搭配 Azure Stack Edge Pro GPU 裝置使用憑證

發行項
10/26/2023

適用于： Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Yes for Mini R SKU Azure Stack Edge Mini R

本文說明使用 Azure PowerShell Cmdlet 建立您自己的憑證的程式。如果您打算在 Azure Stack Edge 裝置上攜帶自己的憑證，本文包含您需要遵循的指導方針。

憑證可確保裝置與存取裝置的用戶端之間的通訊是受信任的，而且您會將加密資訊傳送至正確的伺服器。一開始設定 Azure Stack Edge 裝置時，會自動產生自我簽署憑證。或者，您可以攜帶自己的憑證。

您可以使用下列其中一種方法來為裝置建立您自己的憑證：

使用 Azure PowerShell Cmdlet。
使用 Azure Stack Hub 整備檢查程式工具來建立憑證簽署要求（CSR），以協助您的憑證授權單位單位發行憑證。

本文只涵蓋如何使用 Azure PowerShell Cmdlet 建立您自己的憑證。

必要條件

在您攜帶自己的憑證之前，請確定：

您熟悉可與 Azure Stack Edge 裝置搭配使用的憑證類型。
您已檢閱每種憑證類型的憑證需求。

建立憑證

下一節說明建立簽署鏈結和端點憑證的程式。

憑證工作流程

您將有一個已定義的方法來建立環境中操作之裝置的憑證。您可以使用 IT 系統管理員提供給您的憑證。

僅供開發或測試之用，您也可以使用 Windows PowerShell 在本機系統上建立憑證。 建立用戶端的憑證時，請遵循下列指導方針：

您可以建立下列任一類型的憑證：
- 建立有效的單一憑證，以搭配單一完整功能變數名稱（FQDN）使用。例如， mydomain.com 。
- 建立萬用字元憑證來保護主要功能變數名稱和多個子域。例如* .mydomain.com 。
- 建立主體別名（SAN）憑證，以涵蓋單一憑證中的多個功能變數名稱。
如果您要攜帶自己的憑證，則需要簽署鏈結的根憑證。請參閱建立簽署鏈結憑證的步驟。
接下來，您可以為設備、Blob 和 Azure Resource Manager 的本機 UI 建立端點憑證。您可以為設備、Blob 和 Azure Resource Manager 建立 3 個不同的憑證，也可以為所有 3 個端點建立一個憑證。如需詳細步驟，請參閱建立簽署和端點憑證。
無論您是建立 3 個不同的憑證或一個憑證，請根據每個憑證類型所提供的指引，指定主體名稱（SN）和主體別名（SAN）。

建立簽署鏈結憑證

透過以系統管理員模式執行的 Windows PowerShell 建立這些憑證。 以這種方式建立的憑證應該僅用於開發或測試目的。

簽署鏈結憑證只需要建立一次。另一個端點憑證會參考此憑證進行簽署。

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

建立已簽署的端點憑證

透過以系統管理員模式執行的 Windows PowerShell 建立這些憑證。

在這些範例中，會為裝置建立端點憑證，其中包含： - 裝置名稱： DBE-HWDC1T2 - DNS 網域： microsoftdatabox.com

將取代為裝置的名稱和 DNS 網域，以為您的裝置建立憑證。

Blob 端點憑證

在個人存放區中建立 Blob 端點的憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

Azure Resource Manager 端點憑證

為個人存放區中的 Azure Resource Manager 端點建立憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

裝置本機 Web UI 憑證

在個人存放區中，為裝置的本機 Web UI 建立憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

所有端點的單一多重 SAN 憑證

為個人存放區中的所有端點建立單一憑證。

$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"

New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable  -HashAlgorithm sha256 -KeyLength 2048  -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

建立憑證之後，下一個步驟是在 Azure Stack Edge Pro GPU 裝置上上傳憑證。

下一步

在您的裝置上上傳憑證。