Certificaten gebruiken met Azure Stack Edge Pro GPU-apparaat
VAN TOEPASSING OP: 
Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
In dit artikel wordt de procedure beschreven voor het maken van uw eigen certificaten met behulp van de Azure PowerShell-cmdlets. Het artikel bevat de richtlijnen die u moet volgen als u van plan bent om uw eigen certificaten op een Azure Stack Edge-apparaat te gebruiken.
Certificaten zorgen ervoor dat de communicatie tussen uw apparaat en clients die toegang hebben tot het apparaat wordt vertrouwd en dat u versleutelde gegevens naar de juiste server verzendt. Wanneer uw Azure Stack Edge-apparaat in eerste instantie is geconfigureerd, worden automatisch zelfondertekende certificaten gegenereerd. U kunt eventueel uw eigen certificaten meenemen.
U kunt een van de volgende methoden gebruiken om uw eigen certificaten voor het apparaat te maken:
- Gebruik de Azure PowerShell-cmdlets.
- Gebruik het hulpprogramma Gereedheidscontrole van Azure Stack Hub om aanvragen voor certificaatondertekening (CDR's) te maken waarmee uw certificeringsinstantie u certificaten kan uitgeven.
In dit artikel wordt alleen beschreven hoe u uw eigen certificaten maakt met behulp van de Azure PowerShell-cmdlets.
Vereisten
Voordat u uw eigen certificaten meebrengt, moet u ervoor zorgen dat:
- U bent bekend met de typen certificaten die kunnen worden gebruikt met uw Azure Stack Edge-apparaat.
- U hebt de certificaatvereisten voor elk type certificaat gecontroleerd.
Certificaten maken
In de volgende sectie wordt de procedure beschreven voor het maken van ondertekeningsketen- en eindpuntcertificaten.
Certificaatwerkstroom
U hebt een gedefinieerde manier om de certificaten te maken voor de apparaten die in uw omgeving werken. U kunt de certificaten van uw IT-beheerder gebruiken.
Alleen voor ontwikkelings- of testdoeleinden kunt u Windows PowerShell gebruiken om certificaten op uw lokale systeem te maken. Volg deze richtlijnen tijdens het maken van de certificaten voor de client:
U kunt een van de volgende typen certificaten maken:
- Maak één certificaat dat geldig is voor gebruik met één FQDN (Fully Qualified Domain Name). Bijvoorbeeld mydomain.com.
- Maak ook een jokertekencertificaat om de hoofddomeinnaam en meerdere subdomeinen te beveiligen. Bijvoorbeeld *.mydomain.com.
- Maak een SAN-certificaat (Subject Alternative Name) dat meerdere domeinnamen in één certificaat omvat.
Als u uw eigen certificaat meeneemt, hebt u een basiscertificaat nodig voor de ondertekeningsketen. Zie de stappen voor het maken van certificaten voor ondertekeningsketens.
Vervolgens kunt u de eindpuntcertificaten maken voor de lokale gebruikersinterface van het apparaat, de blob en Azure Resource Manager. U kunt drie afzonderlijke certificaten maken voor het apparaat, de blob en Azure Resource Manager, of u kunt één certificaat maken voor alle drie eindpunten. Zie Ondertekenings- en eindpuntcertificaten maken voor gedetailleerde stappen.
Of u nu drie afzonderlijke certificaten of één certificaat maakt, geef de onderwerpnamen (SN) en alternatieve onderwerpnamen (SAN) op volgens de richtlijnen voor elk certificaattype.
Certificaat voor ondertekeningsketen maken
Maak deze certificaten via Windows PowerShell die wordt uitgevoerd in de beheerdersmodus. De certificaten die op deze manier zijn gemaakt, mogen alleen worden gebruikt voor ontwikkelings- of testdoeleinden.
Het certificaat voor de ondertekeningsketen hoeft slechts één keer te worden gemaakt. De andere eindpuntcertificaten verwijzen naar dit certificaat voor ondertekening.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
Ondertekende eindpuntcertificaten maken
Maak deze certificaten via Windows PowerShell die wordt uitgevoerd in de beheerdersmodus.
In deze voorbeelden worden eindpuntcertificaten gemaakt voor een apparaat met: - Apparaatnaam: DBE-HWDC1T2 - DNS-domein: microsoftdatabox.com
Vervang door de naam en het DNS-domein voor uw apparaat om certificaten voor uw apparaat te maken.
Blob-eindpuntcertificaat
Maak een certificaat voor het Blob-eindpunt in uw persoonlijke archief.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Azure Resource Manager-eindpuntcertificaat
Maak een certificaat voor de Azure Resource Manager-eindpunten in uw persoonlijke archief.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Lokaal webgebruikersinterfacecertificaat van apparaat
Maak een certificaat voor de lokale webgebruikersinterface van het apparaat in uw persoonlijke archief.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Eén multi-SAN-certificaat voor alle eindpunten
Maak één certificaat voor alle eindpunten in uw persoonlijke archief.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Zodra de certificaten zijn gemaakt, is de volgende stap het uploaden van de certificaten op uw Azure Stack Edge Pro GPU-apparaat.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor