用于为 Azure 突发部署配置 Azure 管理证书的选项
必须先将管理证书上传到 Azure 订阅,然后才能在 Windows HPC 群集中部署 Azure 节点。 如果头节点配置为高可用性) ,则必须在头节点计算机 (或每台头节点计算机上配置相应的证书。 对于某些版本的 HPC Pack,还必须在用于管理群集且需要连接到 Azure 的客户端计算机上配置证书。
概述
下表汇总了 Azure 节点部署的管理证书所需的配置。 所需的确切配置步骤取决于管理证书的源、群集上运行的 HPC Pack 版本以及群集配置。 有关示例,请参阅本主题其余部分的方案。
| 位置 | 证书存储 | 类型 |
|---|---|---|
| Azure 订阅 | 订阅设置 | 仅证书 (.cer) |
| 头节点 () | 本地计算机\个人 | 具有私钥的证书 (.pfx) |
| Local Computer\Trusted Root Certification Authorities | 仅证书 (.cer) | |
| 从 SP1) HPC Pack 2012 开始,不需要当前用户/个人 ( | 具有私钥的证书 (.pfx) | |
| 客户端计算机 | 从 SP1) HPC Pack 2012 开始,不需要当前用户/个人 ( | 具有私钥的证书 (.pfx) |
| 从 HPC Pack 2012 开始,SP1 (不需要当前用户\受信任的根证书颁发机构) | 仅证书 (.cer) |
注意
如果计划部署具有多个 Azure 订阅的 Azure 节点,请确保配置所需的所有管理证书。
有关 Azure 订阅以及获取用于部署 HPC Pack 的 Azure 节点的管理证书的选项的详细信息,请参阅 使用 Microsoft HPC Pack 添加 Azure 节点的要求。
若要将证书导入或导出到计算机上的证书存储,必须使用具有适当权限的帐户。 有关使用证书管理单元执行证书导出和导入的一般信息,请参阅 Windows Server 版本的文档。
方案 1:配置默认 Microsoft HPC Azure 管理证书
重要
Microsoft HPC Pack 2016 或更高版本不支持此方案。
在 HPC Pack 2016 之前的 HPC Pack 版本中,安装 HPC Pack 时,会在头节点 (或头) 节点上自动生成 默认 Microsoft HPC Azure 管理 证书。 此证书是自签名证书,对于 HPC Pack 的安装是唯一的。 此证书是为进行测试和概念证明部署提供的。 它简化了 Azure 节点部署的所有证书配置任务,但并不能消除所有证书配置任务。
安装时, 默认 Microsoft HPC Azure 管理 证书会自动导入本地计算机所需的证书存储,并生成 %CCP_HOME%\bin\hpccert.cer 文件。 然后,可以使用适用于 Azure 的Azure 门户或其他工具将此文件上传到 Azure 订阅。 本部分介绍使用此证书必须执行的其他任务。
下图显示了头节点 (或头节点上的两个证书存储,) 在安装 HPC Pack 2008 R2 和 SP3) 开始,HPC Pack (会自动导入 默认 Microsoft HPC Azure 管理 证书。
图右侧的绿色箭头显示以下附加证书存储,其中 HPC 管理员需要手动导入 HPC Pack 2008 R2 SP3、HPC Pack 2008 R2 SP4 或 HPC Pack 2012 RTM 的证书:
在每个头节点上,将具有私钥的证书 () 导入到当前用户/个人存储。
在用于管理群集且需要连接到 Azure 的客户端计算机上,将具有私钥的证书 () 导入 Current User\Personal 存储,并将 CER 格式的证书 ((无需密钥) )导入当前用户\受信任的根证书颁发机构存储。 如果不使用客户端计算机管理群集,则不需要执行这些步骤。
如果需要,请使用以下过程来完成这些任务。
注意
- 如果至少使用 SP1 运行 HPC Pack 2012, 则默认 Microsoft HPC Azure 管理 会自动导入头节点上的必要证书存储。 无需对头节点进行进一步配置,也无需在客户端计算机上进行配置。 只需将证书上传到 Azure 订阅。
- 如果运行 HPC Pack 2008 R2 和 SP1 或 HPC Pack 2008 R2 和 SP2, 则默认 Microsoft HPC Azure Management 及其私钥仅自动导入头节点上的本地计算机\受信任的根证书颁发机构存储。 无需将具有私钥的证书 (导入头节点上的其他存储) 。 但是,作为安全最佳做法,建议将私钥证书配置更新为从 HPC Pack 2008 R2 SP3 开始预期的配置。
重要
- 仅使用“证书”管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开 文件来安装证书。
- 不能从一台计算机上的证书存储复制证书并将其粘贴到另一台计算机上的存储中。
将默认 Microsoft HPC Azure 管理证书上传到 Azure 订阅
登录 Azure 门户。
单击“ 订阅>your_subscription_name”。
单击“ 管理证书>上传”。
浏览文件 %CCP_HOME%\bin\hpccert.cer。
使用证书管理单元以 PFX 格式导出默认 HPC Azure 管理证书
在头节点上,启动 Microsoft 管理控制台。 例如,在命令提示符下,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择“计算机帐户”,然后单击“下一步”。
重要
对于此过程,必须选择“ 计算机帐户”。 请勿在此页上选择其他选项。
选择“本地计算机”,然后单击“完成”。 单击“确定”。
在控制台树中,依次展开 “证书”、“ 个人”和“ 证书”。
在详细信息窗格中,单击“ 默认 Microsoft HPC Azure 管理”。
若要导出 PFX 格式的证书,请执行以下操作:
在“操作”菜单上,指向“所有任务”,然后单击“导出”。 此时将显示“证书导出向导”。 单击“下一步”。
在“导出私钥”页上,单击“是,导出私钥”。 单击“下一步”。
在“导出文件格式”页上,选择“个人信息交换 - PKCS #12(.PFX)”。 单击“下一步”。
在 “密码 ”页上,键入并确认要用于加密私钥的密码。 单击“下一步”。
按照向导页面的说明导出 PFX 格式的证书。
重要
导出的 PFX 格式文件受密码保护。 但是,它应始终存储在安全位置。
将默认 Windows Microsoft HPC Azure 管理证书导入头节点上的当前用户/个人存储
在头节点上,启动 Microsoft 管理控制台。 例如,在命令提示符下,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择 “我的用户帐户”,然后单击“ 完成”。
在控制台树中,展开 “证书 - 当前用户”,然后展开“ 个人”。
若要导入 PFX 格式的证书,请右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这允许其他 HPC 管理员在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时将其提供给其他 HPC 管理员。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书以检查其状态,并查看指纹等详细信息。
将默认 Windows Microsoft HPC Azure 管理证书导入用于管理群集的客户端计算机上的证书存储
使用相应的群集管理员帐户登录到客户端计算机。
启动“证书”管理单元以管理用户证书。 例如,在命令提示符下,键入
certmgr.msc。若要将 PFX 格式的证书导入到 Current User\Personal 存储,请执行以下操作:
在控制台树中,展开 “证书”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
注意
作为安全最佳做法,除非有特定原因执行此操作,否则在将密钥导入到 Current User\Personal 存储时,请勿选择将密钥标记为可导出的选项。
若要将 CER 格式的证书导入当前用户\受信任的根证书颁发机构存储,请执行以下操作:
在控制台树中,展开 “证书”,然后展开 “受信任的根证书颁发机构”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页面将 hpccert.cer 文件导入受信任的根证书颁发机构存储。
其他注意事项
- 如果卸载 HPC Pack,则不会删除头节点上 的默认 Microsoft HPC Azure 管理 证书。 卸载后,头节点上证书存储中的 hpccert.cer 文件和 默认 Microsoft HPC Azure 管理 证书将保留。 如果稍后重新安装 HPC Pack,则不会重新生成 默认 Microsoft HPC Azure 管理 。
方案 2:配置自签名证书或来自未知证书颁发机构的证书
若要使用自己的自签名证书, 或证书颁发机构颁发的证书 (CA) 尚未受信任,使用 HPC Pack 2008 R2 和 SP3 创建的群集的 HPC 管理员、HPC Pack 2008 R2 SP4 或 HPC Pack 2012 RTM 需要在每个头节点上执行下图中绿色箭头显示的所有手动配置步骤,并在必要时 (在任何头节点上) 用于管理群集的客户端计算机。
注意
从 HPC Pack 2012 SP1 开始,只需在本地计算机\个人和本地计算机\受信任的根 CA 存储中导入自签名证书。
例如,可以使用 makecert.exe 工具创建自签名的 X.509 v3 证书,该工具随某些版本的 Microsoft Visual Studio 和 Windows SDK 一起自动安装。 然后,生成的证书可以导入头节点和客户端计算机上所需的证书存储。 如果需要,请使用以下过程来完成这些任务。
重要
- 仅使用“证书”管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开 文件来安装证书。
- 不能从一台计算机上的证书存储复制证书并将其粘贴到另一台计算机上的存储中。
- 在较新版本的 Windows 中,建议使用 New-SelfSignedCertificate Windows PowerShell cmdlet 来创建自签名证书。
使用 makecert 创建自签名证书
打开 Visual Studio 命令提示符或 Windows SDK 命令提示符。
若要创建密钥长度为 2048 的自签名 X.509 证书,请将其安装在名为 WinAzureHPCCert 的 Current User\Personal 证书存储中,并创建相应的 CER 文件 HPCcert.cer,键入类似于以下内容的命令:
makecert -r -pe -a sha1 -n "CN=WinAzureHPCCert" -ss My -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 HPCcert.cer
将自签名证书上传到 Azure 订阅
登录到 经典门户。
依次单击“设置”、“管理证书”和“上传”
浏览文件 HPCcert.cer (使用 makecert.exe) 创建的证书文件。
使用证书管理单元以 PFX 格式导出自签名证书
在生成自签名证书的计算机上,启动 Microsoft 管理控制台。 例如,在命令提示符下,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择 “我的用户帐户”,然后单击“ 完成”。 单击“确定”。
在控制台树中,依次展开 “证书”、“ 个人”和“ 证书”。
在详细信息窗格中,单击“ WinAzureHPCCert” (使用 makecert.exe) 创建的自签名证书的名称。
若要导出 PFX 格式的证书,请执行以下操作:
在“操作”菜单上,指向“所有任务”,然后单击“导出”。 此时将显示“证书导出向导”。 单击“下一步”。
在“导出私钥”页上,单击“是,导出私钥”。 单击“下一步”。
在“导出文件格式”页上,选择“个人信息交换 - PKCS #12(.PFX)”。 单击“下一步”。
在 “密码 ”页上,键入并确认要用于加密私钥的密码。 单击“下一步”。
按照向导页面的说明导出 PFX 格式的证书。
重要
导出的 PFX 格式文件受密码保护。 但是,它应始终存储在安全位置。
将自签名证书导入头节点上的证书存储
在头节点上,启动 Microsoft 管理控制台。 例如,在命令提示符下,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择“计算机帐户”,然后单击“下一步”。
选择“本地计算机”,然后单击“完成”。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择 “我的用户帐户”,然后单击“ 完成”。 单击“确定”。
若要将 PFX 格式的证书导入本地计算机/个人存储,请执行以下操作:
在控制台树中,展开“ 证书 (本地计算机) ”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这允许其他 HPC 管理员在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时将其提供给其他 HPC 管理员。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书以检查其状态,并查看指纹等详细信息。
若要将 CER 格式的证书导入本地计算机\受信任的根证书颁发机构存储,请执行以下操作:
在控制台树中,展开 “本地计算机 (证书”,然后展开 “受信任的根证书颁发机构”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页将 .cer 文件导入 (,而无需将私钥) 导入受信任的根证书颁发机构存储。
若要将 PFX 格式的证书导入当前用户/个人存储,请执行以下操作:
在控制台树中,展开 “证书 - 当前用户”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时会显示“证书导入向导”。
按照向导页面操作,将带有私钥的 .pfx 文件 (导入个人存储) 。
将自签名证书导入客户端计算机上的证书存储
使用相应的 HPC 管理员帐户登录到客户端计算机。
启动证书管理器。 例如,在命令提示符处,键入 certmgr.msc。
在控制台树中,展开 “证书”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时会显示“证书导入向导”。
按照向导页面操作,将带有私钥的 .pfx 文件 (导入个人存储) 。
在控制台树中,展开 “证书”,然后展开 “受信任的根证书颁发机构”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时会显示“证书导入向导”。
按照向导的页将 .cer 文件导入 (,而无需将私钥) 导入受信任的根证书颁发机构存储。
方案 3:配置来自受信任 CA 的证书
若要使用已受信任的公共或企业 CA 颁发的证书,使用 HPC Pack 2008 R2 SP3、HPC Pack 2008 R2 SP4 或 HPC Pack 2012 RTM 创建的群集的 HPC 管理员将在每个头节点上执行下图中绿色箭头显示的手动配置步骤,并在必要时) 用于管理群集的任何客户端计算机上 (。
注意
- 由于证书是由受信任的 CA 颁发的,因此应已在计算机上配置受信任的根证书,并且不需要将证书导入受信任的根证书颁发机构存储。
- 从 HPC Pack 2012 SP1 开始,只需在本地计算机\个人存储区中导入受信任的证书。
使用以下过程完成这些任务。
重要
- 仅使用“证书”管理单元导入和导出证书。 不要通过在 Windows 资源管理器中打开 文件来安装证书。
- 不能从一台计算机上的证书存储复制证书并将其粘贴到另一台计算机上的存储中。
使用证书管理单元以 PFX 格式和 CER 格式导出受信任的证书
在头节点计算机上,启动 Microsoft 管理控制台。 例如,在命令提示符处,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择“计算机帐户”,然后单击“下一步”。 单击“确定”。
选择“本地计算机”,然后单击“完成”。 单击“确定”。
在控制台树中,展开 “证书”,展开“ 受信任的根证书颁发机构”,然后单击“ 证书”。
在详细信息窗格中,单击受信任的证书。
若要以 PFX 格式导出证书,请执行以下操作:
在“操作”菜单上,指向“所有任务”,然后单击“导出”。 此时将显示“证书导出向导”。 单击“下一步”。
在“导出私钥”页上,单击“是,导出私钥”。 单击“下一步”。
在“导出文件格式”页上,选择“个人信息交换 - PKCS #12(.PFX)”。 单击“下一步”。
在 “密码 ”页上,键入并确认要用于加密私钥的密码。 单击“下一步”。
按照向导页面的说明导出 PFX 格式的证书。
重要
导出的 PFX 格式文件受密码保护。 但是,它应始终存储在安全的位置。
若要以 CER 格式导出证书,请执行以下操作:
在“操作”菜单上,指向“所有任务”,然后单击“导出”。 此时将显示“证书导出向导”。 单击“下一步”。
在 “导出私钥 ”页上,单击“ 否,不导出私钥”。 单击“下一步”。
在“导出文件格式”页上,选择“ DER 编码的二进制 X.509 (”。CER) 。 单击“下一步”。
按照向导的页面以 CER 格式导出证书。
将证书上传到 Azure 订阅
登录到 经典门户。
依次单击“设置”、“管理证书”和“上传”
浏览之前从受信任的根证书颁发机构存储区导出的 .cer 文件。
将证书导入头节点上的证书存储
在头节点上,启动 Microsoft 管理控制台。 例如,在命令提示符处,键入
mmc。在“文件” 菜单上,单击“添加/删除管理单元” 。 此时将显示“添加或删除管理单元”对话框。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择“计算机帐户”,然后单击“下一步”。
选择“本地计算机”,然后单击“完成”。
在“可用的管理单元”中,单击“证书”,然后单击“添加”。
选择“ 我的用户帐户”,然后单击“ 完成”。 单击“确定”。
若要将 PFX 格式的证书导入本地计算机/个人存储,请执行以下操作:
在控制台树中,展开 “证书 (本地计算机) ”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时会显示“证书导入向导”。
按照向导的页面将 .pfx 文件导入个人存储。
重要
如果需要,请选择将密钥标记为可导出的选项。 这允许其他 HPC 管理员在以后使用私钥导出证书。 如果不想将密钥标记为可导出,请将管理证书的 .pfx 文件存储在安全的位置,并在需要时使其可供其他 HPC 管理员使用。
导入证书后,它将显示在“证书”管理单元的详细信息窗格中。 可以双击证书以检查其状态,并查看指纹等详细信息。
若要将 PFX 格式的证书导入当前用户/个人存储,请执行以下操作:
在控制台树中,展开 “证书 - 当前用户”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时会显示“证书导入向导”。
按照向导页面操作,将带有私钥的 .pfx 文件 (导入个人存储) 。
将证书导入客户端计算机上的证书存储
使用相应的 HPC 管理员帐户登录到客户端计算机。
启动证书管理器。 例如,在命令提示符处,键入 certmgr.msc。
在控制台树中,展开 “证书”,然后展开“ 个人”。
右键单击“ 证书”,指向“ 所有任务”,然后单击“ 导入”。 此时将显示“证书导入向导”。
按照向导的页面将 .pfx 文件 (与私钥) 导入个人存储。
排查证书问题
下表列出了在 Azure 节点模板中配置管理证书或部署 Azure 节点时的一些常见问题,以及可能的原因和解决方法步骤。
| 问题 | 可能的原因 | 解决方案 |
|---|---|---|
No certificate available 浏览管理证书时 |
- 私钥证书未导入到所需的证书存储 - 根证书的证书颁发机构不受信任 |
如本主题前面所述,将证书导入所有必需的证书存储。 注意: 所需的证书存储在具有 SP1 的 HPC Pack 2008 R2 中,或将 HPC Pack 2008 R2 与更高版本的 HPC Pack 中的证书存储在 SP2 中。 最新版本的 HPC Pack 提供更安全的配置。 |
There was a problem with the certificate with thumbprint: <thumbprint> 输入证书指纹或选择证书后出错 |
- 证书指纹格式不正确或与所需证书存储中的证书不对应 - 证书链中断 - 证书未正确导入证书存储 - 证书已过期 |
- 确保证书指纹包含所需数量的字符,不包含空格,并且对应于正确的身份验证证书。 - 验证颁发证书的证书颁发机构是否受信任。 如有必要,建立信任关系。 若要在头节点上执行此操作,请将证书不带私钥 (CER 格式的证书) 导入本地计算机\受信任的根证书颁发机构存储。 - 在“证书”管理单元中,双击证书,检查证书未显示配置错误,例如 The CA Root certificate is not trusted 或The certificate has expired or is not yet valid. |
The remote server returned an error: (403) Forbidden 输入有效证书指纹或浏览以选择证书后出现错误消息 |
证书未添加到 Azure 订阅 | 使用 经典门户将证书上传到 Azure 订阅。 |
The request was aborted: Could not create SSL/TLS secure channel 浏览以选择 默认 Microsoft HPC Azure 管理 证书后的错误消息 |
HPC Pack 生成的 hpccert.cer 文件与导入到头节点上证书存储的证书文件不匹配 | 按如下所示重新生成 默认 Microsoft HPC Azure 管理 证书: - 删除头节点上的 hpccert.cer 文件 (或头节点) 。 - 重启 HPC 管理服务。 - 确认证书已导入头节点上的证书存储。 - 使用 Azure 经典门户将证书上传到 Azure 订阅。 |