對 Azure Stack Edge Pro GPU 裝置使用憑證

發行項
05/26/2024

適用於： Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Yes for Mini R SKU Azure Stack Edge Mini R

本文說明如何使用 Azure PowerShell Cmdlet 建立您自己的憑證。若您打算在 Azure Stack Edge 裝置上自備憑證，可依照本文提供的指導方針操作。

憑證可確保裝置與存取該裝置的用戶端之間的通訊受到信任，以及確認加密資訊能傳送至正確的伺服器。一開始設定 Azure Stack Edge 裝置時，自我簽署憑證會自動產生。您可以選擇是否要自備憑證。

您可透過下列其中一種方法為裝置建立自己的憑證：

使用 Azure PowerShell Cmdle。
使用 Azure Stack Hub 整備檢查工具建立憑證簽署要求 (CSR)，協助憑證授權單位發行您的憑證。

本文僅說明如何使用 Azure PowerShell Cmdlet 建立您自己的憑證。

必要條件

自備憑證之前，請確定下列事項：

您已完全了解可與 Azure Stack Edge 裝置搭配使用的憑證類型 (機器翻譯)。
您已檢閱每種憑證類型的憑證需求 (機器翻譯)。

建立憑證

下一節介紹建立簽署鏈結和端點憑證的程序。

憑證工作流程

您將透過明確的方式，為在您環境中作業的裝置建立憑證。您可以使用 IT 管理員提供給您的憑證。

若僅為開發和測試用途，您也可以使用 Windows PowerShell 在本機系統上建立憑證。 為用戶端建立憑證時，請遵循以下指導方針：

您可以建立下列任何類型的憑證：
- 建立可與單一完整網域名稱 (FQDN) 搭配使用的單一憑證，例如 mydomain.com。
- 建立萬用字元憑證以確保涵蓋主要網域名稱和多個子網域，例如 *.mydomain.com。
- 建立主體別名 (SAN) 憑證，在單一憑證中涵蓋多個網域名稱。
若要自備憑證，便需要簽署鏈結的根憑證。請參閱建立簽署鏈結憑證 (機器翻譯) 的步驟。
接下來可為設備、blob 與 Azure Resource Manager 的本機 UI 建立端點憑證。您可分別為設備、blob 與 Azure Resource Manager 建立 3 個不同憑證，也可以為全部 3 個端點建立一個憑證。如需了解詳細步驟，請參閱建立簽署和端點憑證 (機器翻譯)。
無論是建立 3 個不同的憑證或單一憑證，都必須根據各個憑證類型的指導指定主體名稱 (SN) 與主體別名 (SAN)。

建立簽署鏈結憑證

透過在系統管理員模式中執行的 Windows PowerShell 建立這些憑證。 以這種方式建立的憑證僅可用於開發或測試用途。

簽署鏈結憑證只需建立一次，其他端點憑證會參考此憑證進行簽署。

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

建立已簽署的端點憑證

透過在系統管理員模式中執行的 Windows PowerShell 建立這類憑證。

以下範例示範為含有 - 裝置名稱：DBE-HWDC1T2 - DNS 網域：microsoftdatabox.com 的裝置建立端點憑證

為您的裝置建立憑證時，請更換裝置的名稱和 DNS 網域。

blob 端點憑證

在個人存放區中建立 blob 端點的憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Azure Resource Manager 端點憑證

在個人存放區中為 Azure Resource Manager 端點建立憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

裝置本機 Web UI 憑證

在個人存放區中為裝置的本機 Web UI 建立憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

所有端點的單一多 SAN 憑證

在個人存放區中為所有端點建立單一憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

建立憑證之後，下一個步驟是將憑證上傳至 Azure Stack Edge Pro GPU 裝置。

下一步

將憑證上傳至裝置 (機器翻譯)。

共用方式為