Criar certificados para sua GPU do Azure Stack Edge Pro usando a ferramenta Azure Stack Hub Readiness Checker

APLICA-SE A: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Este artigo descreve como criar certificados para o Azure Stack Edge Pro usando a ferramenta Azure Stack Hub Readiness Checker.

Usando a ferramenta Azure Stack Hub Readiness Checker

Use a ferramenta Azure Stack Hub Readiness Checker para criar CSRs (Solicitações de Assinatura de Certificado) para uma implantação de dispositivo do Azure Stack Edge Pro. Você pode criar essas solicitações depois de fazer um pedido para o dispositivo Azure Stack Edge Pro e aguardar a chegada do dispositivo.

Nota

Use esta ferramenta apenas para fins de teste ou desenvolvimento e não para dispositivos de produção.

Você pode usar a ferramenta Azure Stack Hub Readiness Checker (AzsReadinessChecker) para solicitar os seguintes certificados:

• Certificado do Azure Resource Manager
• Certificado de interface do usuário local
• Certificado de nó
• Certificado de Blob
• Certificado VPN

Pré-requisitos

Para criar CSRs para a implantação do dispositivo Azure Stack Edge Pro, certifique-se de que:

• Você tem um cliente executando o Windows 10 ou o Windows Server 2016 ou posterior.
• Você baixou a ferramenta Microsoft Azure Stack Hub Readiness Checker da Galeria do PowerShell neste sistema.
• Você tem as seguintes informações para os certificados:
  • Nome do dispositivo
  • Número de série do nó
  • FQDN (nome de domínio externo totalmente qualificado)

Gerar solicitações de assinatura de certificado

Use estas etapas para preparar os certificados de dispositivo do Azure Stack Edge Pro:

1. Execute o PowerShell como administrador (5.1 ou posterior).

2. Instale a ferramenta Azure Stack Hub Readiness Checker. No prompt do PowerShell, digite:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Para obter a versão instalada, digite:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Crie um diretório para todos os certificados, se ainda não tiver um. Tipo:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Para criar uma solicitação de certificado, forneça as seguintes informações. Se você estiver gerando um certificado VPN, algumas dessas entradas não se aplicam.

   Entrada	Description
   OutputRequestPath	O caminho do arquivo em seu cliente local onde você deseja que as solicitações de certificado sejam criadas.
   DeviceName	O nome do dispositivo na página Dispositivo na interface do usuário da Web local do dispositivo. Este campo não é obrigatório para um certificado VPN.
   NodeSerialNumber	O Node serial number do nó do dispositivo mostrado na página Visão geral na interface do usuário da Web local do seu dispositivo. Este campo não é obrigatório para um certificado VPN.
   ExternalFQDN	O DNS domain valor na página Dispositivo na interface do usuário da Web local do seu dispositivo.
   RequestType	O tipo de solicitação pode ser para MultipleCSR - certificados diferentes para os vários pontos de extremidade, ou SingleCSR - um único certificado para todos os pontos de extremidade. Este campo não é obrigatório para um certificado VPN.

   Para todos os certificados, exceto o certificado VPN, digite:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Se você estiver criando um certificado VPN, digite:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. Você encontrará os arquivos de solicitação de certificado no diretório especificado no parâmetro OutputRequestPath acima. Ao usar o MultipleCSR parâmetro, você verá os seguintes quatro arquivos com a .req extensão:

   Nomes de ficheiros	Tipo de pedido de certificado
   Começando pelo seu DeviceName	Solicitação de certificado de interface do usuário da Web local
   Começando pelo seu NodeSerialNumber	Solicitação de certificado de nó
   Começando com login	Solicitação de certificado de ponto de extremidade do Azure Resource Manager
   Começando com wildcard	Solicitação de certificado de armazenamento de Blob. Ele contém um curinga porque cobre todas as contas de armazenamento que você pode criar no dispositivo.
   Começando com AzureStackEdgeVPNCertificate	Solicitação de certificado de cliente VPN.

   Você também verá uma pasta INF. Isso contém um gerenciamento.<arquivo de informações edge-devicename> em texto não criptografado explicando os detalhes do certificado.

6. Envie esses arquivos para sua autoridade de certificação (interna ou pública). Certifique-se de que sua autoridade de certificação gere certificados, usando sua solicitação gerada, que atendam aos requisitos de certificado do Azure Stack Edge Pro para certificados de nó, certificados de ponto de extremidade e certificados de interface do usuário local.

Preparar certificados para implantação

Os arquivos de certificado que você obtém de sua autoridade de certificação (CA) devem ser importados e exportados com propriedades que correspondam aos requisitos de certificado do dispositivo Azure Stack Edge Pro. Conclua as etapas a seguir no mesmo sistema em que você gerou as solicitações de assinatura de certificado.

• Para importar os certificados, siga as etapas em Importar certificados nos clientes que acessam seu dispositivo Azure Stack Edge Pro.

• Para exportar os certificados, siga as etapas em Exportar certificados do cliente que acessa o dispositivo Azure Stack Edge Pro.

Validar certificados

Primeiro, você gerará uma estrutura de pastas adequada e colocará os certificados nas pastas correspondentes. Só então você validará os certificados usando a ferramenta.

1. Execute o PowerShell como administrador.

2. Para gerar a estrutura de pastas apropriada, no prompt, digite:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Converta a senha PFX em uma cadeia de caracteres segura. Tipo:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Em seguida, valide os certificados. Tipo:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Próximos passos

Carregue certificados no seu dispositivo.