Поделиться через


Создание сертификатов для GPU Azure Stack Edge Pro с помощью средства проверки готовности Azure Stack Hub

ОБЛАСТЬ ПРИМЕНЕНИЯ: Да для SKU GPU ProAzure Stack Edge Pro — GPUДа для SKU Pro 2Azure Stack Edge Pro 2Да для SKU R ProAzure Stack Edge Pro RДа для номера SKU Mini RAzure Stack Edge Mini R

В этой статье описывается, как создать сертификаты для Azure Stack Edge Pro с помощью средства проверки готовности Azure Stack Hub.

Использование средства проверки готовности Azure Stack Hub

Средство проверки готовности Azure Stack Hub можно использовать для создания запросов на подпись сертификатов (CSR) для развертывания устройств Azure Stack Edge Pro. Эти запросы можно создать после размещения заказа на устройство Azure Stack Edge Pro и дождаться прибытия устройства.

Примечание.

Используйте это средство только для целей тестирования и разработки, а не для рабочих устройств.

Вы можете использовать средство проверки готовности Azure Stack Hub (AzsReadinessChecker) для запроса следующих сертификатов.

  • Сертификат Azure Resource Manager
  • Сертификат локального пользовательского интерфейса
  • Сертификат узла
  • Сертификат BLOB-объекта
  • Сертификат VPN

Необходимые компоненты

Чтобы создать CSR для развертывания устройства Azure Stack Edge Pro, убедитесь в следующем:

  • У вас есть клиент под управлением Windows 10 или Windows Server 2016 или более поздней версии.
  • Вы скачали средство проверки готовности Microsoft Azure Stack Hub из коллекции PowerShell для этой системы.
  • У вас есть следующие сведения о сертификатах:
    • Наименование устройства
    • Серийный номер узла
    • Внешнее полное доменное имя (FQDN)

Создание запросов на подпись сертификата

Выполните следующую инструкцию, чтобы подготовить сертификаты для устройства Azure Stack Edge Pro.

  1. Запустите PowerShell (5.1 или более поздней версии) от имени администратора.

  2. Установите средство проверки готовности Azure Stack Hub. В командной строке PowerShell введите следующее:

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker
    

    Чтобы получить установленную версию, введите:

    Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
    
  3. Создайте каталог для всех сертификатов, если у вас его еще нет. Тип:

    New-Item "C:\certrequest" -ItemType Directory
    
  4. Чтобы создать запрос сертификата, укажите следующие сведения. При создании VPN-сертификата некоторые из этих входных данных не применяются.

    Входные данные Description
    OutputRequestPath Путь к файлу на локальном клиенте, на котором должны быть созданы запросы сертификатов.
    DeviceName Имя устройства на странице "Устройство" в локальном веб-интерфейсе устройства.
    Это поле не требуется для VPN-сертификата.
    NodeSerialNumber Узел Node serial number устройства, показанный на странице обзора в локальном веб-интерфейсе устройства.
    Это поле не требуется для VPN-сертификата.
    ExternalFQDN Значение DNS domain на странице "Устройство" в локальном веб-интерфейсе устройства.
    RequestType Типом запроса может быть MultipleCSR— разные сертификаты для разных конечных точек или SingleCSR — один сертификат для всех конечных точек.
    Это поле не требуется для VPN-сертификата.

    Для всех сертификатов, кроме VPN-сертификата, введите:

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeDEVICE'
        DeviceName = 'myTEA1'
        NodeSerialNumber = 'VM1500-00025'
        externalFQDN = 'azurestackedge.contoso.com'
        requestType = 'MultipleCSR'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    

    При создании VPN-сертификата введите:

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeVPN'
        externalFQDN = 'azurestackedge.contoso.com'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    
  5. Файлы запросов сертификатов находятся в каталоге,который указан выше в параметре OutputRequestPath. При использовании параметра MultipleCSR вы увидите следующие четыре файла с расширением .req:

    Имена файлов Тип запроса сертификата
    Начинается с DeviceName Запрос сертификата для локального пользовательского веб-интерфейса
    Начинается с NodeSerialNumber Запрос сертификата узла
    Начиная с login Запрос сертификата конечной точки Azure Resource Manager
    Начиная с wildcard Запрос сертификата хранилища BLOB-объектов. Он содержит подстановочный знак, так как охватывает все учетные записи хранения, которые можно создать на устройстве.
    Начиная с AzureStackEdgeVPNCertificate Запрос сертификата VPN-клиента

    Вы также увидите папку INF. Это содержит управление.<Файл сведений об имени> пограничного устройства в ясном тексте, объясняющий сведения о сертификате.

  6. Отправьте эти файлы в центр сертификации (внутренний или общедоступный). Убедитесь, что центр сертификации генерирует с помощью созданного запроса сертификаты, отвечающие требованиям Azure Stack Edge Pro для сертификатов узлов, сертификатов конечных точек и сертификатов локальных пользовательских интерфейсов.

Подготовка сертификатов к развертыванию

Полученные от центра сертификации файлы сертификатов должны быть импортированы и экспортированы с помощью свойств, которые отвечают требованиям устройства Azure Stack Edge Pro к сертификатам. Выполните следующие действия в той же системе, в которой были созданы запросы на подпись сертификатов.

Проверка сертификатов

Для начала вы должны создать правильную структуру папок и поместить сертификаты в соответствующие папки. Только после этого вы сможете проверить сертификаты с помощью инструмента.

  1. Запустите оболочку PowerShell от имени администратора.

  2. Чтобы создать соответствующую структуру папок, введите в командной строке:

    New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

  3. Преобразуйте пароль PFX в защищенную строку. Тип:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

  4. Затем проверьте сертификаты. Тип:

    Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Следующие шаги

Отправка сертификатов на устройство.