geüpload voordat u andere certificaten uploadt.

Knooppuntcertificaten

Alle knooppunten in uw apparaat communiceren voortdurend met elkaar en moeten daarom een vertrouwensrelatie hebben. Knooppuntcertificaten bieden een manier om die vertrouwensrelatie tot stand te brengen. Knooppuntcertificaten worden ook afgespeeld wanneer u verbinding maakt met het apparaatknooppunt met behulp van een externe PowerShell-sessie via https.

Waarschuwingen

• Het knooppuntcertificaat moet worden opgegeven in .pfx indeling met een persoonlijke sleutel die kan worden geëxporteerd.

• U kunt 1 wildcard-knooppuntcertificaat of vier afzonderlijke knooppuntcertificaten maken en uploaden.

• Een knooppuntcertificaat moet worden gewijzigd als het DNS-domein wordt gewijzigd, maar de apparaatnaam niet verandert. Als u uw eigen knooppuntcertificaat meeneemt, kunt u het serienummer van het apparaat niet wijzigen. U kunt alleen de domeinnaam wijzigen.

• Gebruik de volgende tabel om u te helpen bij het maken van een knooppuntcertificaat.

  Type	Onderwerpnaam (SN)	Alternatieve naam voor onderwerp (SAN)	Voorbeeld van onderwerpnaam
  Knooppunt	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Eindpuntcertificaten

Voor eindpunten die het apparaat beschikbaar maakt, is een certificaat vereist voor vertrouwde communicatie. De eindpuntcertificaten omvatten de certificaten die vereist zijn bij toegang tot Azure Resource Manager en de blobopslag via de REST API's.

Wanneer u een ondertekend certificaat zelf inbrengt, hebt u ook de bijbehorende ondertekeningsketen van het certificaat nodig. Voor de ondertekeningsketen, Azure Resource Manager en de blobcertificaten op het apparaat hebt u ook de bijbehorende certificaten op de clientcomputer nodig om het apparaat te verifiëren en te communiceren.

Waarschuwingen

• De eindpuntcertificaten moeten een .pfx indeling hebben met een persoonlijke sleutel. Ondertekeningsketen moet de DER-indeling (.cer bestandsextensie) zijn.

• Wanneer u uw eigen eindpuntcertificaten gebruikt, kunnen dit zijn als afzonderlijke certificaten of certificaten voor meerdere domeinen.

• Als u de ondertekeningsketen binnenbrengt, moet het certificaat voor de ondertekeningsketen worden geüpload voordat u een eindpuntcertificaat uploadt.

• Deze certificaten moeten worden gewijzigd als de apparaatnaam of de DNS-domeinnamen worden gewijzigd.

• Er kan een eindpuntcertificaat met jokertekens worden gebruikt.

• De eigenschappen van de eindpuntcertificaten zijn vergelijkbaar met die van een typisch SSL-certificaat.

• Gebruik de volgende tabel bij het maken van een eindpuntcertificaat:

  Type	Onderwerpnaam (SN)	Alternatieve naam voor onderwerp (SAN)	Voorbeeld van onderwerpnaam
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blob-opslag	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Meerdere SAN-certificaten voor beide eindpunten	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Lokale UI-certificaten

U hebt toegang tot de lokale webinterface van uw apparaat via een browser. Om ervoor te zorgen dat deze communicatie veilig is, kunt u uw eigen certificaat uploaden.

Waarschuwingen

• Het lokale UI-certificaat wordt ook geüpload in een .pfx indeling met een persoonlijke sleutel die kan worden geëxporteerd.

• Nadat u het lokale UI-certificaat hebt geüpload, moet u de browser opnieuw starten en de cache wissen. Raadpleeg de specifieke instructies voor uw browser.

  Type	Onderwerpnaam (SN)	Alternatieve naam voor onderwerp (SAN)	Voorbeeld van onderwerpnaam
  Lokale gebruikersinterface	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

IoT Edge-apparaatcertificaten

Uw apparaat is ook een IoT-apparaat met de rekenkracht die is ingeschakeld door een IoT Edge-apparaat dat hiermee is verbonden. Voor beveiligde communicatie tussen dit IoT Edge-apparaat en de downstreamapparaten die er verbinding mee kunnen maken, kunt u ook IoT Edge-certificaten uploaden.

Het apparaat heeft zelfondertekende certificaten die kunnen worden gebruikt als u alleen het rekenscenario met het apparaat wilt gebruiken. Als het apparaat echter is verbonden met downstreamapparaten, moet u uw eigen certificaten meenemen.

Er zijn drie IoT Edge-certificaten die u moet installeren om deze vertrouwensrelatie in te schakelen:

• Basiscertificeringsinstantie of de certificeringsinstantie van de eigenaar
• Apparaatcertificaatinstantie
• Certificaat voor apparaatsleutel

Waarschuwingen

• De IoT Edge-certificaten worden geüpload in .pem indeling.

Zie voor meer informatie over IoT Edge-certificaten de details van het Azure IoT Edge-certificaat en het maken van IoT Edge-productiecertificaten.

Kubernetes-certificaten

De volgende Kubernetes-certificaten kunnen worden gebruikt met uw Azure Stack Edge-apparaat.

• Edge-containerregistercertificaat: Als uw apparaat een Edge-containerregister heeft, hebt u een Edge Container Registry-certificaat nodig voor beveiligde communicatie met de client die toegang heeft tot het register op het apparaat.
• Dashboardeindpuntcertificaat: u hebt een dashboardeindpuntcertificaat nodig om toegang te krijgen tot het Kubernetes-dashboard op uw apparaat.

Waarschuwingen

• Het Edge Container Registry-certificaat moet:

  • Wees een PEM-indelingscertificaat.
  • Bevat alternatieve onderwerpnaam (SAN) of CName (CN) van het type: *.<endpoint suffix> of ecr.<endpoint suffix>. Bijvoorbeeld: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Het dashboardcertificaat moet:

  • Wees een PEM-indelingscertificaat.
  • Bevat alternatieve onderwerpnaam (SAN) of CName (CN) van het type: *.<endpoint-suffix> of kubernetes-dashboard.<endpoint-suffix>. Bijvoorbeeld: *.dbe-1d6phq2.microsoftdatabox.com of kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

VPN-certificaten

Als VPN (punt-naar-site) is geconfigureerd op uw apparaat, kunt u uw eigen VPN-certificaat meenemen om ervoor te zorgen dat de communicatie wordt vertrouwd. Het basiscertificaat wordt geïnstalleerd op de Azure VPN Gateway en de clientcertificaten worden geïnstalleerd op elke clientcomputer die verbinding maakt met een virtueel netwerk met behulp van punt-naar-site.

Waarschuwingen

• Het VPN-certificaat moet worden geüpload als een PFX-indeling met een persoonlijke sleutel.
• Het VPN-certificaat is niet afhankelijk van de apparaatnaam, het serienummer van het apparaat of de apparaatconfiguratie. Hiervoor is alleen de externe FQDN vereist.
• Zorg ervoor dat de client-OID is ingesteld.

Zie Certificaten genereren en exporteren voor punt-naar-site met behulp van PowerShell voor meer informatie.

Wi-Fi-certificaten

Als uw apparaat is geconfigureerd voor gebruik op een draadloos WPA2-Enterprise-netwerk, hebt u ook een Wi-Fi-certificaat nodig voor communicatie via het draadloze netwerk.

Waarschuwingen

• Het Wi-Fi-certificaat moet worden geüpload als pfx-indeling met een persoonlijke sleutel.
• Zorg ervoor dat de client-OID is ingesteld.

Ondersteuningssessiecertificaten

Als uw apparaat problemen ondervindt, kan er een externe PowerShell-ondersteuningssessie worden geopend op het apparaat om deze problemen op te lossen. Als u een beveiligde, versleutelde communicatie via deze ondersteuningssessie wilt inschakelen, kunt u een certificaat uploaden.

Waarschuwingen

• Zorg ervoor dat het bijbehorende .pfx certificaat met een persoonlijke sleutel is geïnstalleerd op de clientcomputer met behulp van het ontsleutelingsprogramma.

• Controleer of het veld Sleutelgebruik voor het certificaat niet certificaatondertekening is. Als u dit wilt controleren, klikt u met de rechtermuisknop op het certificaat, kiest u Openen en zoekt u op het tabblad Details het sleutelgebruik.

• Het ondersteuningssessiecertificaat moet worden opgegeven als DER-indeling met een .cer extensie.

Volgende stappen

Controleer de certificaatvereisten.