Delen via

Certificaten uploaden, importeren, exporteren en verwijderen op Azure Stack Edge Pro GPU

  • Artikel

VAN TOEPASSING OP: Ja voor Pro GPU-SKUAzure Stack Edge Pro - GPUJa voor Pro 2 SKUAzure Stack Edge Pro 2Ja voor Pro R SKUAzure Stack Edge Pro RJa voor Mini R SKUAzure Stack Edge Mini R

Om veilige en vertrouwde communicatie tussen uw Azure Stack Edge-apparaat en de clients die er verbinding mee maken, kunt u zelfondertekende certificaten gebruiken of uw eigen certificaten gebruiken. In dit artikel wordt beschreven hoe u deze certificaten beheert, waaronder het uploaden, importeren en exporteren van deze certificaten. U kunt ook vervaldatums van certificaten bekijken en uw oude handtekeningcertificaten verwijderen.

Zie Certificaten maken met Behulp van Azure PowerShell voor meer informatie over het maken van deze certificaten.

Certificaten uploaden op uw apparaat

Als u uw eigen certificaten gebruikt, bevinden de certificaten die u voor uw apparaat hebt gemaakt zich standaard in het persoonlijke archief op uw client. Deze certificaten moeten op uw client worden geëxporteerd naar de juiste indelingsbestanden die vervolgens naar uw apparaat kunnen worden geüpload.

Vereisten

Voordat u uw basiscertificaten en eindpuntcertificaten naar het apparaat uploadt, moet u ervoor zorgen dat de certificaten in de juiste indeling worden geëxporteerd.

Certificaten uploaden

Als u de basis- en eindpuntcertificaten op het apparaat wilt uploaden, gebruikt u de optie + Certificaat toevoegen op de pagina Certificaten in de lokale webgebruikersinterface. Volg vervolgens deze stappen:

  1. Upload eerst de basiscertificaten. Ga in de lokale webinterface naar Certificaten.

  2. Selecteer + Certificaat toevoegen.

    Schermopname van het scherm Certificaat toevoegen wanneer u een certificaat voor ondertekeningsketens toevoegt aan een Azure Stack Edge-apparaat. De knop Certificaat opslaan is gemarkeerd.

  3. Sla het certificaat op.

Eindpuntcertificaat uploaden

  1. Upload vervolgens de eindpuntcertificaten.

    Schermopname van het scherm Certificaat toevoegen bij het toevoegen van eindpuntcertificaten aan een Azure Stack Edge-apparaat. De knop Certificaat opslaan is gemarkeerd.

    Kies de certificaatbestanden in PFX-indeling en voer het wachtwoord in dat u hebt opgegeven bij het exporteren van het certificaat. Het kan enkele minuten duren voordat het Azure Resource Manager-certificaat is toegepast.

    Als de ondertekeningsketen niet eerst wordt bijgewerkt en u probeert de eindpuntcertificaten te uploaden, krijgt u een foutmelding.

    Schermopname van de fout Certificaat toepassen wanneer een eindpuntcertificaat wordt geüpload zonder eerst een handtekeningketencertificaat op een Azure Stack Edge-apparaat te uploaden.

    Ga terug en upload het certificaat voor de ondertekeningsketen en upload en pas de eindpuntcertificaten toe.

Belangrijk

Als de apparaatnaam of het DNS-domein worden gewijzigd, moeten nieuwe certificaten worden gemaakt. De clientcertificaten en de apparaatcertificaten moeten vervolgens worden bijgewerkt met de nieuwe apparaatnaam en het DNS-domein.

Kubernetes-certificaten uploaden

De Kubernetes-certificaten kunnen voor Edge Container Registry of voor Kubernetes-dashboard zijn. In elk geval moeten een certificaat en een sleutelbestand worden geüpload. Volg deze stappen om Kubernetes-certificaten te maken en te uploaden:

  1. U gebruikt openssl om het Kubernetes-dashboardcertificaat of Edge Container Registry te maken. Zorg ervoor dat u openssl installeert op het systeem dat u zou gebruiken om de certificaten te maken. Op een Windows-systeem kunt u Chocolatey gebruiken om te installeren openssl. Nadat u Chocolatey hebt geïnstalleerd, opent u PowerShell en typt u:

    choco install openssl

  2. Gebruik openssl deze certificaten om deze certificaten te maken. Er wordt een cert.pem certificaatbestand en key.pem sleutelbestand gemaakt.

    • Gebruik voor Edge Container Registry de volgende opdracht:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Hier volgt een voorbeeld van uitvoer:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Gebruik de volgende opdracht voor kubernetes-dashboardcertificaat:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Hier volgt een voorbeeld van uitvoer:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Upload het Kubernetes-certificaat en het bijbehorende sleutelbestand dat u eerder hebt gegenereerd.

    • Voor Edge Container Registry

      Schermopname van het scherm Certificaat toevoegen wanneer u een Edge Container Registry-certificaat toevoegt aan een Azure Stack Edge-apparaat. Bladerknoppen voor het certificaat en sleutelbestand zijn gemarkeerd.

    • Voor Kubernetes-dashboard

      Schermopname van het scherm Certificaat toevoegen wanneer u een Kubernetes-dashboardcertificaat toevoegt aan een Azure Stack Edge-apparaat. Bladerknoppen voor het certificaat en sleutelbestand zijn gemarkeerd.

Certificaten importeren op de client die toegang heeft tot het apparaat

U kunt de door het apparaat gegenereerde certificaten gebruiken of uw eigen certificaten meenemen. Wanneer u door het apparaat gegenereerde certificaten gebruikt, moet u de certificaten op uw client downloaden voordat u deze in het juiste certificaatarchief kunt importeren. Zie Certificaten downloaden naar uw client die toegang heeft tot het apparaat.

In beide gevallen moeten de certificaten die u hebt gemaakt en geüpload naar uw apparaat, worden geïmporteerd op uw Windows-client (toegang tot het apparaat) naar het juiste certificaatarchief.

  • Het basiscertificaat dat u als de DER hebt geëxporteerd, moet nu worden geïmporteerd in de vertrouwde basiscertificeringsinstanties op uw clientsysteem. Zie Certificaten importeren in het archief vertrouwde basiscertificeringsinstanties voor gedetailleerde stappen.

  • De eindpuntcertificaten die u als de .pfx export hebt geëxporteerd, moeten worden geëxporteerd als DER met .cer extensie. Dit .cer wordt vervolgens geïmporteerd in het persoonlijke certificaatarchief op uw systeem. Zie Certificaten importeren in het persoonlijke certificaatarchief voor gedetailleerde stappen.

Certificaten importeren als DER-indeling

Voer de volgende stappen uit om certificaten op een Windows-client te importeren:

  1. Klik met de rechtermuisknop op het bestand en selecteer Certificaat installeren. Deze actie start de wizard Certificaat importeren.

    Schermopname van het contextmenu voor een bestand in Windows Bestandenverkenner. De optie Certificaat installeren is gemarkeerd.

  2. Selecteer Lokale machine voor De opslaglocatie en selecteer vervolgens Volgende.

    Schermopname van de wizard Certificaat importeren op een Windows-client. De opslaglocatie van de lokale machine is gemarkeerd.

  3. Selecteer Alle certificaten in het volgende archief plaatsen en selecteer Vervolgens Bladeren.

    • Als u wilt importeren in persoonlijke opslag, gaat u naar het persoonlijke archief van uw externe host en selecteert u vervolgens Volgende.

      Schermopname van de wizard Certificaat importeren in Windows met het persoonlijke certificaatarchief geselecteerd. De optie Certificaatarchief en de knop Volgende zijn gemarkeerd.

    • Als u wilt importeren in het vertrouwde archief, gaat u naar de vertrouwde basiscertificeringsinstantie en selecteert u volgende.

      Schermopname van de wizard Certificaat importeren in Windows met het certificaatarchief vertrouwde basiscertificeringsinstantie geselecteerd. De optie Certificaatarchief en de knop Volgende zijn gemarkeerd.

  4. Selecteer Voltooien. Er wordt een bericht weergegeven dat het importeren is geslaagd.

Verlopen van certificaat weergeven

Als u uw eigen certificaten meeneemt, verlopen de certificaten doorgaans over 1 jaar of 6 maanden. Als u de vervaldatum van uw certificaat wilt weergeven, gaat u naar de pagina Certificaten in de lokale webgebruikersinterface van uw apparaat. Als u een specifiek certificaat selecteert, kunt u de vervaldatum van uw certificaat bekijken.

Certificaat voor ondertekeningsketen verwijderen

U kunt een oud, verlopen handtekeningketencertificaat van uw apparaat verwijderen. Wanneer u dit doet, zijn afhankelijke certificaten in de ondertekeningsketen niet meer geldig. Alleen certificaten voor ondertekeningsketens kunnen worden verwijderd.

Voer de volgende stappen uit om een certificaat voor ondertekeningsketens te verwijderen van uw Azure Stack Edge-apparaat:

  1. Ga in de lokale webgebruikersinterface van uw apparaat naar CONFIGURATIEcertificaten>.

  2. Selecteer het certificaat voor de ondertekeningsketen dat u wilt verwijderen. Selecteer daarna Verwijderen.

    Schermopname van de blade Certificaten van de lokale webgebruikersinterface van een Azure Stack Edge-apparaat. De optie Verwijderen voor de handtekeningcertificaten is gemarkeerd.

  3. Controleer in het deelvenster Certificaat verwijderen de vingerafdruk van het certificaat en selecteer Vervolgens Verwijderen. Certificaatverwijdering kan niet ongedaan worden gemaakt.

    Schermopname van het scherm Certificaat verwijderen voor een handtekeningcertificaat op een Azure Stack Edge-apparaat. De vingerafdruk van het certificaat en de knop Verwijderen zijn gemarkeerd.

    Nadat het verwijderen van het certificaat is voltooid, zijn alle afhankelijke certificaten in de ondertekeningsketen niet meer geldig.

  4. Als u de statusupdates wilt zien, vernieuwt u de weergave. Het certificaat voor de ondertekeningsketen wordt niet meer weergegeven en afhankelijke certificaten hebben geen geldige status.

Volgende stappen

Meer informatie over het oplossen van certificaatproblemen