Использование сертификатов с устройством GPU Azure Stack Edge Pro

ПРИМЕНИМО К:Yes for Pro GPU SKU Azure Stack Edge Pro — GPUAzureYes for Pro 2 SKU Stack Edge Pro 2AzureYes for Pro R SKU Stack Edge Pro RAzureYes for Mini R SKU Stack Edge Mini R

В этой статье описывается процедура создания собственных сертификатов с помощью командлетов Azure PowerShell. В статье содержатся рекомендации, которые необходимо выполнить, если планируете использовать собственные сертификаты на устройства Azure Stack Edge.

Сертификаты гарантируют, что взаимодействие между устройством и клиентами, обращающимися к устройству, является доверенным, и вы отправляете зашифрованную информацию на правильный сервер. Когда вы впервые настраиваете свое устройство Azure Stack Edge, автоматически создаются самозаверяющие сертификаты. При необходимости можно использовать собственные сертификаты.

Чтобы создать собственные сертификаты для устройства, можно использовать один из следующих методов:

  • Используйте командлеты Azure PowerShell.
  • Используйте средство проверки готовности Azure Stack Hub для создания запросов на подпись сертификатов, которые помогут вашему центру сертификации выдать сертификаты.

В этой статье описывается только создание собственных сертификатов с помощью командлетов Azure PowerShell.

Предварительные требования

Прежде чем использовать собственные сертификаты, убедитесь, что:

Создание сертификатов

В следующем разделе описывается процедура создания сертификатов цепочки подписывания и сертификатов конечных точек.

Рабочий процесс сертификата

У вас будет определенный способ создания сертификатов для устройств, работающих в вашей среде. Вы можете использовать сертификаты, предоставленные вашим ИТ-администратором.

Вы также можете использовать Windows PowerShell для создания сертификатов в локальной системе, но только в целях тестирования и разработки. При создании сертификатов для клиента следуйте приведенным ниже инструкциям.

  1. Вы можете создавать любые из следующих типов сертификатов.

    • Создайте один сертификат для использования с одним полным доменным именем (FQDN). Например, mydomain.com.
    • Создайте сертификат с подстановочными знаками для защиты основного доменного имени и нескольких поддоменов. Например, *mydomain.com.
    • Создайте сертификат альтернативного имени субъекта (SAN), который будет охватывать несколько доменных имен.
  2. Если вы используете собственный сертификат, вам потребуется корневой сертификат для цепочки подписывания. См. инструкции по созданию сертификатов цепочки подписывания.

  3. Затем можно создать сертификаты конечных точек для локального пользовательского интерфейса устройства, BLOB-объекта и Azure Resource Manager. Можно создать три отдельных сертификата для устройства, BLOB-объекта и Azure Resource Manager или один сертификат для всех трех конечных точек. Подробные инструкции см. в разделе Создание сертификатов подписывания и сертификатов конечных точек.

  4. Независимо от того, создаете ли вы три отдельных сертификата или один общий, указывайте имена субъектов (SN) и альтернативные имена субъектов (SAN) в соответствии с инструкциями для каждого типа сертификата.

Создание сертификата цепочки подписывания

Эти сертификаты можно создать с помощью Windows PowerShell, работающего в режиме администратора. Сертификаты, созданные таким образом, следует использовать только в целях разработки или тестирования.

Сертификат цепочки подписывания необходимо создать только один раз. Другие сертификаты конечной точки будут ссылаться на этот сертификат для подписывания.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

Создание подписанных сертификатов конечной точки

Эти сертификаты можно создать с помощью Windows PowerShell, работающего в режиме администратора.

В этих примерах сертификаты конечных точек создаются для устройства с именем устройства: — имя устройства: DBE-HWDC1T2 — домен DNS: microsoftdatabox.com

Замените их на имя и домен DNS для своего устройства, чтобы создать сертификаты для него.

Сертификат конечной точки BLOB-объекта

Создайте сертификат для конечной точки BLOB-объекта в своем личном хранилище.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Сертификат конечной точки Azure Resource Manager

Создайте сертификат для конечных точек Azure Resource Manager в своем личном хранилище.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Сертификат локального пользовательского веб-интерфейса устройства

Создайте сертификат для локального пользовательского веб-интерфейса устройства в своем личном хранилище.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Один сертификат с несколькими SAN для всех конечных точек

Создайте один сертификат для всех конечных точек в своем личном хранилище.

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

После создания сертификатов следует передать эти сертификаты на ваше устройство GPU Azure Stack Edge Pro.

Следующие шаги

Отправка сертификатов на устройство.