为 Azure 突发部署配置 Azure 管理证书的选项
在 Windows HPC 群集中部署 Azure 节点之前,必须将管理证书上传到 Azure 订阅。 如果头节点配置为高可用性,则必须在头节点计算机上(或在每个头节点计算机上)配置相应的证书。 对于某些版本的 HPC Pack 的方案,还必须在用于管理群集的客户端计算机上配置证书,并且需要连接到 Azure。
概述
下表汇总了 Azure 节点部署管理证书所需的配置。 所需的确切配置步骤取决于管理证书的源、群集上运行的 HPC Pack 版本以及群集配置。 有关示例,请参阅本主题的其余部分的方案。
| 位置 | 证书存储 | 类型 |
|---|---|---|
| Azure 订阅 | 订阅设置 | 仅限证书(.cer) |
| 头节点(s) | 本地计算机\个人 | 具有私钥的证书 (.pfx) |
| 本地计算机\受信任的根证书颁发机构 | 仅限证书(.cer) | |
| 当前用户\个人版(从 HPC Pack 2012 SP1 开始不需要) | 具有私钥的证书 (.pfx) | |
| 客户端计算机 | 当前用户\个人版(从 HPC Pack 2012 SP1 开始不需要) | 具有私钥的证书 (.pfx) |
| 当前用户\受信任的根证书颁发机构(从 HPC Pack 2012 SP1 开始不需要) | 仅限证书(.cer) |
注意
如果计划使用多个 Azure 订阅部署 Azure 节点,请确保配置所需的所有管理证书。
有关 Azure 订阅以及获取使用 HPC Pack 部署 Azure 节点的管理证书的选项的详细信息,请参阅 使用 Microsoft HPC Pack添加 Azure 节点的要求。
若要将证书导入或导出到计算机上的证书存储区,必须使用具有适当权限和权限的帐户。 有关使用证书管理单元执行证书导出和导入的一般信息,请参阅 Windows Server 版本的文档。
方案 1:配置默认Microsoft HPC Azure 管理证书
重要
从 HPC Pack 2016 开始,不支持此方案。
在 HPC Pack 2016 之前的 HPC Pack 版本中,安装 HPC Pack 时,会在头节点(或头节点)上自动生成 默认Microsoft HPC Azure 管理 证书。 此证书是自签名的,对于 HPC Pack 的安装是唯一的。 此证书用于测试目的和概念证明部署。 它简化了,但不会消除 Azure 节点部署的所有证书配置任务。
安装时,默认Microsoft HPC Azure 管理 证书会自动导入本地计算机的所需证书存储,并生成 %CCP_HOME%\bin\hpccert.cer 文件。 然后,可以使用 azure 门户 或其他 Azure 工具将该文件上传到 Azure 订阅。 本部分介绍了必须执行以使用此证书的其他任务。
下图显示了头节点上(或头节点)上的两个证书存储,其中安装 HPC Pack(从 HPC Pack 2008 R2 和 SP3 开始)时,会自动导入 默认Microsoft HPC Azure 管理 证书。
默认管理证书
图右侧的绿色箭头显示了以下附加证书存储,其中 HPC 管理员需要手动导入包含 SP3 的 HPC Pack 2008 R2 的证书、SP4 的 HPC Pack 2008 R2 或 HPC Pack 2012 RTM:
在每个头节点上,将证书(具有私钥)导入到当前用户\个人存储。
在用于管理群集且需要连接到 Azure 的客户端计算机上,将证书(使用私钥)导入到 Current User\Personal 存储,并将证书(不含密钥)导入到当前用户\受信任的根证书颁发机构存储。 如果不使用客户端计算机管理群集,则不需要执行这些步骤。
如果需要,请使用以下过程来完成这些任务。
注意
- 如果至少运行 HPC Pack 2012 SP1,则 默认Microsoft HPC Azure 管理 会自动导入头节点上所需的证书存储。 无需在头节点上进行进一步配置,并且不需要客户端计算机上的配置。 证书只需上传到 Azure 订阅。
- 如果使用 SP1 或 HPC Pack 2008 R2 运行 HPC Pack 2008 R2,则 默认Microsoft HPC Azure 管理(其私钥)仅自动导入头节点上的本地计算机\受信任的根证书颁发机构存储。 无需将证书(使用私钥)导入头节点上的其他存储。 但是,作为安全最佳做法,建议将私钥证书配置更新为从 HPC Pack 2008 R2 和 SP3 开始的预期配置。
重要
- 仅使用证书管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开文件来安装证书。
- 不能从一台计算机上的证书存储复制证书,并将其粘贴到另一台计算机上的存储中。
将默认Microsoft HPC Azure 管理证书上传到 Azure 订阅
登录 Azure 门户。
单击 订阅>your_subscription_name。
单击 管理证书>上传。
浏览文件 %CCP_HOME%\bin\hpccert.cer。
使用证书管理单元以 PFX 格式导出默认 HPC Azure 管理证书
在头节点上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择
计算机帐户 ,然后单击“下一步”。 重要
对于此过程,必须选择 计算机帐户。 不要在此页上选择另一个选项。
选择 本地计算机,然后单击 完成。 单击确定。
在控制台树中,展开 证书,展开 个人,然后单击 证书。
在详细信息窗格中,单击 “默认Microsoft HPC Azure 管理”。
若要以 PFX 格式导出证书,请执行以下操作:
在 操作 菜单上,指向 所有任务,然后单击 导出。 此时会显示“证书导出向导”。 单击 “下一步” 。
在 导出私钥 页上,单击 “是”,导出私钥。 单击 “下一步” 。
在“导出文件格式”页上,选择“个人信息交换 – PKCS #12()。PFX)。 单击 “下一步” 。
在 密码 页上,键入并确认要用于加密私钥的密码。 单击 “下一步” 。
按照向导的页面导出 PFX 格式的证书。
重要
导出的 PFX 格式化文件受密码保护。 但是,它应始终存储在安全的位置。
将默认 Windows Microsoft HPC Azure 管理证书导入头节点上的当前用户\个人存储
在头节点上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择 我的用户帐户,然后单击 完成。
在控制台树中,展开 证书 – 当前用户,然后展开 个人。
若要导入 PFX 格式的证书,请右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这样,其他 HPC 管理员就可以在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时可供其他 HPC 管理员使用。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书来检查其状态,并查看指纹等详细信息。
若要将默认 Windows Microsoft HPC Azure 管理证书导入到用于管理群集的客户端计算机上的证书存储
使用适当的群集管理员帐户登录到客户端计算机。
启动“证书”管理单元以管理用户证书。 例如,在命令提示符处,键入
certmgr.msc。若要将 PFX 格式的证书导入当前用户\个人存储,请执行以下操作:
在控制台树中,展开 证书,然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
注意
作为安全最佳做法,除非有特定理由执行此操作,否则不要选择将密钥标记为可导出的选项,在将其导入到当前用户\个人存储区时。
若要将 CER 格式的证书导入当前用户\受信任的根证书颁发机构存储,请执行以下操作:
在控制台树中,展开 证书,然后展开 受信任的根证书颁发机构。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将hpccert.cer文件导入受信任的根证书颁发机构存储。
其他注意事项
- 如果卸载 HPC Pack,则不会删除头节点上 默认Microsoft HPC Azure 管理 证书。 hpccert.cer文件和 默认Microsoft HPC Azure 管理 证书在卸载后,头节点上的证书存储中仍会保留。 如果稍后重新安装 HPC Pack,则不会重新生成 默认Microsoft HPC Azure 管理。
方案 2:配置来自未知证书颁发机构的自签名证书或证书
若要使用自己的自签名证书或证书颁发机构(CA)颁发的证书(CA)尚未受信任,请使用 HPC Pack 2008 R2 和 SP3 创建的群集的 HPC 管理员、使用 SP4 的 HPC Pack 2008 R2 或 HPC Pack 2012 RTM 执行下图中绿色箭头显示的所有手动配置步骤,并且(如有必要)在任何客户端计算机上(如有必要)用于管理群集。
注意
从 HPC Pack 2012 SP1 开始,自签名证书只需导入本地计算机\个人和本地计算机\受信任的根 CA 存储。
用于管理证书 的证书存储
例如,可以使用 makecert.exe 工具创建自签名 X.509 v3 证书,该工具会自动安装某些版本的 Microsoft Visual Studio 和 Windows SDK。 然后,可以将生成的证书导入头节点上和客户端计算机上所需的证书存储区。 如果需要,请使用以下过程来完成这些任务。
重要
- 仅使用证书管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开文件来安装证书。
- 不能从一台计算机上的证书存储复制证书,并将其粘贴到另一台计算机上的存储中。
- 在较新版本的 Windows 中,建议使用 New-SelfSignedCertificate Windows PowerShell cmdlet 来创建自签名证书。
使用 makecert 创建自签名证书
打开 Visual Studio 命令提示符或 Windows SDK 命令提示符。
若要创建密钥长度为 2048 的自签名 X.509 证书,请将其安装到 名为 WinAzureHPCCert的 Current User\Personal 证书存储中,并创建相应的 CER 文件 HPCcert.cer,键入如下所示的命令:
makecert -r -pe -a sha1 -n "CN=WinAzureHPCCert" -ss My -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 HPCcert.cer
将自签名证书上传到 Azure 订阅
登录到 经典门户。
单击 设置,单击 管理证书,然后单击 上传
浏览文件 HPCcert.cer(使用 makecert.exe创建的证书文件)。
使用证书管理单元以 PFX 格式导出自签名证书
在生成自签名证书的计算机上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择 我的用户帐户,然后单击 完成。 单击确定。
在控制台树中,展开 证书,展开 个人,然后单击 证书。
在详细信息窗格中,单击 WinAzureHPCCert(使用 makecert.exe创建的自签名证书的名称)。
若要以 PFX 格式导出证书,请执行以下操作:
在 操作 菜单上,指向 所有任务,然后单击 导出。 此时会显示“证书导出向导”。 单击 “下一步” 。
在 导出私钥 页上,单击 “是”,导出私钥。 单击 “下一步” 。
在“导出文件格式”页上,选择“个人信息交换 – PKCS #12()。PFX)。 单击 “下一步” 。
在 密码 页上,键入并确认要用于加密私钥的密码。 单击 “下一步” 。
按照向导的页面导出 PFX 格式的证书。
重要
导出的 PFX 格式化文件受密码保护。 但是,它应始终存储在安全的位置。
将自签名证书导入头节点上的证书存储
在头节点上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择
计算机帐户 ,然后单击“下一步”。 选择 本地计算机,然后单击 完成。
在 可用管理单元中,单击 证书,然后单击 添加。
选择 我的用户帐户,然后单击 完成。 单击确定。
若要将 PFX 格式的证书导入本地计算机\个人存储,请执行以下操作:
在控制台树中,展开 证书(本地计算机),然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这样,其他 HPC 管理员就可以在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时可供其他 HPC 管理员使用。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书来检查其状态,并查看指纹等详细信息。
若要将 CER 格式的证书导入本地计算机\受信任的根证书颁发机构存储,请执行以下操作:
在控制台树中,展开 证书(本地计算机,然后展开 受信任的根证书颁发机构。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将.cer文件(没有私钥)导入到受信任的根证书颁发机构存储。
若要将 PFX 格式的证书导入当前用户\个人存储,请执行以下操作:
在控制台树中,展开 证书 – 当前用户,然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件(使用私钥)导入到个人存储。
将自签名证书导入客户端计算机上的证书存储
使用相应的 HPC 管理员帐户登录到客户端计算机。
启动证书管理器。 例如,在命令提示符处,键入 certmgr.msc。
在控制台树中,展开 证书,然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件(使用私钥)导入到个人存储。
在控制台树中,展开 证书,然后展开 受信任的根证书颁发机构。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将.cer文件(没有私钥)导入到受信任的根证书颁发机构存储。
方案 3:从受信任的 CA 配置证书
若要使用已信任的公共或企业 CA 颁发的证书,使用 HPC Pack 2008 R2 和 SP3、HPC Pack 2008 R2 和 SP4 创建的群集的 HPC 管理员或 HPC Pack 2012 RTM 执行下图中绿色箭头显示的手动配置步骤,以及用于管理群集的任何客户端计算机(如有必要)。
注意
- 由于证书是由受信任的 CA 颁发的,因此应在计算机上配置受信任的根证书,并且不应将证书导入受信任的根证书颁发机构存储。
- 从 HPC Pack 2012 SP1 开始,受信任的证书只需导入本地计算机\个人存储区。
用于受信任的管理证书 的
使用以下过程来完成这些任务。
重要
- 仅使用证书管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开文件来安装证书。
- 不能从一台计算机上的证书存储复制证书,并将其粘贴到另一台计算机上的存储中。
使用证书管理单元以 PFX 格式和 CER 格式导出受信任的证书
在头节点计算机上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择
计算机帐户 ,然后单击“下一步”。 单击确定。 选择 本地计算机,然后单击 完成。 单击确定。
在控制台树中,展开 证书,展开 受信任的根证书颁发机构,然后单击 证书。
在详细信息窗格中,单击受信任的证书。
若要以 PFX 格式导出证书,请执行以下操作:
在 操作 菜单上,指向 所有任务,然后单击 导出。 此时会显示“证书导出向导”。 单击 “下一步” 。
在 导出私钥 页上,单击 “是”,导出私钥。 单击 “下一步” 。
在“导出文件格式”页上,选择“个人信息交换 – PKCS #12()。PFX)。 单击 “下一步” 。
在 密码 页上,键入并确认要用于加密私钥的密码。 单击 “下一步” 。
按照向导的页面导出 PFX 格式的证书。
重要
导出的 PFX 格式化文件受密码保护。 但是,它应始终存储在安全的位置。
若要以 CER 格式导出证书,请执行以下操作:
在 操作 菜单上,指向 所有任务,然后单击 导出。 此时会显示“证书导出向导”。 单击 “下一步” 。
在 导出私钥 页上,单击 “否”,不要导出私钥。 单击 “下一步” 。
在“导出文件格式”页上,选择 DER 编码的二进制 X.509()。CER)。 单击 “下一步” 。
按照向导的页面导出 CER 格式的证书。
将证书上传到 Azure 订阅
登录到 经典门户。
单击 设置,单击 管理证书,然后单击 上传
浏览之前从受信任的根证书颁发机构存储导出的.cer文件。
将证书导入头节点上的证书存储
在头节点上,启动Microsoft管理控制台。 例如,在命令提示符处,键入
mmc。在“
文件 菜单上,单击”添加/删除管理单元“。 此时会显示 “添加或删除管理单元” 对话框。 在 可用管理单元中,单击 证书,然后单击 添加。
选择
计算机帐户 ,然后单击“下一步”。 选择 本地计算机,然后单击 完成。
在 可用管理单元中,单击 证书,然后单击 添加。
选择 我的用户帐户,然后单击 完成。 单击确定。
若要将 PFX 格式的证书导入本地计算机\个人存储,请执行以下操作:
在控制台树中,展开 证书(本地计算机),然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这样,其他 HPC 管理员就可以在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时可供其他 HPC 管理员使用。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书来检查其状态,并查看指纹等详细信息。
若要将 PFX 格式的证书导入当前用户\个人存储,请执行以下操作:
在控制台树中,展开 证书 – 当前用户,然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件(使用私钥)导入到个人存储。
将证书导入客户端计算机上的证书存储
使用相应的 HPC 管理员帐户登录到客户端计算机。
启动证书管理器。 例如,在命令提示符处,键入 certmgr.msc。
在控制台树中,展开 证书,然后展开 个人。
右键单击 证书,指向 所有任务,然后单击 导入。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件(使用私钥)导入到个人存储。
排查证书问题
下表列出了在 Azure 节点模板中配置管理证书或在部署 Azure 节点时以及可能的原因和解决方法步骤时遇到的一些常见问题。
| 问题 | 可能的原因 | 解决方法 |
|---|---|---|
浏览管理证书时 No certificate available |
- 私钥证书未导入到所需的证书存储中 - 根证书的证书颁发机构不受信任 |
如本主题前面所述,将证书导入到所有必需的证书存储。 注意: 具有 SP1 的 HPC Pack 2008 R2 或 SP2 的 HPC Pack 2008 R2 中所需的证书存储不同于更高版本的 HPC Pack 中的证书存储。 较新版本的 HPC Pack 提供了更安全的配置。 |
输入证书指纹或选择证书后 There was a problem with the certificate with thumbprint: <thumbprint> 错误 |
- 证书指纹的格式不正确或与所需证书存储中的证书不对应 - 证书链已损坏 - 证书未正确导入到证书存储中 - 证书已过期 |
- 确保证书指纹包含所需的字符数,不包含空格,并对应于正确的身份验证证书。 - 验证颁发证书的证书颁发机构是否受信任。 如有必要,请建立信任关系。 若要在头节点上执行此操作,请将证书不带私钥(CER 格式的证书)导入到本地计算机\受信任的根证书颁发机构存储。 - 在证书管理单元中,双击证书并检查证书是否不显示配置错误,例如 The CA Root certificate is not trusted 或 The certificate has expired or is not yet valid. |
输入有效的证书指纹或浏览以选择证书后,The remote server returned an error: (403) Forbidden 错误消息 |
证书未添加到 Azure 订阅 | 使用 经典门户将证书上传到 Azure 订阅。 |
浏览后 The request was aborted: Could not create SSL/TLS secure channel 错误消息,选择 默认Microsoft HPC Azure 管理 证书 |
HPC Pack 生成的hpccert.cer文件与头节点上的证书存储区中导入的证书文件不匹配 | 重新生成 默认Microsoft HPC Azure 管理 证书,如下所示: - 删除头节点上的hpccert.cer文件(或头节点)。 - 重启 HPC 管理服务。 - 确认证书已导入头节点上的证书存储区。 - 使用 Azure 经典门户将证书上传到 Azure 订阅。 |
另请参阅
使用 Microsoft HPC Pack