Criar certificados para o Azure Stack Edge Pro usando a ferramenta Readiness Checker do Azure Stack Hub

APLICA-SE A:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro R Azure Stack Edge Mini R

Este artigo descreve como criar certificados para seu Azure Stack Edge Pro usando a ferramenta Readiness Checker do Azure Stack Hub.

Usando a ferramenta Readiness Checker do Azure Stack Hub

Use a ferramenta Readiness Checker do Azure Stack Hub para criar CSRs (solicitações de assinatura de certificado) para uma implantação de dispositivo do Azure Stack Edge Pro. Você pode criar essas solicitações depois de fazer um pedido do dispositivo Azure Stack Edge Pro e aguardar a chegada do dispositivo.

Observação

Use essa ferramenta somente para fins de teste ou desenvolvimento, e não para dispositivos de produção.

Você pode usar a ferramenta Readiness Checker do Azure Stack Hub (AzsReadinessChecker) para solicitar os seguintes certificados:

• Certificado do Azure Resource Manager
• Certificados de IU local
• Certificado de nó
• Certificado de blob
• Certificado de VPN

Pré-requisitos

Para criar CSRs para a implantação do dispositivo Azure Stack Edge Pro, verifique se:

• Você tem um cliente executando o Windows 10 ou o Windows Server 2016 ou posterior.
• Você baixou a ferramenta Readiness Checker do Microsoft Azure Stack Hub do Galeria do PowerShell neste sistema.
• Você tem as seguintes informações para os certificados:
  • Nome do dispositivo
  • Número de série do nó
  • FQDN (nome de domínio totalmente qualificado) externo

Gerar solicitações de assinatura de certificado

Use estas etapas para preparar os certificados de dispositivo Azure Stack Edge Pro:

1. Execute o PowerShell como administrador (5.1 ou posterior).

2. Instale a ferramenta Readiness Checker do Azure Stack Hub. No prompt do PowerShell, digite:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Para obter a versão instalada, digite:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Crie um diretório para todos os certificados se você ainda não tiver um. Tipo:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Para criar uma solicitação de certificado, forneça as informações a seguir. Se você estiver gerando um certificado de VPN, algumas dessas entradas não se aplicarão.

   Entrada	Descrição
   OutputRequestPath	O caminho do arquivo no cliente local em que você deseja que as solicitações de certificado sejam criadas.
   DeviceName	O nome de seu dispositivo na página Dispositivo na IU da Web local do dispositivo. Esse campo não é necessário para um certificado de VPN.
   NodeSerialNumber	O Node serial number do nó do dispositivo mostrado na página Visão geral na IU da Web local do dispositivo. Esse campo não é necessário para um certificado de VPN.
   ExternalFQDN	O valor DNS domain na página Dispositivo na IU da Web local do dispositivo.
   RequestType	O tipo de solicitação pode ser para MultipleCSR – certificados diferentes para vários pontos de extremidade ou SingleCSR – um certificado para todos os pontos de extremidade. Esse campo não é necessário para um certificado de VPN.

   Para todos os certificados, exceto o certificado de VPN, digite:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Se estiver criando um certificado de VPN, digite:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. Você encontrará os arquivos de solicitação do certificado no diretório especificado no parâmetro OutputRequestPath acima. Ao usar o parâmetro MultipleCSR, você verá estes quatro arquivos com a extensão .req:

   Nomes de arquivo	Tipo de solicitação de certificado
   Começando com seu DeviceName	Solicitação de certificado da IU da Web local
   Começando com seu NodeSerialNumber	Solicitação de certificado de nó
   A partir do login	Solicitação de certificado de ponto de extremidade do Azure Resource Manager
   A partir do wildcard	Solicitação de certificado de armazenamento de blobs. Contém um caractere curinga porque abrange todas as contas de armazenamento que você pode criar no dispositivo.
   A partir do AzureStackEdgeVPNCertificate	Solicitação de certificado de cliente VPN.

   Você também verá uma pasta INF. Ela contém um arquivo de informações management.<edge-devicename> em texto não criptografado explicando os detalhes do certificado.

6. Envie esses arquivos para sua autoridade de certificação (interna ou pública). Verifique se sua autoridade de certificação gera certificados, usando a solicitação gerada, que atendam aos requisitos de certificado do Azure Stack Edge Pro para certificados de nó, certificados de ponto de extremidade e certificados da IU local.

Preparar certificados para implantação

Os arquivos de certificado obtidos da CA (autoridade de certificação) devem ser importados e exportados com propriedades que correspondem aos requisitos de certificado do dispositivo Azure Stack Edge Pro. Conclua as etapas a seguir no mesmo sistema em que você gerou as solicitações de assinatura de certificado.

• Para importar os certificados, siga as etapas em Importar certificados nos clientes acessando seu dispositivo Azure Stack Edge Pro.

• Para exportar os certificados, siga as etapas em Exportar certificados do cliente acessando o dispositivo Azure Stack Edge Pro.

Validar certificados

Primeiro, você gerará uma estrutura de pastas apropriada e colocará os certificados nas pastas correspondentes. Depois, você validará os certificados usando a ferramenta.

1. Execute o PowerShell como administrador.

2. Para gerar a estrutura de pastas apropriada, no prompt, digite:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Converta a senha PFX em uma cadeia de caracteres segura. Tipo:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Em seguida, valide os certificados. Tipo:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Próximas etapas

Carregar certificados em seu dispositivo.