你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Stack Edge Pro GPU 上上传、导入、导出和删除证书

  • 项目

适用于:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

若要确保 Azure Stack Edge 设备与连接到它的客户端之间的安全可信通信,可以使用自签名证书或自带证书。 本文介绍如何管理这些证书,包括如何上传、导入和导出这些证书。 还可以查看证书到期日期以及删除旧的签名证书。

要详细了解如何创建这些证书,请参阅使用 Azure PowerShell 创建证书

在设备上上传证书

如果自带证书,则为设备创建的证书默认位于客户端的“个人存储”中。 这些证书需要在客户端上导出为合适的格式文件,然后才能上传到设备。

先决条件

将根证书和终结点证书上传到设备之前,请确保以适当的格式导出证书。

上传证书

要在设备上上传根证书和终结点证书,在本地 Web UI 中使用“证书”页上的“+ 添加证书”选项。 执行以下步骤:

  1. 首先上传根证书。 在本地 Web UI 中,转到“证书”

  2. 选择“+ 添加证书”。

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. 保存证书。

上传终结点证书

  1. 接下来上传终结点证书。

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    选择 .pfx 格式的证书文件,并输入在导出证书时提供的密码。 Azure 资源管理器证书可能需要几分钟才会应用。

    如果未首先更新签名链,并且尝试上传终结点证书,则会出现错误。

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    返回并上传签名链证书,然后上传和应用终结点证书。

重要

如果更改了设备名称或 DNS 域,则必须创建新证书。 然后,应将客户端证书和设备证书更新为新的设备名称和 DNS 域。

上传 Kubernetes 证书

Kubernetes 证书可用于 Edge 容器注册表或 Kubernetes 仪表板。 在每种情况下,都必须上传证书和密钥文件。 请按照以下步骤创建和上传 Kubernetes 证书:

  1. 你将使用 openssl 创建 Kubernetes 仪表板证书或 Edge 容器注册表。 请确保在用于创建证书的系统上安装 OpenSSL。 在 Windows 系统中,可以使用 Chocolatey 安装 openssl。 安装 Chocolatey 后,打开 PowerShell 并键入以下命令:

    choco install openssl

  2. 使用 openssl 创建这些证书。 将创建 cert.pem 证书文件和 key.pem 密钥文件。

    • 对于 Edge 容器注册表,请使用以下命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      下面是示例输出:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • 对于 Kubernetes 仪表板证书,请使用以下命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      下面是示例输出:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. 上传 Kubernetes 证书和之前生成的相应密钥文件。

    • 对于 Edge 容器注册表

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • 对于 Kubernetes 仪表板

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

在访问设备的客户端上导入证书

可使用设备生成的证书,或自带证书。 使用设备生成的证书时,必须先在客户端上下载证书,然后才能将其导入到相应的证书存储中。 请参阅将证书下载到访问设备的客户端

在这两种情况下,你创建并上传到设备上的证书必须导入到 Windows 客户端上(访问设备)相应的证书存储中。

以 DER 格式导入证书

若要在 Windows 客户端上导入证书,请执行以下步骤:

  1. 右键单击文件并选择“安装证书”。 该操作会启动证书导入向导。

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. 对于“存储位置”,选择“本地计算机”,然后选择“下一步”。

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. 选择“将所有证书放入以下存储区”,然后选择“浏览”

    • 若要导入到个人存储,请导航到远程主机的“个人存储”,然后选择“下一步”

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • 若要导入到受信任的存储区,请导航到“受信任的根证书颁发机构”,然后选择“下一步”

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. 选择“完成”。 将显示一条提示已成功导入的消息。

查看证书有效期

如果自带证书,证书将在 1 年或 6 个月后过期。 若要查看证书的到期日期,请转到设备本地 Web UI 的“证书”页。 如果选择特定证书,则可以查看证书的到期日期。

删除签名链证书

可以从设备中删除旧的过期签名链证书。 执行此操作时,签名链中的任何从属证书都将不再有效。 只能删除签名链证书。

要从 Azure Stack Edge 设备中删除签名链证书,请执行以下步骤:

  1. 在设备的本地 Web UI 中,转到“配置”>“证书”

  2. 选择要删除的签名链证书。 然后选择“删除”。

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. 在“删除证书”窗格中,验证证书的指纹,然后选择“删除”。 证书删除操作无法撤销。

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    证书删除完成后,签名链中的所有从属证书都将不再有效。

  4. 若要查看状态更新,请刷新显示。 将不再显示签名链证书,从属证书将为“无效”状态

后续步骤

了解如何排查证书问题