Carregar, importar, exportar e excluir certificados no Azure Stack Edge Pro GPU

  • Artigo

APLICA-SE A:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro R Azure Stack Edge Mini RYes for Mini R SKU

Para garantir a comunicação segura e confiável entre seu dispositivo do Azure Stack Edge e os clientes que se conectam a ele, você pode usar certificados autoassinados ou trazer seus próprios certificados. Este artigo descreve como gerenciar esses certificados, incluindo como carregá-los, importá-los e exportá-los. Veja também as datas de validade dos certificados e exclua os certificados de autenticação antigos.

Para saber mais sobre como criar esses certificados, confira Criar certificados usando o Azure PowerShell.

Carregar certificados em seu dispositivo

Ao trazer seus próprios certificados, os certificados que você criou para seu dispositivo residirão, por padrão, no Repositório pessoal em seu cliente. Esses certificados precisam ser exportados do seu cliente em arquivos de formato apropriado que possam ser carregados em seu dispositivo.

Pré-requisitos

Para carregar seus certificados raiz e certificados de ponto de extremidade no dispositivo, verifique se os certificados foram exportados no formato apropriado.

Fazer upload dos certificados

Para carregar certificados raiz e de ponto de extremidade no dispositivo use a opção + Adicionar certificado na página Certificados, na IU da Web local. Siga estas etapas:

  1. Primeiro, faça upload do certificado raiz. No IU da Web local, vá até Certificados.

  2. Selecione + Adicionar certificado.

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. Salvar o certificado.

Carregar o certificado do ponto de extremidade

  1. Em seguida, carregue os certificados do ponto de extremidade.

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    Escolha os arquivos de certificado no formato . pfx e insira a senha que você forneceu quando exportou o certificado. O certificado Azure Resource Manager pode levar alguns minutos para ser aplicado.

    Se a cadeia de assinatura não for atualizada primeiro e você tentar carregar os certificados de ponto de extremidade, você recebe um erro.

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    Volte e carregue o certificado da cadeia de assinatura e, em seguida, carregue e aplique os certificados do ponto de extremidade.

Importante

Se o nome do dispositivo ou o domínio DNS forem alterados, novos certificados devem ser criados. Os certificados de cliente e os certificados de dispositivo devem ser atualizados com o novo nome de dispositivo e domínio DNS.

Carregar certificados do Kubernetes

Os certificados do Kubernetes podem ser para o Registro de Contêiner da Borda ou para o painel do Kubernetes. Em cada caso, é preciso carregar um certificado e um arquivo de chave. Siga estas etapas para criar e carregar certificados do Kubernetes:

  1. Você usará openssl para criar o certificado do painel do Kubernetes ou do Registro de Contêiner da Borda. Instale o OpenSSL no sistema que você usará para criar os certificados. Em sistemas Windows, você pode usar o Chocolatey para instalar o openssl. Depois de instalar o Chocolatey, abra o PowerShell e digite:

    choco install openssl

  2. Use openssl para criar esses certificados. Um arquivo de certificado cert.pem e um arquivo de chave key.pem são criados.

    • Para o Registro de Contêiner da Borda, use o seguinte comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Veja um exemplo de saída:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Para o certificado do painel do Kubernetes, use o seguinte comando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Veja um exemplo de saída:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Carregue o certificado do Kubernetes e o arquivo de chave correspondente que você gerou anteriormente.

    • Para o Registro de Contêiner da Borda

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Para o painel do Kubernetes

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

Importar certificados no cliente que está acessando o dispositivo

Você pode usar certificados gerados pelo dispositivo ou trazer seus próprios certificados. Ao usar certificados gerados pelo dispositivo, baixe os certificados no cliente para importá-los para o repositório de certificados apropriado. Veja Baixar certificados no cliente que acessa o dispositivo.

Em ambos os casos, os certificados que você criou e carregou em seu dispositivo devem ser importados no cliente do Windows (que está acessando o dispositivo) no repositório de certificados apropriado.

Importar certificados no formato DER

Para importar certificados em um cliente Windows, execute as seguintes etapas:

  1. Clique com o botão direito do mouse no arquivo e selecione Instalar certificado. Essa ação inicia o Assistente para Importação de Certificados.

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. Em Localização do repositório, selecione Computador Local e depois clique em Avançar.

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. Selecione Colocar todos os certificados no seguinte repositório e depois selecione Procurar.

    • Para importar para o repositório pessoal, navegue até o Repositório pessoal do seu host remoto e depois selecione Avançar.

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • Para importar para o repositório confiável, navegue até a Autoridade de Certificado Raiz Confiável e selecione Avançar.

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. Selecione Concluir. Será exibida uma mensagem que informa que a importação foi bem-sucedida.

Visualizar vencimento do certificado

Se estiver usando seus próprios certificados, eles expiram normalmente em 1 ano ou 6 meses. Para visualizar a data de expiração de seu certificado, vá até a página Certificados na IU da Web local do seu dispositivo. Ao selecionar um certificado específico, pode visualizar a data de validade de eu certificado.

Excluir um certificado da cadeia de assinatura

Você pode excluir um certificado da cadeia de assinatura antigo e expirado do seu dispositivo. Quando você fizer isso, todos os certificados dependentes na cadeia de assinatura deixarão de ser válidos. Somente os certificados de cadeia de assinatura podem ser excluídos.

Para excluir um certificado da cadeia de assinatura do dispositivo Azure Stack Edge, execute as seguintes etapas:

  1. Na IU da Web local do dispositivo, acesse CONFIGURAÇÃO>Certificados.

  2. Selecione o certificado da cadeia de assinatura que deseja excluir. Em seguida, selecione Excluir.

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. No painel Excluir certificado, verifique a impressão digital do certificado e escolha Excluir. A exclusão do certificado não pode ser revertida.

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    Após a conclusão da exclusão do certificado, todos os certificados dependentes na cadeia de assinatura deixarão de ser válidos.

  4. Para ver as atualizações de status, atualize a exibição. O certificado da cadeia de assinatura não será mais exibido, e os certificados dependentes terão o status Não válido.

Próximas etapas

Saiba como Solucionar problemas de certificado