Отправка, импорт, экспорт и удаление сертификатов на GPU Azure Stack Edge Pro

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:Yes for Pro GPU SKUAzure Stack Edge Pro — GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Чтобы обеспечить безопасное и надежное взаимодействие между вашим устройством Azure Stack Edge и клиентами, которые к нему подключаются, можно использовать самозаверяющие сертификаты или собственные сертификаты. В этой статье описывается, как управлять этими сертификатами, включая отправку, импорт и экспорт этих сертификатов. Вы также можете просмотреть даты окончания срока действия сертификата и удалить старые сертификаты подписи.

Дополнительные сведения о создании этих сертификатов см. в статье Создание сертификатов с помощью Azure PowerShell.

Отправка сертификатов на устройство

Если вы используете собственные сертификаты, то сертификаты, созданные для устройства по умолчанию, находятся в личном хранилище на вашем клиенте. Эти сертификаты на вашем клиенте необходимо экспортировать в файлы соответствующего формата, которые затем можно отправить на устройство.

Необходимые компоненты

Перед отправкой корневых сертификатов и сертификатов конечных точек на устройство убедитесь, что сертификаты экспортированы в соответствующем формате.

Отправка сертификатов

Чтобы отправить корневые сертификаты и сертификаты конечных точек на устройство, используйте пункт + Добавить сертификат на странице сертификатов в локальном пользовательском веб-интерфейсе. Выполните следующие действия:

  1. Сначала передайте корневой сертификат. В локальном веб-интерфейсе перейдите к сертификатам.

  2. Щелкните элемент + Add certificate (Добавление сертификата).

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. Сохраните сертификат.

Отправка сертификата конечной точки

  1. Затем передайте сертификаты конечной точки.

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    Выберите файлы сертификатов в формате PFX и введите пароль, указанный при экспорте сертификата. Для применения сертификата Azure Resource Manager может потребоваться несколько минут.

    Если вы пытаетесь передать сертификаты конечной точки, когда цепочка подписывания еще не успела обновиться, то получите сообщение об ошибке.

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    Вернитесь назад и передайте сертификат цепочки подписывания, а затем передайте и примените сертификаты конечной точки.

Важно!

При изменении имени устройства или домена DNS необходимо создать новые сертификаты. После этого следует обновить сертификаты клиентов и сертификаты устройств с учетом нового имени устройства и домена DNS.

Отправка сертификатов Kubernetes

Сертификаты Kubernetes можно использовать для реестра контейнеров Edge или для панели мониторинга Kubernetes. В каждом случае необходимо отправить сертификат и файл ключа. Выполните следующие действия, чтобы создать и отправить сертификаты Kubernetes:

  1. Вы будете использовать openssl для создания сертификата панели мониторинга Kubernetes или реестра контейнеров Edge. Не забудьте установить opensl в системе, используемой для создания сертификатов. В системе Windows для установки opensslможно использовать Chocolatey. После установки Chocolatey откройте PowerShell и введите следующее:

    choco install openssl

  2. Используется openssl для создания этих сертификатов. cert.pem Создается файл сертификата и key.pem файл ключа.

    • Для реестра контейнеров Edge используйте следующую команду:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Пример выходных данных:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Для сертификата панели мониторинга Kubernetes используйте следующую команду:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Пример выходных данных:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Отправьте сертификат Kubernetes и соответствующий файл ключа, созданный ранее.

    • Для реестра контейнеров Edge

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Панель мониторинга Kubernetes

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

Импорт сертификатов на клиенте, который обращается к устройству

Можно использовать сертификаты, созданные устройством, или собственные сертификаты. При использовании сертификатов, созданных устройством, необходимо скачать сертификаты на клиент, прежде чем сможете импортировать их в соответствующее хранилище сертификатов. См. раздел о скачивании сертификатов на клиент, обращающийся к устройству.

В обоих случаях сертификаты, созданные и переданные на устройство, необходимо импортировать на клиенте Windows (обращающемся к устройству) в соответствующее хранилище сертификатов.

Импорт сертификатов в формате DER

Чтобы импортировать сертификаты на клиенте Windows, выполните следующие действия.

  1. Щелкните правой кнопкой мыши файл и выберите Установить сертификат. Запустится мастер импорта сертификатов.

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. В качестве расположения хранилища выберите локальный компьютер, а затем нажмите кнопку Далее.

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. Выберите Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

    • Для импорта в личное хранилище перейдите в личное хранилище удаленного узла, а затем нажмите кнопку Далее.

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • Чтобы импортировать в доверенное хранилище, перейдите в центр доверенных корневых сертификатов и нажмите кнопку Далее.

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. Выберите Готово. Появится сообщение об успешном импорте.

Просмотр срока действия сертификата

Если вы используете собственные сертификаты, их срок действия обычно истекает через год или через 6 месяцев. Чтобы просмотреть дату окончания срока действия сертификата, перейдите на страницу сертификатов в локальном пользовательском веб-интерфейсе устройства. Выберите конкретный сертификат и просмотрите дату окончания срока действия этого сертификата.

Удаление сертификата цепочки подписей

С устройства можно удалить старый сертификат цепочки подписывания с истекшим сроком действия. При этом все зависимые сертификаты в цепочке подписывания больше не будут действительными. Удалить можно только сертификаты цепочки подписей.

Чтобы удалить сертификат цепочки подписей с устройства Azure Stack Edge, сделайте следующее:

  1. В локальном веб-интерфейсе устройства перейдите к сертификатам КОНФИГУРАЦИи>.

  2. Выберите сертификат цепочки подписей, который требуется удалить. Затем выберите Удалить.

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. На панели "Удалить сертификат" проверьте отпечаток сертификата и нажмите кнопку "Удалить". Удаление сертификатов невозможно отменить.

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    После завершения удаления сертификата все зависимые сертификаты в цепочке подписывания больше не являются допустимыми.

  4. Чтобы просмотреть обновления состояния, обновите экран. Сертификат цепочки подписей больше не будет отображаться, а зависимые сертификаты будут иметь недопустимое состояние.

Следующие шаги

Узнайте, как устранять проблемы с сертификатом.