什麼是 Azure Stack Edge Pro GPU 上的憑證?

適用於:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

本文說明可在 Azure Stack Edge Pro GPU 裝置上安裝的憑證類型。 本文也包含每個憑證類型的詳細資料。

關於憑證

憑證提供公開金鑰和實體 (例如網域名稱) 間的連結，此實體已由受信任的第三方 (例如憑證授權單位) 進行簽署 (驗證)。 憑證提供方便的方式來散發受信任的公開加密金鑰。 如此一來，憑證可確保您的通訊受到信任，而且您會將加密的資訊傳送至正確的伺服器。

在裝置上部署憑證

在 Azure Stack Edge 裝置上，您可以使用自我簽署憑證或自備憑證。

• 裝置產生的憑證: 一開始設定裝置時，會自動產生自我簽署憑證。 如有需要，您可以透過本機 Web UI 重新產生這些憑證。 重新產生憑證之後，請在用來存取裝置的用戶端下載並匯入憑證。

• 自備憑證: 您可以選擇是否要自備憑證。 如果您打算攜帶自己的憑證，則需要遵循指導方針。

  • 首先請在此文章中了解可以與 Azure Stack Edge 裝置一起使用的憑證類型。
  • 接下來，檢閲每種憑證類型的憑證需求。
  • 然後，您可以透過 Azure PowerShell 建立憑證，或透過整備程度檢查程式工具建立憑證。
  • 最後，將憑證轉換為適當格式，讓憑證得以上傳至您的裝置。
  • 將憑證上傳至裝置。
  • 在存取裝置的用戶端匯入憑證。

憑證的類型

您可以用於裝置各種自備憑證類型如下:

• 簽署憑證

  • 根 CA
  • 中級

• 節點憑證

• 端點憑證

  • Azure Resource Manager 憑證
  • Blob 儲存體憑證

• 本機 UI 憑證

• IoT 裝置憑證

• kubernetes 憑證

  • Edge Container Registry 憑證
  • kubernetes 儀表板憑證

• Wi-Fi 憑證

• VPN 憑證

• 加密憑證

  • 技術支援工作階段憑證

下列各節將詳細說明每種憑證類型。

簽署鏈結憑證

這些是簽署憑證或簽署證書授權單位的憑證。

類型

這些憑證可以是根憑證或中繼憑證。 根憑證一律是自我簽署的 (或稱為自行簽署)。 中繼憑證並非自我簽署，並由簽署授權單位所簽署。

警示

• 根憑證應該是簽署鏈結憑證。
• 根憑證能夠以下列格式上傳至您的裝置:
  • DER – 這些格式可作為 .cer 副檔名。
  • Base-64 編碼 – 這些格式可作為 .cer 副檔名。
  • P7b – 此格式僅適用於包含根憑證和中繼憑證的簽署鏈結憑證。
• 在您上傳任何其他憑證之前，一律會上傳簽署鏈結憑證。

節點憑證

裝置中的所有節點都會持續相互進行通訊，因此需要一種信任關係。 節點憑證可提供建立該信任的方法。 當您透過 HTTPS 使用遠端 PowerShell 工作階段連線至裝置節點時，節點憑證也會派上用場。

警示

• 端點憑證的格式必須帶有可匯出私密金鑰的 .pfx 格式。

• 您可以建立並上傳 1 個萬用字元節點憑證，或 4 個個別的節點憑證。

• 如果 DNS 網域發生變更，但裝置名稱並未變更，則必須變更節點憑證。 如果您自備節點憑證，則無法變更裝置序號，您只能變更網域名稱。

• 請使用下表來引導您建立節點憑證。

  類型	主體名稱 (SN)	主體別名 (SAN)	主體名稱範例
  節點	<NodeSerialNo>.<DnsDomain>	*.<DnsDomain> <NodeSerialNo>.<DnsDomain>	mydevice1.microsoftdatabox.com

端點憑證

裝置公開的任何端點，都需要憑證來進行受信任通訊。 端點憑證包含透過 REST API 存取 Azure Resource Manager 和 Blob 記憶體時所需的憑證。

使用自己的已簽署憑證時，同時也需要與該憑證對應的簽署鏈結。 針對裝置上的簽署鏈結、Azure Resource Manager 和 Blob 憑證，您用戶端電腦上也需要有對應的憑證，才能驗證裝置並與之通訊。

警示

• 端點憑證必須是具有私密金鑰的 .pfx 格式。 簽署鏈結應該是 DER 格式 (.cer 副檔名)。

• 當您自備端點憑證時，這些憑證可以是個別憑證或多網域憑證。

• 如果您要帶入簽署鏈結，則必須先上傳簽署鏈結憑證，才能上傳端點憑證。

• 如果裝置名稱或 DNS 網域名稱已變更，則憑證也必須進行變更。

• 可以使用萬用字元端點憑證。

• 端點憑證的屬性與一般 SSL 憑證的屬性相似。

• 建立端點憑證時，請使用下表：

  類型	主體名稱 (SN)	主體別名 (SAN)	主體名稱範例
  Azure Resource Manager	management.<Device name>.<Dns Domain>	login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain>	management.mydevice1.microsoftdatabox.com
  Blob 儲存體	*.blob.<Device name>.<Dns Domain>	*.blob.< Device name>.<Dns Domain>	*.blob.mydevice1.microsoftdatabox.com
  各端點的多 SAN 單一憑證	<Device name>.<dnsdomain>	<Device name>.<dnsdomain> login.<Device name>.<Dns Domain> management.<Device name>.<Dns Domain> *.blob.<Device name>.<Dns Domain>	mydevice1.microsoftdatabox.com

本機 UI 憑證

您可以透過瀏覽器存取裝置的本機 Web UI。 若要確保此通訊安全，您可以上傳自己的憑證。

警示

• 本機 UI 憑證也會以 .pfx 格式上傳 (具有可匯出的私密金鑰)。

• 上傳本機 UI 憑證之後，您必須重新啟動瀏覽器並清除快取。 請參閱瀏覽器的特定指示。

  類型	主體名稱 (SN)	主體別名 (SAN)	主體名稱範例
  本機 UI	<Device name>.<DnsDomain>	<Device name>.<DnsDomain>	mydevice1.microsoftdatabox.com

IoT Edge 裝置憑證

您的裝置同時也是 IoT 裝置，其運算功能是由所連線的 IoT Edge 裝置所啟用。 針對此 IoT Edge 裝置與可能與其連線的下游裝置之間的任何安全通訊，您也可以上傳 IoT Edge 憑證。

如果您只想要搭配裝置使用運算案例，裝置具有可供使用的自我簽署憑證。 如果裝置連線至下游裝置，則您必須自備憑證。

您需要安裝下列三個 IoT Edge 憑證，才能啟用此信任關聯:

• 根憑證授權單位或擁有者憑證授權單位
• 裝置憑證授權單位
• 裝置金鑰憑證

警示

• IoT Edge 憑證會以 .pem 格式上傳。

如需 IoT Edge 憑證的詳細資訊，請參閱 Azure IoT Edge 憑證詳細資料和建立 IoT Edge 生產憑證。

kubernetes 憑證

下列 Kubernetes 憑證可以搭配您的 Azure Stack Edge 裝置使用。

• Edge 容器登錄憑證: 如果您的裝置有 Edge 容器登錄，則需要 Edge Container Registry 憑證，才能與存取裝置上登錄的用戶端進行安全通訊。
• 儀表板端點憑證: 您需要儀表板端點憑證，才能存取裝置上的 Kubernetes 儀表板。

警示

• Edge Container Registry 憑證應該:

  • 為 PEM 格式憑證。
  • 包含下列類型的主體別名 (SAN) 或 CName (CN): *.<endpoint suffix> 或 ecr.<endpoint suffix>。 例如：*.dbe-1d6phq2.microsoftdatabox.com OR ecr.dbe-1d6phq2.microsoftdatabox.com

• 儀表板憑證應該:

  • 為 PEM 格式憑證。
  • 包含下列類型的主體別名 (SAN) 或 CName (CN): *.<endpoint-suffix> 或 kubernetes-dashboard.<endpoint-suffix>。 例如：*.dbe-1d6phq2.microsoftdatabox.com 或 kubernetes-dashboard.dbe-1d6phq2.microsoftdatabox.com。

VPN 憑證

如果您的裝置上已設定 VPN (點對站)，您可以自備 VPN 憑證，以確保通訊受到信任。 根憑證會安裝在 Azure VPN 閘道上，而客戶端憑證則會安裝在使用點對站方式連線至虛擬網路的每個用戶端電腦上。

警示

• VPN 憑證必須上傳為具有私密金鑰的 .pfx 格式。
• VPN 憑證不相依於裝置名稱、裝置序號或裝置設定。 其只需要外部 FQDN。
• 請確定已設定用戶端物件識別 (OID)。

如需詳細資訊，請參閱使用 PowerShell 來產生並匯出點對站的憑證 (英文)。

Wi-Fi 憑證

如果您的裝置設定為在 WPA2-Enterprise 無線網路上運作，那麼您也需要 Wi-Fi 憑證，才能透過無線網路進行任何通訊。

警示

• Wi-Fi 憑證必須上傳為具有私密金鑰的 .pfx 格式。
• 請確定已設定用戶端物件識別 (OID)。

技術支援工作階段憑證

如果您的裝置發生任何問題，那麼若要針對這些問題進行疑難排解，則可能會在裝置上開啟遠端 PowerShell 技術支援工作階段。 若要透過此技術支援工作階段啟用安全且加密的通訊，您可以上傳憑證。

警示

• 請確定使用解密工具在用戶端電腦上安裝具有私密金鑰的對應 .pfx 憑證。

• 確認憑證的 [金鑰使用方式] 欄位未憑證簽署。 若要確認這一點，請在憑證上按下滑鼠右鍵，選擇 [開啟]，然後在 [詳細資料] 索引標籤中找到 [金鑰使用方式]。

• 技術支援工作階段憑證必須以 DER 格式提供，且副檔名為 .cer。

下一步

檢閱憑證需求。