Certificaten maken voor uw Azure Stack Edge Pro GPU met behulp van het hulpprogramma Gereedheidscontrole van Azure Stack Hub

VAN TOEPASSING OP: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

In dit artikel wordt beschreven hoe u certificaten voor uw Azure Stack Edge Pro maakt met behulp van het hulpprogramma Gereedheidscontrole voor Azure Stack Hub.

Het hulpprogramma Gereedheidscontrole van Azure Stack Hub gebruiken

Gebruik het hulpprogramma Gereedheidscontrole van Azure Stack Hub om CERTIFICAATondertekeningsaanvragen (CDR's) te maken voor een Azure Stack Edge Pro-apparaatimplementatie. U kunt deze aanvragen maken nadat u een bestelling hebt geplaatst voor het Azure Stack Edge Pro-apparaat en wacht tot het apparaat is ontvangen.

Notitie

Gebruik dit hulpprogramma alleen voor test- of ontwikkelingsdoeleinden en niet voor productieapparaten.

U kunt het hulpprogramma Azure Stack Hub Readiness Checker (AzsReadinessChecker) gebruiken om de volgende certificaten aan te vragen:

• Azure Resource Manager-certificaat
• Lokaal UI-certificaat
• Knooppuntcertificaat
• Blob-certificaat
• VPN-certificaat

Vereisten

Als u CDR's wilt maken voor de implementatie van Azure Stack Edge Pro-apparaten, moet u ervoor zorgen dat:

• U hebt een client met Windows 10 of Windows Server 2016 of hoger.
• U hebt het hulpprogramma Microsoft Azure Stack Hub Readiness Checker gedownload uit de PowerShell Gallery op dit systeem.
• U hebt de volgende informatie voor de certificaten:
  • Apparaatnaam
  • Serienummer van knooppunt
  • Externe FQDN (Fully Qualified Domain Name)

Aanvragen voor certificaatondertekening genereren

Gebruik deze stappen om de Azure Stack Edge Pro-apparaatcertificaten voor te bereiden:

1. Voer PowerShell uit als beheerder (5.1 of hoger).

2. Installeer het hulpprogramma Gereedheidscontrole van Azure Stack Hub. Typ bij de PowerShell-prompt:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Als u de geïnstalleerde versie wilt ophalen, typt u:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Maak een map voor alle certificaten als u er nog geen hebt. Type:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Als u een certificaataanvraag wilt maken, geeft u de volgende informatie op. Als u een VPN-certificaat genereert, zijn sommige van deze invoer niet van toepassing.

   Invoer	Beschrijving
   OutputRequestPath	Het bestandspad op de lokale client waar u de certificaataanvragen wilt maken.
   DeviceName	De naam van uw apparaat op de pagina Apparaat in de lokale webgebruikersinterface van uw apparaat. Dit veld is niet vereist voor een VPN-certificaat.
   NodeSerialNumber	Het Node serial number knooppunt van het apparaat dat wordt weergegeven op de pagina Overzicht in de lokale webgebruikersinterface van uw apparaat. Dit veld is niet vereist voor een VPN-certificaat.
   ExternalFQDN	De DNS domain waarde op de pagina Apparaat in de lokale webgebruikersinterface van uw apparaat.
   RequestType	Het aanvraagtype kan voor MultipleCSR - verschillende certificaten voor de verschillende eindpunten of SingleCSR - één certificaat voor alle eindpunten zijn. Dit veld is niet vereist voor een VPN-certificaat.

   Voor alle certificaten, met uitzondering van het VPN-certificaat, typt u:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Als u een VPN-certificaat maakt, typt u:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. U vindt de certificaataanvraagbestanden in de map die u hebt opgegeven in de bovenstaande parameter OutputRequestPath. Wanneer u de MultipleCSR parameter gebruikt, ziet u de volgende vier bestanden met de .req extensie:

   Bestandsnamen	Type certificaataanvraag
   Beginnen met uw DeviceName	Certificaataanvraag voor lokale webgebruikersinterface
   Beginnen met uw NodeSerialNumber	Knooppuntcertificaataanvraag
   Beginnen met login	Azure Resource Manager-eindpuntcertificaataanvraag
   Beginnen met wildcard	Blob Storage-certificaataanvraag. Het bevat een jokerteken omdat het alle opslagaccounts omvat die u op het apparaat kunt maken.
   Beginnen met AzureStackEdgeVPNCertificate	Aanvraag voor VPN-clientcertificaat.

   U ziet ook een INF-map. Dit bevat een beheer.<edge-devicename-informatiebestand> in duidelijke tekst waarin de certificaatdetails worden uitgelegd.

6. Dien deze bestanden in bij uw certificeringsinstantie (intern of openbaar). Zorg ervoor dat uw CA certificaten genereert, met behulp van uw gegenereerde aanvraag, die voldoen aan de Azure Stack Edge Pro-certificaatvereisten voor knooppuntcertificaten, eindpuntcertificaten en lokale UI-certificaten.

Certificaten voorbereiden voor implementatie

De certificaatbestanden die u van uw certificeringsinstantie (CA) krijgt, moeten worden geïmporteerd en geëxporteerd met eigenschappen die overeenkomen met de certificaatvereisten van het Azure Stack Edge Pro-apparaat. Voer de volgende stappen uit op hetzelfde systeem waar u de aanvragen voor certificaatondertekening hebt gegenereerd.

• Als u de certificaten wilt importeren, volgt u de stappen in Certificaten importeren op de clients die toegang hebben tot uw Azure Stack Edge Pro-apparaat.

• Als u de certificaten wilt exporteren, volgt u de stappen in Certificaten exporteren vanaf de client die toegang heeft tot het Azure Stack Edge Pro-apparaat.

Certificaten valideren

Eerst genereert u een juiste mapstructuur en plaatst u de certificaten in de bijbehorende mappen. Alleen vervolgens valideert u de certificaten met behulp van het hulpprogramma.

1. Voer PowerShell uit als beheerder.

2. Als u de juiste mapstructuur wilt genereren, typt u het volgende bij de prompt:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Converteer het PFX-wachtwoord naar een beveiligde tekenreeks. Type:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Valideer vervolgens de certificaten. Type:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Volgende stappen

Upload certificaten op uw apparaat.