共用方式為

使用 Azure Stack Hub 整備檢查工具建立 Azure Stack Edge Pro GPU 的憑證

  • 發行項

適用於:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

本文說明如何使用 Azure Stack Hub 整備檢查工具建立 Azure Stack Edge Pro 的憑證。

使用 Azure Stack 整備檢查工具

使用 Azure Stack Hub 整備檢查工具,建立適用於 Azure Stack Edge Pro 裝置部署的憑證簽署要求 (CSR)。 您可以在訂購 Azure Stack Edge Pro 裝置後建立這些要求,然後等候裝置送達。

注意

此工具僅供測試或開發使用,不適用於實際執行裝置。

您可以使用 Azure Stack Hub 整備檢查工具 (AzsReadinessChecker) 來要求下列憑證:

  • Azure Resource Manager 憑證
  • 本機 UI 憑證
  • 節點憑證
  • Blob 憑證
  • VPN 憑證

必要條件

若要建立 Azure Stack Edge Pro 裝置部署的 CSR,請確定:

  • 您的用戶端是執行 Windows 10 或 Windows Server 2016 或更新版本。
  • 您已從此系統上 PowerShell 資源庫下載 Microsoft Azure Stack Hub 整備檢查工具。
  • 您有下列憑證資訊:
    • Device name
    • 節點序號
    • 外部完整網域名稱 (FQDN)

產生憑證簽署要求

使用這些步驟來準備 Azure Stack Edge Pro 裝置憑證:

  1. 以管理員身分執行 PowerShell (5.1 版或更新版本)。

  2. 安裝 Azure Stack Hub 整備檢查工具。 在 PowerShell 提示中,輸入:

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker

    若要取得已安裝的版本,請輸入:

    Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version

  3. 請建立用來存放所有憑證的目錄,如果還沒有的話。 輸入:

    New-Item "C:\certrequest" -ItemType Directory

  4. 若要建立憑證要求,請提供下列資訊。 如果您要產生 VPN 憑證,則其中一些輸入不適用。

    輸入 描述
    OutputRequestPath 您要在本機用戶端上用來建立憑證要求的檔案路徑。
    DeviceName 在裝置的本機 Web UI 中,[裝置] 頁面上的裝置名稱。
    VPN 憑證不需要此欄位。
    NodeSerialNumber 在裝置的本機 Web UI 中,裝置節點的 Node serial number 會顯示在 [蓋觀] 頁面。
    VPN 憑證不需要此欄位。
    ExternalFQDN 在裝置的本機 Web UI 中,[裝置] 頁面中的 DNS domain 值。
    RequestType 要求類型可用於 MultipleCSR - 不同的端點使用不同的憑證,或 SingleCSR - 所有端點使用單一憑證。
    VPN 憑證不需要此欄位。

    針對 VPN 憑證以外的所有憑證,請輸入:

    $edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeDEVICE'
    DeviceName = 'myTEA1'
    NodeSerialNumber = 'VM1500-00025'
    externalFQDN = 'azurestackedge.contoso.com'
    requestType = 'MultipleCSR'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

    如果您要建立 VPN 憑證,請輸入:

    $edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeVPN'
    externalFQDN = 'azurestackedge.contoso.com'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

  5. 您可以在上述 OutputRequestPath 參數指定的目錄中找到憑證要求檔案。 使用 MultipleCSR 參數時,您會看到下列四個副檔名為的 .req 檔案:

    檔案名稱 憑證要求類型
    DeviceName 開始 本機 Web UI 憑證要求
    NodeSerialNumber 開始 節點憑證要求
    login 開始 Azure Resource Manager 端點憑證要求
    wildcard 開始 Blob 儲存體憑證要求。 此要求包含萬用字元,因為涵蓋了您在裝置上建立的所有儲存體帳戶。
    AzureStackEdgeVPNCertificate 開始 VPN 用戶端憑證要求。

    您也會看到 INF 資料夾。 這包含管理。<edge-devicename> 資訊檔案以純文字說明憑證詳細資料。

  6. 將這些檔案提交給憑證授權單位 (內部或公用)。 請確定您的 CA 會使用產生的要求來產生憑證,以符合節點憑證端點憑證本機 UI 憑證的 Azure Stack Edge Pro 憑證需求。

準備憑證以進行部署

您必須使用符合 Azure Stack Edge Pro 裝置憑證需求的屬性,匯入和匯出您從憑證授權單位 (CA) 取得的憑證檔案。 在產生憑證簽署要求的相同系統上完成下列步驟。

驗證憑證

首先,您將產生適當的資料夾結構,並將憑證放在對應的資料夾中。 只有這樣,您才可以使用工具驗證憑證。

  1. 以系統管理員身分執行 PowerShell。

  2. 若要產生適當的資料夾結構,請在提示中輸入:

    New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

  3. 將 PFX 密碼轉換成安全字串。 輸入:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

  4. 接下來,驗證憑證。 輸入:

    Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

下一步

在裝置上上傳憑證