Отправка, импорт, экспорт и удаление сертификатов на GPU Azure Stack Edge Pro

ОБЛАСТЬ ПРИМЕНЕНИЯ:Да для SKU GPU ProAzure Stack Edge Pro — GPUДа для SKU Pro 2 SKUAzure Stack Edge Pro 2Да для номера SKUAzure Stack Edge Pro RYes для Mini R SKUAzure Stack Edge Mini R

Чтобы обеспечить безопасное и надежное взаимодействие между вашим устройством Azure Stack Edge и клиентами, которые к нему подключаются, можно использовать самозаверяющие сертификаты или собственные сертификаты. В этой статье описывается, как управлять этими сертификатами, включая отправку, импорт и экспорт этих сертификатов. Вы также можете просмотреть даты окончания срока действия сертификата и удалить старые сертификаты подписи.

Дополнительные сведения о создании этих сертификатов см. в статье Создание сертификатов с помощью Azure PowerShell.

Отправка сертификатов на устройство

Если вы используете собственные сертификаты, то сертификаты, созданные для устройства по умолчанию, находятся в личном хранилище на вашем клиенте. Эти сертификаты необходимо экспортировать на клиент в файлы соответствующего формата, которые затем можно отправить на устройство.

Предварительные требования

Перед отправкой корневых сертификатов и сертификатов конечных точек на устройство убедитесь, что сертификаты экспортированы в соответствующем формате.

Отправка сертификатов

Чтобы отправить корневые сертификаты и сертификаты конечных точек на устройство, используйте пункт + Добавить сертификат на странице сертификатов в локальном пользовательском веб-интерфейсе. Выполните следующие действия.

  1. Сначала передайте корневой сертификат. В локальном пользовательском веб-интерфейсе перейдите в раздел "Сертификаты".

  2. Щелкните элемент + Add certificate (Добавление сертификата).

    Снимок экрана: добавление сертификата при добавлении сертификата цепочки подписей на устройство Azure Stack Edge. Выделена кнопка

  3. Сохраните сертификат.

Отправка сертификата конечной точки

  1. Затем передайте сертификаты конечной точки.

    Снимок экрана: добавление сертификата при добавлении сертификатов конечной точки на устройство Azure Stack Edge. Выделена кнопка

    Выберите файлы сертификатов в формате PFX и введите пароль, указанный при экспорте сертификата. Для применения сертификата Azure Resource Manager может потребоваться несколько минут.

    Если вы пытаетесь передать сертификаты конечной точки, когда цепочка подписывания еще не успела обновиться, то получите сообщение об ошибке.

    Снимок экрана: ошибка

    Вернитесь назад и передайте сертификат цепочки подписывания, а затем передайте и примените сертификаты конечной точки.

Важно!

При изменении имени устройства или домена DNS необходимо создать новые сертификаты. После этого следует обновить сертификаты клиентов и сертификаты устройств с учетом нового имени устройства и домена DNS.

Отправка сертификатов Kubernetes

Сертификаты Kubernetes могут быть для пограничного реестра контейнеров или для панели мониторинга Kubernetes. В каждом случае необходимо передать сертификат и файл ключа. Чтобы создать и отправить сертификаты Kubernetes, выполните следующие действия.

  1. Вы будете использовать для openssl создания сертификата панели мониторинга Kubernetes или реестра контейнеров Edge. Обязательно установите opensl в системе, используемой для создания сертификатов. В системе Windows для установки opensslможно использовать Chocolatey. После установки Chocolatey откройте PowerShell и введите:

    choco install openssl
    
  2. Используется для openssl создания этих сертификатов. cert.pem Создается файл сертификата и key.pem файл ключа.

    • Для реестра контейнеров Edge используйте следующую команду:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
      

      Пример выходных данных:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
    • Для сертификата панели мониторинга Kubernetes используйте следующую команду:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
      

      Пример выходных данных:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
      Generating a RSA private key
      .....................++++....++++
      writing new private key to 'key.pem'
      -----
      PS C:\WINDOWS\system32>
      
  3. Отправьте сертификат Kubernetes и соответствующий файл ключа, созданный ранее.

    • Для реестра контейнеров Edge

      Снимок экрана: добавление сертификата при добавлении сертификата реестра контейнеров Edge на устройство Azure Stack Edge. Кнопки обзора для файла сертификата и ключа выделены.

    • Для панели мониторинга Kubernetes

      Снимок экрана: добавление сертификата при добавлении сертификата панели мониторинга Kubernetes на устройство Azure Stack Edge. Кнопки обзора для файла сертификата и ключа выделены.

Импорт сертификатов на клиенте, который обращается к устройству

Можно использовать сертификаты, созданные устройством, или собственные сертификаты. При использовании сертификатов, созданных устройством, необходимо скачать сертификаты на клиент, прежде чем сможете импортировать их в соответствующее хранилище сертификатов. См. раздел о скачивании сертификатов на клиент, обращающийся к устройству.

В обоих случаях сертификаты, созданные и переданные на устройство, необходимо импортировать на клиенте Windows (обращающемся к устройству) в соответствующее хранилище сертификатов.

Импорт сертификатов в формате DER

Чтобы импортировать сертификаты на клиенте Windows, выполните следующие действия.

  1. Щелкните правой кнопкой мыши файл и выберите Установить сертификат. Запустится мастер импорта сертификатов.

    Снимок экрана: контекстное меню файла в Windows проводник. Выделен параметр

  2. В качестве расположения хранилища выберите локальный компьютер, а затем нажмите кнопку Далее.

    Снимок экрана: мастер импорта сертификатов на клиенте Windows. Выделено расположение хранилища локального компьютера.

  3. Выберите Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

    • Для импорта в личное хранилище перейдите в личное хранилище удаленного узла, а затем нажмите кнопку Далее.

      Снимок экрана: мастер импорта сертификатов в Windows с выбранным хранилищем личных сертификатов. Выделены параметры хранилища сертификатов и кнопка

    • Чтобы импортировать в доверенное хранилище, перейдите в центр доверенных корневых сертификатов и нажмите кнопку Далее.

      Снимок экрана: мастер импорта сертификатов в Windows с выбранным хранилищем сертификатов доверенного корневого центра сертификации. Выделены параметры хранилища сертификатов и кнопка

  4. Нажмите кнопку Готово. Появится сообщение об успешном импорте.

Просмотр срока действия сертификата

Если вы используете собственные сертификаты, их срок действия обычно истекает через год или через 6 месяцев. Чтобы просмотреть дату окончания срока действия сертификата, перейдите на страницу сертификатов в локальном пользовательском веб-интерфейсе устройства. Выберите конкретный сертификат и просмотрите дату окончания срока действия этого сертификата.

Удаление сертификата цепочки подписывания

Старый сертификат цепочки подписывания с истекшим сроком действия можно удалить с устройства. При этом все зависимые сертификаты в цепочке подписывания больше не будут действительными. Удалить можно только сертификаты цепочки подписей.

Чтобы удалить сертификат цепочки подписей с устройства Azure Stack Edge, сделайте следующее:

  1. В локальном пользовательском веб-интерфейсе устройства перейдите ксертификатамCONFIGURATION>.

  2. Выберите сертификат цепочки подписей, который нужно удалить. Теперь щелкните Удалить.

    Снимок экрана: колонка

  3. На панели "Удалить сертификат " проверьте отпечаток сертификата и нажмите кнопку "Удалить". Удаление сертификата невозможно отменить.

    Снимок экрана: экран удаления сертификата для подписи сертификата на устройстве Azure Stack Edge. Выделены отпечаток сертификата и кнопка

    После завершения удаления сертификатов все зависимые сертификаты в цепочке подписывания становятся недействительными.

  4. Чтобы просмотреть обновления состояния, обновите дисплей. Сертификат цепочки подписей больше не будет отображаться, а зависимые сертификаты будут иметь недопустимое состояние.

Дальнейшие действия

Узнайте, как устранять проблемы с сертификатом.