Compartilhar via


O que são certificados no Azure Stack Edge Pro GPU?

APLICA-SE A: Sim, ao SKU do Pro GPUAzure Stack Edge Pro - GPUSim, ao SKU do Pro 2Azure Stack Edge Pro 2Sim, ao SKU do Pro RAzure Stack Edge Pro RSim, ao SKU do Mini RAzure Stack Edge Mini R

Este artigo descreve os tipos de certificados que podem ser instalados em seu dispositivo Azure Stack Edge Pro GPU. O artigo também inclui detalhes de cada tipo de certificado.

Sobre certificados

Um certificado fornece um link entre uma chave pública e uma entidade (como o nome de domínio) que foi assinada (verificada) por um terceiro confiável (como uma autoridade certificadora). Um certificado proporciona uma forma conveniente de distribuir chaves de criptografia pública confiáveis. Assim, os certificados garantem que sua comunicação é confiável e que você está enviando informações criptografadas para o servidor correto.

Implantar certificados no dispositivo

No seu Azure Stack Edge, você pode usar os certificados autoassinados ou trazer seus próprios certificados.

Tipos de certificados

Os vários tipos de certificados que você pode trazer para seu dispositivo são os seguintes:

  • Certificados de autenticação

    • AC Raiz
    • Intermediário
  • Certificados de nó

  • Certificados de ponto de extremidade

    • Certificados Azure Resource Manager
    • Certificados de armazenamento de BLOBs
  • Certificados de Interface do Usuário locais

  • Certificados do dispositivo IoT

  • Certificados do Kubernetes

    • Certificado do Registro de Contêiner de Borda
    • Certificado do painel do Kubernetes
  • Certificados Wi-Fi

  • Certificados VPN

  • Certificados de criptografia

    • Certificados de sessão de suporte

Cada tipo de certificado é descrito mais detalhadamente nas seções a seguir.

Certificados de cadeia de assinatura

Estes são os certificados para as autoridades que assinam os certificados ou para as autoridades cerificadoras de assinaturas.

Tipos

Esses certificados podem ser certificados raiz ou certificados intermediários. Os certificados raiz são sempre autoassinados (ou assinados por si mesmos). Os certificados intermediários não são autoassinados, são assinados por autoridades de assinatura.

Advertências

  • Os certificados raiz devem ser certificados de cadeia de assinatura.
  • Os certificados raiz podem ser carregados (upload) em seu dispositivo no seguinte formato:
    • DER – disponíveis como uma .cer extensão de arquivo.
    • Codificado em Base 64 – disponíveis como .cer extensão de arquivo.
    • P7b – esse formato é usado somente para certificados de cadeia de assinatura que inclui os certificados raiz e intermediário.
  • Os certificados de cadeia de assinatura são sempre carregados antes de carregar quaisquer outros certificados.

Certificados de nó

Todos os nós no seu dispositivo estão constantemente se comunicando entre si e, portanto, precisam ter uma relação de confiança. Os certificados de nó fornecem uma maneira de estabelecer essa confiança. Os certificados de nó também são usados na conexão ao nó do dispositivo usando uma sessão remota do PowerShell via HTTPS.

Advertências

  • O certificado do nó deve ser fornecido no formato .pfx com uma chave privada que possa ser exportada.

  • Você pode criar e carregar 1 certificado de nó curinga ou 4 certificados de nó individuais.

  • Um certificado de nó deve ser alterado se o domínio DNS for alterado, mas o nome do dispositivo não for alterado. Se estiver usando seu próprio certificado de nó, você não pode alterar o número de série do dispositivo. só pode alterar o nome de domínio.

  • Use a tabela a seguir para orientá-lo durante a criação de um certificado de nó.

    Tipo Nome da entidade (SN) Nome alternativo da entidade (SAN) Exemplo de nome da entidade
    <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>
    mydevice1.microsoftdatabox.com

Certificados de ponto de extremidade

Para qualquer ponto de extremidade que o dispositivo expõe, é obrigatório um certificado para a comunicação confiável. Os certificados de ponto de extremidade incluem aqueles necessários ao acessar o Azure Resource Manager e o armazenamento de BLOBs por meio das APIs REST.

Quando você usa um certificado assinado por conta própria, também precisa da cadeia de assinatura correspondente do certificado. Para a cadeia de assinatura, o Azure Resource Manager e os certificados de BLOB no dispositivo, você precisa dos certificados correspondentes no computador cliente para autenticar e se comunicar com o dispositivo.

Advertências

  • Os certificados do ponto de extremidade precisam estar no formato .pfx com uma chave privada. A cadeia de assinatura deve estar no formato DER ( .cer extensão de arquivo).

  • Quando você usa seus próprios certificados de ponto de extremidade, eles podem ser certificados individuais ou certificados de vários domínios.

  • Se você estiver usando sua própria cadeia de assinatura, o certificado de cadeia de assinatura deve ser carregado antes de carregar o certificado de ponto de extremidade.

  • Estes certificados devem ser alterados se o nome do dispositivo ou os nomes de domínio DNS forem alterados.

  • Pode-se usar um certificado de ponto de extremidade curinga.

  • As propriedades dos certificados de ponto de extremidade são semelhantes às de um certificado SSL típico.

  • Use a tabela a seguir ao criar um certificado de ponto de extremidade:

    Tipo Nome da entidade (SN) Nome alternativo da entidade (SAN) Exemplo de nome da entidade
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    management.mydevice1.microsoftdatabox.com
    Armazenamento de blobs *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Certificado único de várias SANs para ambos os pontos de extremidade <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>
    mydevice1.microsoftdatabox.com

Certificados de Interface do Usuário locais

Você pode acessar a IU da Web local do seu dispositivo usando um navegador. Para garantir que essa comunicação é segura, faça upload do seu próprio certificado.

Advertências

  • O certificado de IU local também é carregado em um formato .pfx com uma chave privada que pode ser exportada.

  • Depois de carregar o certificado de IU local, é necessário reiniciar o navegador e limpar o cache. Consulte as instruções específicas do seu navegador.

    Tipo Nome da entidade (SN) Nome alternativo da entidade (SAN) Exemplo de nome da entidade
    IU local <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com

Certificados do dispositivo IoT Edge

Seu dispositivo também é um dispositivo IoT com a computação habilitada por um dispositivo do IoT Edge conectado a ele. Você também pode carregar certificados do IoT Edge usando qualquer conexão segura entre o dispositivo do IoT Edge e os dispositivos downstream que podem se conectar a ele.

O dispositivo tem certificados autoassinados que podem ser usados se você quiser usar apenas o cenário de computação com o dispositivo. No entanto, se o dispositivo estiver conectado a dispositivos downstream, você precisa usar seus próprios certificados.

Existem três certificados IoT Edge que você precisa instalar para habilitar esta relação de confiança:

  • Autoridade de certificação raiz ou a autoridade certificadora do proprietário
  • Autoridade certificadora do dispositivo
  • Certificado da chave do dispositivo

Advertências

  • Os certificados de IoT Edge são carregados no formato .pem.

Para saber mais sobre certificados IoT Edge, confira Detalhes do certificado Azure IoT Edge e Criar certificados de produção do IoT Edge.

Certificados do Kubernetes

Os certificados do Kubernetes a seguir podem ser usados com seu dispositivo Azure Stack Edge.

  • Certificado de registro de contêiner de borda: se o dispositivo tiver um registro de contêiner do Edge, você precisará de um certificado de registro de contêiner do Edge para proteger a comunicação com o cliente que está acessando o registro no dispositivo.
  • Certificado do ponto de extremidade do painel: você precisará de um certificado de ponto de extremidade de painel para acessar o painel do Kubernetes em seu dispositivo.

Advertências

  • O certificado do Registro de Contêiner de Borda deverá:

    • Ser um certificado em formato PEM.
    • Conter SAN (nome alternativo da entidade) ou CN (CName) do tipo: *.<endpoint suffix> ou ecr.<endpoint suffix>. Por exemplo: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com
  • O certificado do painel deverá:

    • Ser um certificado em formato PEM.
    • Conter SAN (nome alternativo da entidade) ou CN (CName) do tipo: *.<endpoint-suffix> ou kubernetes-dashboard.<endpoint-suffix>. Por exemplo: *.dbe-1d6phq2.microsoftdatabox.com ou kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Certificados VPN

Se a VPN (ponto a site) estiver configurada em seu dispositivo, você poderá trazer seu próprio certificado de VPN para garantir que a comunicação seja confiável. O certificado raiz é instalado no gateway de VPN do Azure e os certificados de cliente são instalados em cada computador cliente que se conecta a uma rede virtual usando ponto a site.

Advertências

  • O certificado de VPN deve ser carregado no formato .pfx com uma chave privada.
  • O certificado de VPN não depende do nome, número de série ou configuração do dispositivo. Ele requer apenas o FQDN externo.
  • Certifique-se de que o OID do cliente esteja definido.

Para obter mais informações, consulte Gerar e exportar certificados para ponto a site usando o PowerShell.

Certificados Wi-Fi

Se o dispositivo estiver configurado para operar em uma rede sem fio WPA2-Enterprise, você também precisará de um certificado de Wi-Fi para qualquer comunicação que ocorra pela rede sem fio.

Advertências

  • O certificado de Wi-Fi deve ser carregado como o formato .pfx com uma chave privada.
  • Certifique-se de que o OID do cliente esteja definido.

Certificados de sessão de suporte

Se seu dispositivo estiver enfrentando problemas, abra uma sessão de suporte remoto do PowerShell no dispositivo para solucioná-los. Para habilitar uma comunicação segura e criptografada dessa sessão de suporte, você pode fazer o upload de um certificado.

Advertências

  • Verifique se o .pfxcertificado correspondente à chave privada está instalado no computador cliente, usando a ferramenta de descriptografia.

  • Verifique se o campo Uso de Chave do certificado não é Assinatura de Certificado. Para verificar isso, clique com o botão direito do mouse no certificado, escolha Abrir e na guia Detalhes, localize Uso da Chave.

  • O certificado de sessão de suporte deve ser fornecido no formato DER com uma extensão .cer.

Próximas etapas

Examine os requisitos de certificado.