Share via

Vad är certifikat på Azure Stack Edge Pro GPU?

  • Artikel

GÄLLER FÖR:Ja för Pro GPU SKUAzure Stack Edge Pro – GPUJa för Pro 2 SKUAzure Stack Edge Pro 2Ja för Pro R SKUAzure Stack Edge Pro RJa för Mini R SKUAzure Stack Edge Mini R

Den här artikeln beskriver de typer av certifikat som kan installeras på din Azure Stack Edge Pro GPU-enhet. Artikeln innehåller även information om varje certifikattyp.

Om certifikat

Ett certifikat tillhandahåller en länk mellan en offentlig nyckel och en entitet (till exempel domännamn) som har signerats (verifierats) av en betrodd tredje part (till exempel en certifikatutfärdare). Ett certifikat är ett praktiskt sätt att distribuera betrodda offentliga krypteringsnycklar. Certifikaten säkerställer därmed att kommunikationen är betrodd och att du skickar krypterad information till rätt server.

Distribuera certifikat på enheten

På din Azure Stack Edge-enhet kan du använda självsignerade certifikat eller ta med dina egna certifikat.

Typer av certifikat

De olika typerna av certifikat som du kan använda för din enhet är följande:

  • Signeringscertifikat

    • Rotcertifikatutfärdare
    • Medel

  • Nodcertifikat

  • Slutpunktscertifikat

    • Azure Resource Manager-certifikat
    • Blob Storage-certifikat

  • Lokala gränssnittscertifikat

  • IoT-enhetscertifikat

  • Kubernetes-certifikat

    • Edge Container Registry-certifikat
    • Kubernetes-instrumentpanelscertifikat

  • Wi-Fi certifikat

  • VPN-certifikat

  • Krypteringscertifikat

    • Stöd för sessionscertifikat

Varje typ av certifikat beskrivs i detalj i följande avsnitt.

Certifikat för signeringskedja

Det här är certifikaten för den utfärdare som signerar certifikaten eller signeringscertifikatutfärdare.

Typer

Dessa certifikat kan vara rotcertifikat eller mellanliggande certifikat. Rotcertifikaten är alltid självsignerade (eller signerade av sig själv). Mellanliggande certifikat är inte självsignerade och signeras av signeringsutfärdare.

Varningar

  • Rotcertifikaten ska vara signeringskedjans certifikat.
  • Rotcertifikaten kan laddas upp på enheten i följande format:
    • DER – Dessa är tillgängliga som filnamnstillägg .cer .
    • Base-64-kodad – Dessa är tillgängliga som .cer filnamnstillägg.
    • P7b – Det här formatet används endast för signeringskedjans certifikat som innehåller rotcertifikaten och mellanliggande certifikat.
  • Signeringskedjans certifikat laddas alltid upp innan du laddar upp andra certifikat.

Nodcertifikat

Alla noder på enheten kommunicerar ständigt med varandra och måste därför ha en förtroenderelation. Nodcertifikat är ett sätt att upprätta det förtroendet. Nodcertifikat spelar också in när du ansluter till enhetsnoden med hjälp av en fjärransluten PowerShell-session via https.

Varningar

  • Nodcertifikatet ska anges i .pfx format med en privat nyckel som kan exporteras.

  • Du kan skapa och ladda upp ett jokerteckennodcertifikat eller 4 enskilda nodcertifikat.

  • Ett nodcertifikat måste ändras om DNS-domänen ändras men enhetsnamnet inte ändras. Om du tar med ditt eget nodcertifikat kan du inte ändra enhetens serienummer. Du kan bara ändra domännamnet.

  • Använd följande tabell för att vägleda dig när du skapar ett nodcertifikat.

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Nod <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com

Slutpunktscertifikat

För alla slutpunkter som enheten exponerar krävs ett certifikat för betrodd kommunikation. Slutpunktscertifikaten innehåller de som krävs vid åtkomst till Azure Resource Manager och bloblagring via REST-API:erna.

När du tar in ett eget signerat certifikat behöver du även motsvarande signeringskedja för certifikatet. För signeringskedjan, Azure Resource Manager och blobcertifikaten på enheten behöver du motsvarande certifikat på klientdatorn även för att autentisera och kommunicera med enheten.

Varningar

  • Slutpunktscertifikaten måste vara i .pfx format med en privat nyckel. Signeringskedjan ska vara DER-format (.cer filnamnstillägg).

  • När du tar med dina egna slutpunktscertifikat kan dessa vara som enskilda certifikat eller flerdomäncertifikat.

  • Om du använder signeringskedjan måste signeringskedjans certifikat laddas upp innan du laddar upp ett slutpunktscertifikat.

  • Dessa certifikat måste ändras om enhetsnamnet eller DNS-domännamnen ändras.

  • Ett slutpunktscertifikat med jokertecken kan användas.

  • Egenskaperna för slutpunktscertifikaten liknar egenskaperna för ett typiskt SSL-certifikat.

  • Använd följande tabell när du skapar ett slutpunktscertifikat:

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob Storage *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Multi-SAN-enskilt certifikat för båda slutpunkterna <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com

Lokala gränssnittscertifikat

Du kan komma åt enhetens lokala webbgränssnitt via en webbläsare. För att säkerställa att den här kommunikationen är säker kan du ladda upp ditt eget certifikat.

Varningar

  • Det lokala användargränssnittscertifikatet laddas också upp i ett .pfx format med en privat nyckel som kan exporteras.

  • När du har laddat upp det lokala användargränssnittscertifikatet måste du starta om webbläsaren och rensa cacheminnet. Se de specifika anvisningarna för webbläsaren.

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Lokalt användargränssnitt <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com

IoT Edge enhetscertifikat

Enheten är också en IoT-enhet med beräkningen aktiverad av en IoT Edge enhet som är ansluten till den. För säker kommunikation mellan den här IoT Edge enheten och underordnade enheter som kan ansluta till den kan du också ladda upp IoT Edge certifikat.

Enheten har självsignerade certifikat som kan användas om du bara vill använda beräkningsscenariot med enheten. Om enheten dock är ansluten till underordnade enheter måste du ta med dina egna certifikat.

Det finns tre IoT Edge certifikat som du måste installera för att aktivera den här förtroenderelationen:

  • Rotcertifikatutfärdare eller ägarens certifikatutfärdare
  • Utfärdare av enhetscertifikat
  • Certifikat för enhetsnyckel

Varningar

  • De IoT Edge certifikaten laddas upp i .pem format.

Mer information om IoT Edge certifikat finns i Certifikatinformation för Azure IoT Edge och Skapa IoT Edge produktionscertifikat.

Kubernetes-certifikat

Följande Kubernetes-certifikat kan användas med din Azure Stack Edge-enhet.

  • Edge-containerregistercertifikat: Om enheten har ett Edge-containerregister behöver du ett Edge Container Registry-certifikat för säker kommunikation med klienten som har åtkomst till registret på enheten.
  • Certifikat för instrumentpanelens slutpunkt: Du behöver ett slutpunktscertifikat för instrumentpanelen för att få åtkomst till Kubernetes-instrumentpanelen på enheten.

Varningar

  • Edge Container Registry-certifikatet bör:

    • Vara ett PEM-formatcertifikat.
    • Innehåller antingen Alternativt namn för certifikatmottagare (SAN) eller CName (CN) av typen: *.<endpoint suffix> eller ecr.<endpoint suffix>. Exempelvis: *.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

  • Instrumentpanelscertifikatet bör:

    • Vara ett PEM-formatcertifikat.
    • Innehåller antingen Alternativt namn för certifikatmottagare (SAN) eller CName (CN) av typen: *.<endpoint-suffix> eller kubernetes-dashboard.<endpoint-suffix>. Till exempel: *.dbe-1d6phq2.microsoftdatabox.com eller kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com.

VPN-certifikat

Om VPN (punkt-till-plats) har konfigurerats på enheten kan du ta med ditt eget VPN-certifikat för att säkerställa att kommunikationen är betrodd. Rotcertifikatet installeras på Azure VPN Gateway och klientcertifikaten installeras på varje klientdator som ansluter till ett virtuellt nätverk med punkt-till-plats.

Varningar

  • VPN-certifikatet måste laddas upp som pfx-format med en privat nyckel.
  • VPN-certifikatet är inte beroende av enhetsnamnet, enhetens serienummer eller enhetskonfigurationen. Det kräver bara det externa fullständiga domännamnet.
  • Kontrollera att klientens OID har angetts.

Mer information finns i Generera och exportera certifikat för punkt-till-plats med PowerShell.

Wi-Fi certifikat

Om enheten är konfigurerad för att fungera på ett WPA2-Enterprise trådlöst nätverk behöver du också ett Wi-Fi certifikat för all kommunikation som sker via det trådlösa nätverket.

Varningar

  • Det Wi-Fi certifikatet måste laddas upp som pfx-format med en privat nyckel.
  • Kontrollera att klientens OID har angetts.

Stöd för sessionscertifikat

Om enheten har problem kan en powershell-fjärrsupportsession öppnas på enheten för att felsöka problemen. Om du vill aktivera säker, krypterad kommunikation under den här supportsessionen kan du ladda upp ett certifikat.

Varningar

  • Kontrollera att motsvarande .pfx certifikat med privat nyckel är installerat på klientdatorn med hjälp av dekrypteringsverktyget.

  • Kontrollera att fältet Nyckelanvändning för certifikatet inte är certifikatsignering. Kontrollera detta genom att högerklicka på certifikatet, välja Öppna och leta reda på Nyckelanvändning på fliken Information.

  • Certifikatet för supportsessionen måste anges som DER-format med ett .cer tillägg.

Nästa steg

Granska certifikatkraven.