在 Azure Stack Edge Pro GPU 上傳、匯入、匯出和刪除憑證

適用於：Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

若要在 Azure Stack Edge 裝置及其連線的用戶端之間確保安全又可信任的通訊，您可以使用自我簽署憑證或攜帶您自己的憑證。 本文說明如何管理這些憑證，包括如何上傳、匯入和匯出這些憑證。 您也可以檢視憑證到期日，並刪除舊的簽署憑證。

若要深入了解如何建立這些憑證，請參閱使用 Azure PowerShell 建立憑證。

將憑證上傳至裝置

如果您攜帶自己的憑證，則您為裝置建立的憑證預設位於用戶端的個人存放區。 在用戶端，這些憑證必須匯出為適當格式的檔案，才能上傳至裝置。

必要條件

將根憑證和端點憑證上傳至裝置之前，請務必以適當的格式匯出憑證。

• 根憑證必須匯出為具有 .cer 副檔名的 DER 格式。 如需詳細步驟，請參閱將憑證匯出為 DER 格式。
• 端點憑證必須連同私密金鑰一起匯出為 .pfx 檔案。 如需詳細步驟，請參閱將憑證連同私密金鑰一起匯出為 .pfx 檔案。

上傳憑證

若要將根憑證和端點憑證上傳至裝置，請在本機 Web UI 的 [憑證] 頁面上使用 [+ 新增憑證] 選項。 執行下列步驟:

1. 先上傳根憑證。 在本機 Web UI 中，移至 [憑證]。

2. 選取 [+新增憑證]。

   

3. 儲存憑證。

上傳端點憑證

1. 接下來上傳端點憑證。

   

   選擇 .pfx 格式的憑證檔案，然後輸入您匯出憑證時提供的密碼。 套用 Azure Resource Manager 憑證可能需要幾分鐘。

   如果未先更新簽署鏈結，就嘗試上傳端點憑證，則會發生錯誤。

   

   返回並上傳簽署鏈結憑證，然後上傳並套用端點憑證。

重要

如果裝置名稱或 DNS 網域已變更，則必須建立新的憑證。 然後，應該以新的裝置名稱和 DNS 網域來更新用戶端憑證和裝置憑證。

上傳 Kubernetes 憑證

Kubernetes 憑證可以用於 Edge Container Registry 或 Kubernetes 儀表板。 不論何者，都必須上傳憑證和金鑰檔案。 請遵循下列步驟來建立和上傳 Kubernetes 憑證：

1. 您將使用 openssl 來建立 Kubernetes 儀表板憑證或 Edge Container Registry。 請務必在您要用來建立憑證的系統上安裝 openssl。 在 Windows 系統上，您可以使用 Chocolatey 來安裝 openssl。 安裝 Chocolatey 之後，開啟 PowerShell 並輸入：

   choco install openssl
   

2. 使用 openssl 來建立這些憑證。 將會建立 cert.pem 憑證檔案和 key.pem 金鑰檔案。

   • 若為 Edge Container Registry，請使用下列命令：

     openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"
     

     範例輸出如下：

     PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
     Generating a RSA private key
     .....................++++....++++
     writing new private key to 'key.pem'
     -----
     PS C:\WINDOWS\system32>
     

   • 若為 Kubernetes 儀表板憑證，請使用下列命令：

     openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"
     

     範例輸出如下：

     PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
     Generating a RSA private key
     .....................++++....++++
     writing new private key to 'key.pem'
     -----
     PS C:\WINDOWS\system32>
     

3. 上傳您稍早產生的 Kubernetes 憑證和對應的金鑰檔案。

   • Edge Container Registry

     

   • Kubernetes 儀表板

     

在存取裝置的用戶端匯入憑證

您可以使用裝置產生的憑證或攜帶您自己的憑證。 使用裝置產生的憑證時，您必須先在用戶端下載憑證，才能將憑證匯入適當的憑證存放區。 請參閱將憑證下載到存取裝置的用戶端。

在這兩種情況下，您已建立並上傳至裝置的憑證必須在 Windows 用戶端 (存取裝置) 匯入適當的憑證存放區。

• 您匯出為 DER 的根憑證現在應該匯入用戶端系統上的受信任的根憑證授權單位。 如需詳細步驟，請參閱將憑證匯入受信任的根憑證授權單位存放區。

• 您匯出為 .pfx 的端點憑證必須匯出為具有 .cer 副檔名的 DER。 然後，將此 .cer 匯入您系統上的個人憑證存放區。 如需詳細步驟，請參閱將憑證匯入個人憑證存放區。

將憑證匯入為 DER 格式

若要在 Windows 用戶端匯入憑證，請執行下列步驟：

1. 以滑鼠右鍵按一下檔案，然後選取 [安裝憑證]。 這個動作會啟動 [憑證匯入精靈]。

   

2. 對於 [存放位置]，選取 [本機電腦]，然後選取 [下一步]。

   

3. 選取 [將所有憑證放入以下的存放區]，然後選取 [瀏覽]。

   • 若要匯入個人存放區，請瀏覽至遠端主機的個人存放區，然後選取 [下一步]。

     

   • 若要匯入信任的存放區，請瀏覽至 [受信任的根憑證授權單位]，然後選取 [下一步]。

     

4. 選取 [完成]。 出現訊息指出匯入成功。

檢視憑證到期日

如果您攜帶自己的憑證，憑證通常會在 1 年或 6 個月內到期。 若要檢視憑證的到期日，請移至裝置本機 Web UI 中的 [憑證] 頁面。 如果您選取特定憑證，則可以在憑證上檢視到期日。

刪除簽署鏈結憑證

您可以從裝置刪除舊的過期簽署鏈結憑證。 當您這麼做時，簽署鏈結中的任何相依憑證將不再有效。 只能刪除簽署鏈結憑證。

若要從 Azure Stack Edge 裝置刪除簽署鏈結憑證，請執行下列步驟：

1. 在裝置的本機 Web UI 中，移至 [設定]>[憑證]。

2. 選取您要刪除的簽署鏈結憑證。 接著選取刪除。

   

3. 在 [刪除憑證] 窗格上，驗證憑證的指紋，然後選取 [刪除]。 憑證刪除就無法回復。

   

   憑證刪除完成後，簽署鏈結中的所有相依憑證就不再有效。

4. 若要查看狀態更新，請重新整理顯示畫面。 簽署鏈結憑證不再出現，而相依憑證的狀態為無效。

下一步

了解如何針對憑證問題進行疑難排解