Ladda upp, importera, exportera och ta bort certifikat på Azure Stack Edge Pro GPU

  • Artikel

GÄLLER FÖR:Yes for Pro GPU SKUAzure Stack Edge Pro – GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

För att säkerställa säker och betrodd kommunikation mellan din Azure Stack Edge-enhet och klienterna som ansluter till den kan du använda självsignerade certifikat eller ta med dina egna certifikat. Den här artikeln beskriver hur du hanterar dessa certifikat, inklusive hur du laddar upp, importerar och exporterar dessa certifikat. Du kan också visa certifikatets förfallodatum och ta bort dina gamla signeringscertifikat.

Mer information om hur du skapar dessa certifikat finns i Skapa certifikat med Azure PowerShell.

Ladda upp certifikat på enheten

Om du tar med dina egna certifikat finns de certifikat som du skapade för enheten som standard i det personliga arkivet på klienten. Dessa certifikat måste exporteras på klienten till lämpliga formatfiler som sedan kan laddas upp till enheten.

Förutsättningar

Innan du laddar upp dina rotcertifikat och slutpunktscertifikat på enheten kontrollerar du att certifikaten exporteras i lämpligt format.

Ladda upp certifikat

Om du vill ladda upp rot- och slutpunktscertifikaten på enheten använder du alternativet + Lägg till certifikatsidan Certifikat i det lokala webbgränssnittet. Följ de här stegen:

  1. Ladda upp rotcertifikaten först. I det lokala webbgränssnittet går du till Certifikat.

  2. Välj + Lägg till certifikat.

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. Spara certifikatet.

Ladda upp slutpunktscertifikat

  1. Ladda sedan upp slutpunktscertifikaten.

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    Välj certifikatfilerna i pfx-format och ange lösenordet som du angav när du exporterade certifikatet. Det kan ta några minuter att använda Azure Resource Manager-certifikatet.

    Om signeringskedjan inte uppdateras först och du försöker ladda upp slutpunktscertifikaten får du ett fel.

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    Gå tillbaka och ladda upp certifikatet för signeringskedjan och ladda sedan upp och tillämpa slutpunktscertifikaten.

Viktigt!

Om enhetsnamnet eller DNS-domänen ändras måste nya certifikat skapas. Klientcertifikaten och enhetscertifikaten bör sedan uppdateras med det nya enhetsnamnet och DNS-domänen.

Ladda upp Kubernetes-certifikat

Kubernetes-certifikaten kan vara för Edge Container Registry eller för Kubernetes-instrumentpanelen. I varje fall måste ett certifikat och en nyckelfil laddas upp. Följ dessa steg för att skapa och ladda upp Kubernetes-certifikat:

  1. Du använder openssl för att skapa Kubernetes-instrumentpanelens certifikat eller Edge Container Registry. Se till att installera openssl på det system som du använder för att skapa certifikaten. I ett Windows-system kan du använda Chocolatey för att installera openssl. När du har installerat Chocolatey öppnar du PowerShell och skriver:

    choco install openssl

  2. Använd openssl för att skapa dessa certifikat. En cert.pem certifikatfil och key.pem nyckelfil skapas.

    • Använd följande kommando för Edge Container Registry:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Här är ett exempel på utdata:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • För Kubernetes-instrumentpanelscertifikat använder du följande kommando:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Här är ett exempel på utdata:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Ladda upp Kubernetes-certifikatet och motsvarande nyckelfil som du genererade tidigare.

    • För Edge Container Registry

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • För Kubernetes-instrumentpanelen

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

Importera certifikat på klienten som kommer åt enheten

Du kan använda de enhetsgenererade certifikaten eller ta med egna certifikat. När du använder enhetsgenererade certifikat måste du ladda ned certifikaten på klienten innan du kan importera dem till lämpligt certifikatarkiv. Se Ladda ned certifikat till klienten som kommer åt enheten.

I båda fallen måste de certifikat som du skapade och överförde till enheten importeras på Din Windows-klient (åtkomst till enheten) till rätt certifikatarkiv.

  • Rotcertifikatet som du exporterade som DER ska nu importeras i betrodda rotcertifikatutfärdare i klientsystemet. Detaljerade steg finns i Importera certifikat till arkivet Betrodda rotcertifikatutfärdare.

  • Slutpunktscertifikaten som du exporterade som .pfx måste exporteras som DER med .cer tillägget. Detta .cer importeras sedan i det personliga certifikatarkivet i systemet. Detaljerade steg finns i Importera certifikat till det personliga certifikatarkivet.

Importera certifikat som DER-format

Utför följande steg för att importera certifikat på en Windows-klient:

  1. Högerklicka på filen och välj Installera certifikat. Den här åtgärden startar guiden Importera certifikat.

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. För Store-plats väljer du Lokal dator och sedan Nästa.

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. Välj Placera alla certifikat i följande arkiv och välj sedan Bläddra.

    • Om du vill importera till ett personligt arkiv går du till det personliga arkivet för fjärrvärden och väljer sedan Nästa.

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • Om du vill importera till ett betrott arkiv går du till den betrodda rotcertifikatutfärdare och väljer sedan Nästa.

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. Välj Slutför. Ett meddelande om att importen lyckades visas.

Visa certifikatets förfallodatum

Om du tar in dina egna certifikat upphör certifikaten vanligtvis att gälla om ett år eller sex månader. Om du vill visa förfallodatumet för certifikatet går du till sidan Certifikat i enhetens lokala webbgränssnitt. Om du väljer ett specifikt certifikat kan du visa förfallodatumet för certifikatet.

Ta bort certifikat för signeringskedja

Du kan ta bort ett gammalt, utgånget signeringskedjecertifikat från enheten. När du gör det är alla beroende certifikat i signeringskedjan inte längre giltiga. Det går bara att ta bort certifikat för signeringskedjan.

Utför följande steg för att ta bort ett signeringskedjecertifikat från din Azure Stack Edge-enhet:

  1. I enhetens lokala webbgränssnitt går du till KONFIGURATIONscertifikat>.

  2. Välj det signeringskedjecertifikat som du vill ta bort. Välj sedan ta bort.

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. I fönstret Ta bort certifikat kontrollerar du certifikatets tumavtryck och väljer sedan Ta bort. Det går inte att ångra borttagningen av certifikatet.

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    När certifikatborttagningen är klar är alla beroende certifikat i signeringskedjan inte längre giltiga.

  4. Om du vill se statusuppdateringarna uppdaterar du visningen. Certifikatet för signeringskedjan visas inte längre och beroende certifikat har inte giltig status.

Nästa steg

Lär dig hur du felsöker certifikatproblem