Что такое сертификаты в Azure Stack Edge Pro GPU

ОБЛАСТЬ ПРИМЕНЕНИЯ:Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge ProAzure Stack Edge Mini R

В этой статье описываются типы сертификатов, которые могут быть установлены на устройстве Azure Stack Edge Pro GPU. Кроме того, в ней приводятся сведения о каждом типе сертификата.

Сведения о сертификатах

Сертификат обеспечивает связь между открытым ключом и сущностью (такой как доменное имя), которая подписана (проверена) доверенным сторонним субъектом (таким как центр сертификации). Сертификат предоставляет удобный способ распространения доверенных открытых ключей шифрования. Таким образом, сертификаты гарантируют, что ваша связь является доверенной, и вы отправляете зашифрованную информацию на правильный сервер.

Развертывание сертификатов на устройстве

На устройстве Azure Stack Edge можно использовать самозаверяющие сертификаты или собственные сертификаты.

• Сертификаты, созданные устройством. При первоначальной настройке устройства автоматически создаются самозаверяемые сертификаты. При необходимости эти сертификаты можно повторно создать с помощью локального пользовательского веб-интерфейса. После повторного создания сертификатов скачайте и импортируйте их в клиентах, используемых для доступа к устройству.

• Собственные сертификаты. При необходимости можно использовать собственные сертификаты. Если вы планируете использовать собственные сертификаты, необходимо придерживаться определенных рекомендаций.

  • Сначала изучите типы сертификатов, которые можно использовать с устройством Azure Stack Edge, в этой статье.
  • Затем ознакомьтесь с требованиями для каждого типа сертификата.
  • Затем можно будет создать сертификаты с помощью Azure PowerShell или создать сертификаты с помощью средства проверки готовности.
  • Наконец, можно будет преобразовать сертификаты в соответствующий формат, чтобы они были готовы к передаче на устройство.
  • Отправьте сертификаты на устройство.
  • Импортируйте сертификаты в клиентах, которые обращаются к устройству.

Типы сертификатов

Ниже приведены различные типы сертификатов, которые можно использовать на устройстве.

• Сертификаты для подписи

  • Корневой ЦС
  • Средний уровень

• Сертификаты узлов

• Сертификаты конечной точки

  • Сертификаты Azure Resource Manager
  • Сертификаты хранилища BLOB-объектов

• Сертификаты локального пользовательского интерфейса

• Сертификаты устройств IoT

• Сертификаты Kubernetes

  • Сертификат Реестра контейнеров Edge
  • Сертификат панели мониторинга Kubernetes

• Сертификаты Wi-Fi

• Сертификаты VPN

• Сертификаты шифрования

  • Сертификаты сеансов технической поддержки

Каждый тип сертификата подробно описан в следующих разделах.

Сертификаты цепочки подписывания

Это сертификаты для центра, который подписывает сертификаты, или центра сертификатов для подписи.

Типы

Этими сертификатами могут быть корневые сертификаты или промежуточные сертификаты. Корневые сертификаты всегда являются самозаверяющими (т. е. подписывающими сами себя). Промежуточные сертификаты не являются самозаверяющими и подписываются центром подписи.

Предупреждения

• Корневые сертификаты должны быть сертификатами цепочки подписывания.
• Корневые сертификаты можно отправлять на устройство в следующем формате:
  • DER — доступны в виде файла с расширением .cer;
  • в кодировке Base-64 — доступны в виде файла с расширением .cer;
  • P7b — этот формат используется только для сертификатов цепочки подписывания, включающих корневой и промежуточные сертификаты.
• Сертификаты цепочки подписывания всегда отправляются перед отправкой других сертификатов.

Сертификаты узлов

Все узлы на устройстве постоянно взаимодействуют друг с другом и поэтому должны иметь отношение доверия. Сертификаты узлов обеспечивают способ установки этого доверия. Сертификаты узлов также используются при подключении к узлу устройства с помощью удаленного сеанса PowerShell по протоколу HTTPS.

Предупреждения

• Сертификат узла должен быть предоставлен в формате .pfx с закрытым ключом, который можно экспортировать.

• Вы можете создать и передать 1 сертификат узла с подстановочными знаками или 4 сертификата отдельных узлов.

• Сертификат узла необходимо изменить, если изменится домен DNS, но имя устройства останется прежним. Если вы используете свой собственный сертификат узла, вы не сможете изменить серийный номер устройства, вы можете изменить только имя домена.

• При создании сертификата узла используйте для справки следующую таблицу.

  Тип	Имя субъекта (SN)	Альтернативное имя субъекта (SAN)	Пример имени субъекта
  Узел	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

Сертификаты конечной точки

Для доверенного взаимодействия со всеми конечными точками, предоставляемыми устройством, необходим сертификат. К сертификатам конечной точки относятся те, которые необходимы при доступе к Azure Resource Manager и хранилищу BLOB-объектов через интерфейсы REST API.

При использовании собственных подписанных сертификатов также потребуется соответствующая цепочка подписывания сертификата. Помимо сертификатов цепочки подписывания, Azure Resource Manager и BLOB-объектов на устройстве вам также потребуются соответствующие сертификаты на клиентском компьютере для проверки подлинности и обеспечения взаимодействия с устройством.

Предупреждения

• Сертификаты конечной точки должны быть в формате .pfx с закрытым ключом. Цепочка подписывания должна иметь формат DER (файл с расширением .cer).

• При использовании собственных сертификатов конечных точек они могут быть отдельными сертификатами или многодоменными сертификатами.

• При использовании цепочки подписывания необходимо отправить сертификат цепочки подписывания перед отправкой сертификата конечной точки.

• При изменении имени устройства или доменных имен DNS эти сертификаты необходимо изменить.

• Можно использовать сертификат конечной точки с подстановочными знаками.

• Свойства сертификатов конечной точки аналогичны свойствам стандартных сертификатов SSL.

• При создании сертификата конечной точки используйте следующую таблицу.

  Тип	Имя субъекта (SN)	Альтернативное имя субъекта (SAN)	Пример имени субъекта
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Хранилище BLOB-объектов	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  Один сертификат с несколькими SAN для обеих конечных точек	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

Сертификаты локального пользовательского интерфейса

Вы можете обращаться к локальному пользовательскому веб-интерфейсу устройства через браузер. Чтобы обеспечить безопасность взаимодействия, можно отправить собственный сертификат.

Предупреждения

• Сертификат локального пользовательского интерфейса также передается в формате .pfx с закрытым ключом, который можно экспортировать.

• После отправки сертификата локального пользовательского интерфейса необходимо будет перезапустить браузер и очистить кэш. Ознакомьтесь с конкретными инструкциями для вашего браузера.

  Тип	Имя субъекта (SN)	Альтернативное имя субъекта (SAN)	Пример имени субъекта
  Локальный пользовательский интерфейс	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

Сертификаты устройств IoT Edge

Ваше устройство также является устройством Интернета вещей с вычислительными ресурсами, включенными IoT Edge устройством, подключенным к нему. Вы также можете передать сертификаты IoT Edge для безопасного взаимодействия между этим устройством IoT Edge и подчиненными устройствами, которые могут к нему подключаться.

Если вас интересует только сценарий вычислений с помощью этого устройства, то можно использовать самозаверяющие сертификаты, которые оно имеет. Если устройство подключено к подчиненным устройствам, вам потребуется использовать собственные сертификаты.

Для включения этого отношения доверия необходимо установить три сертификата IoT Edge:

• сертификат корневого центра сертификации или центра сертификации владельца;
• сертификат центра сертификации устройства;
• сертификат ключа устройства.

Предупреждения

• Сертификаты IoT Edge передаются в формате .pem.

Дополнительные сведения о сертификатах IoT Edge см. в описании сертификатов Azure IoT Edge и статье Создание рабочих сертификатов IoT Edge.

Сертификаты Kubernetes

С устройством Azure Stack Edge можно использовать следующие сертификаты Kubernetes.

• Сертификат Реестра контейнеров Edge. Если на устройстве есть реестр контейнеров Edge, для безопасного обмена данными с клиентом, который обращается к реестру на устройстве, потребуется сертификат Реестра контейнеров Edge.
• Сертификат конечной точки панели мониторинга. Вам потребуется сертификат конечной точки панели мониторинга, чтобы получить доступ к панели мониторинга Kubernetes на устройстве.

Предупреждения

• Сертификат Реестра контейнеров Edge должен:

  • быть сертификатом в формате PEM;
  • содержать альтернативное имя субъекта (SAN), либо имя CName (CN) типа: *.<endpoint suffix> или ecr.<endpoint suffix>; Пример: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• Сертификат панели мониторинга должен:

  • быть сертификатом в формате PEM;
  • содержать альтернативное имя субъекта (SAN), либо имя CName (CN) типа: *.<endpoint-suffix> или kubernetes-dashboard.<endpoint-suffix>; Пример: *.dbe-1d6phq2.microsoftdatabox.com или kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

Сертификаты VPN

Если vpn (точка — сеть) настроена на вашем устройстве, вы можете использовать собственный сертификат VPN, чтобы убедиться, что обмен данными является доверенным. Корневой сертификат устанавливается в VPN-шлюзе Azure, а сертификаты клиентов устанавливаются на каждом клиентском компьютере, который подключается к виртуальной сети с помощью подключения типа "точка — сеть".

Предупреждения

• Vpn-сертификат должен быть отправлен в формате PFX с закрытым ключом.
• VPN-сертификат не зависит от имени устройства, серийного номера или конфигурации устройства. Для него требуется только внешнее полное доменное имя.
• Убедитесь в том, что задан идентификатор OID клиента.

Дополнительные сведения см. в статье Создание и экспорт сертификатов для подключений "точка — сеть" с помощью PowerShell.

Сертификаты Wi-Fi

Если устройство настроено для работы в беспроводной сети WPA2-Enterprise, вам также потребуется сертификат Wi-Fi для любого обмена данными, который выполняется по беспроводной сети.

Предупреждения

• Сертификат Wi-Fi необходимо передать в формате PFX с закрытым ключом.
• Убедитесь в том, что задан идентификатор OID клиента.

Сертификаты сеансов технической поддержки

Если на устройстве возникли какие-либо проблемы, для их устранения на устройстве может быть открыт удаленный сеанс поддержки PowerShell. Чтобы обеспечить безопасное зашифрованное взаимодействие в этом сеансе технической поддержки, можно отправить сертификат.

Предупреждения

• Убедитесь, что на клиентском компьютере, использующем инструмент расшифровки, установлен соответствующий сертификат .pfx с закрытым ключом.

• Убедитесь, что в поле Key Usage (Использование ключа) для сертификата не указано Certificate Signing (Подписывание сертификатов). Для этого щелкните сертификат правой кнопкой мыши, выберите Открыть и на вкладке сведений найдите поле использования ключа.

• Сертификат сеанса технической поддержки должен быть предоставлен в формате DER с расширением .cer.

Следующие шаги

Ознакомьтесь с требованиями к сертификатам.