Freigeben über

Optionen zum Konfigurieren des Azure-Verwaltungszertifikats für Azure Burst-Bereitstellungen

  • Artikel

Bevor Sie Azure-Knoten in Ihrem Windows HPC-Cluster bereitstellen können, muss ein Verwaltungszertifikat in Ihr Azure-Abonnement hochgeladen werden. Ein entsprechendes Zertifikat muss auf dem Kopfknotencomputer (oder auf jedem Der Kopfknotencomputer) konfiguriert werden, wenn der Kopfknoten für hohe Verfügbarkeit konfiguriert ist. Für bestimmte Szenarien mit einigen Versionen von HPC Pack muss ein Zertifikat auch auf einem Clientcomputer konfiguriert werden, der zum Verwalten des Clusters verwendet wird und eine Verbindung mit Azure benötigt.

Übersicht

In der folgenden Tabelle sind die erforderlichen Konfigurationen für das Verwaltungszertifikat für Azure-Knotenbereitstellungen zusammengefasst. Die genauen Konfigurationsschritte, die erforderlich sind, hängen von der Quelle des Verwaltungszertifikats, der auf dem Cluster ausgeführten HPC Pack-Version und Ihrer Clusterkonfiguration ab. Beispiele finden Sie in den Szenarien im restlichen Thema.

Standort Zertifikatspeicher Type
Azure-Abonnement Abonnementeinstellungen Nur Zertifikat (.cer)
Kopfknoten(n) Lokaler Computer\Personal Zertifikat mit privatem Schlüssel (PFX)
Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen Nur Zertifikat (.cer)
Aktueller Benutzer\Persönlich (ab HPC Pack 2012 mit SP1 nicht erforderlich) Zertifikat mit privatem Schlüssel (PFX)
Clientcomputer Aktueller Benutzer\Persönlich (ab HPC Pack 2012 mit SP1 nicht erforderlich) Zertifikat mit privatem Schlüssel (PFX)
Aktueller Benutzer\vertrauenswürdige Stammzertifizierungsstellen (ab HPC Pack 2012 mit SP1 nicht erforderlich) Nur Zertifikat (.cer)

Hinweis

Wenn Sie Bereitstellungen von Azure-Knoten mit mehr als einem Azure-Abonnement planen, stellen Sie sicher, dass Sie alle benötigten Verwaltungszertifikate konfigurieren.

Weitere Informationen zum Azure-Abonnement und zu den Optionen zum Abrufen eines Verwaltungszertifikats für Bereitstellungen von Azure-Knoten mit HPC Pack finden Sie unter Anforderungen zum Hinzufügen von Azure-Knoten mit Microsoft HPC Pack.

Um Zertifikate in Zertifikatspeicher auf einem Computer zu importieren oder zu exportieren, muss ein Konto mit entsprechenden Rechten und Berechtigungen verwendet werden. Allgemeine Informationen zur Verwendung des Zertifikat-Snap-Ins zum Exportieren und Importieren von Zertifikaten finden Sie in der Dokumentation für Ihre Version von Windows Server.

Szenario 1: Konfigurieren des Standardmäßigen Microsoft HPC Azure Management-Zertifikats

Wichtig

Dieses Szenario wird ab HPC Pack 2016 nicht unterstützt.

In Versionen von HPC Pack vor HPC Pack 2016 wird das Standardzertifikat von Microsoft HPC Azure Management automatisch auf dem Kopfknoten (oder Headknoten) generiert, wenn HPC Pack installiert wird. Dieses Zertifikat ist für Ihre Installation von HPC Pack selbstsigniert und einzigartig. Dieses Zertifikat wird zu Testzwecken und machbaren Bereitstellungen bereitgestellt. Es vereinfacht, beseitigt jedoch nicht alle Zertifikatkonfigurationsaufgaben für Azure-Knotenbereitstellungen.

Bei der Installation wird das Standardmäßiges Microsoft HPC Azure Management Zertifikat automatisch in die erforderlichen Zertifikatspeicher für den lokalen Computer importiert, und die %CCP_HOME%\bin\hpccert.cer Datei wird generiert. Diese Datei kann dann mithilfe des Azure-Portals oder anderen Tools für Azure in das Azure-Abonnement hochgeladen werden. Die zusätzlichen Aufgaben, die Sie ausführen müssen, um dieses Zertifikat zu verwenden, werden in diesem Abschnitt beschrieben.

Die folgende Abbildung zeigt die beiden Zertifikatspeicher auf dem Kopfknoten (oder Kopfknoten), in denen das Standardzertifikat von Microsoft HPC Azure Management automatisch importiert wird, wenn HPC Pack (beginnend mit HPC Pack 2008 R2 mit SP3) installiert wird.

Konfiguration des Standardverwaltungszertifikats

Die grünen Pfeile rechts in der Abbildung zeigen die folgenden zusätzlichen Zertifikatspeicher, in denen der HPC-Administrator das Zertifikat für HPC Pack 2008 R2 mit SP3, HPC Pack 2008 R2 mit SP4 oder HPC Pack 2012 RTM manuell importieren muss:

  1. Importieren Sie auf jedem Kopfknoten das Zertifikat (mit einem privaten Schlüssel) in den aktuellen Benutzer\Persönlichen Speicher.

  2. Auf einem Clientcomputer, der zum Verwalten des Clusters verwendet wird und eine Verbindung mit Azure benötigt, importieren Sie das Zertifikat (mit einem privaten Schlüssel) in den Aktuellen Benutzer\Persönlichen Speicher, und importieren Sie das Zertifikat im CER-Format (ohne Schlüssel) in den Speicher "Current User\Trusted Root Certification Authorities". Wenn Sie keinen Clientcomputer zum Verwalten des Clusters verwenden, sind diese Schritte nicht erforderlich.

Führen Sie bei Bedarf die folgenden Verfahren aus, um diese Aufgaben auszuführen.

Hinweis

  • Wenn Sie mindestens HPC Pack 2012 mit SP1 ausführen, wird das Standardmäßiges Microsoft HPC Azure Management automatisch in die erforderlichen Zertifikatspeicher auf dem Kopfknoten importiert. Es ist keine weitere Konfiguration auf dem Kopfknoten erforderlich, und es ist keine Konfiguration auf einem Clientcomputer erforderlich. Das Zertifikat muss nur in das Azure-Abonnement hochgeladen werden.
  • Wenn Sie HPC Pack 2008 R2 mit SP1 oder HPC Pack 2008 R2 mit SP2 ausführen, wird das Standardmäßige Microsoft HPC Azure Management-mit seinem privaten Schlüssel automatisch nur in den Lokalen Computer\vertrauenswürdige Stammzertifizierungsstellen im Kopfknoten importiert. Es ist nicht erforderlich, das Zertifikat (mit einem privaten Schlüssel) in zusätzliche Speicher auf dem Kopfknoten zu importieren. Als bewährte Methode für die Sicherheit empfiehlt es sich jedoch, ihre Konfigurationen für private Schlüsselzertifikate für diejenigen zu aktualisieren, die ab HPC Pack 2008 R2 mit SP3 erwartet werden.

Wichtig

  • Verwenden Sie nur das Zertifikat-Snap-In, um das Zertifikat zu importieren und zu exportieren. Installieren Sie das Zertifikat nicht, indem Sie die Datei im Windows-Explorer öffnen.
  • Sie können das Zertifikat nicht aus einem Zertifikatspeicher auf einem Computer kopieren und in einen Speicher auf einem anderen Computer einfügen.

So laden Sie das Standardmäßige Microsoft HPC Azure Management-Zertifikat in das Azure-Abonnement hoch

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Abonnements>your_subscription_name.

  3. Klicken Sie auf Verwaltungszertifikate>hochladen.

  4. Suchen Sie nach der Datei %CCP_HOME%\bin\hpccert.cer.

So exportieren Sie das STANDARDMÄßIGe HPC Azure-Verwaltungszertifikat im PFX-Format mithilfe des Zertifikat-Snap-Ins

  1. Starten Sie auf dem Kopfknoten die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Computerkontoaus, und klicken Sie dann auf Weiter.

    Wichtig

    Für dieses Verfahren müssen Sie Computerkontoauswählen. Wählen Sie auf dieser Seite keine weitere Option aus.

  5. Wählen Sie lokalen Computeraus, und klicken Sie dann auf Fertig stellen. Wählen Sie OK aus.

  6. Erweitern Sie in der Konsolenstruktur Zertifikate, erweitern Sie persönliche, und klicken Sie dann auf Zertifikate.

  7. Klicken Sie im Detailbereich auf Standardmäßige Microsoft HPC Azure Management-.

  8. Gehen Sie wie folgt vor, um das Zertifikat im PFX-Format zu exportieren:

    1. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

    2. Klicken Sie auf der Seite Export Private Key auf Ja, exportieren Sie den privaten Schlüssel. Klicken Sie auf Weiter.

    3. Wählen Sie auf der Seite "Dateiformat exportieren" Persönlichen Informationsaustausch – PKCS #12 (. PFX). Klicken Sie auf Weiter.

    4. Geben Sie auf der Seite Kennwort- das Kennwort ein, das Sie zum Verschlüsseln des privaten Schlüssels verwenden möchten, und bestätigen Sie es. Klicken Sie auf Weiter.

    5. Folgen Sie den Seiten des Assistenten, um das Zertifikat im PFX-Format zu exportieren.

    Wichtig

    Eine exportierte PFX-Formatierte Datei ist kennwortgeschützt. Es sollte jedoch immer an einem sicheren Ort gespeichert werden.

So importieren Sie das Standardmäßige Windows HPC Azure Management-Zertifikat in den aktuellen Benutzer\Persönlichen Speicher auf dem Kopfknoten

  1. Starten Sie auf dem Kopfknoten die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Mein Benutzerkontoaus, und klicken Sie dann auf Fertig stellen.

  5. Erweitern Sie in der Konsolenstruktur Zertifikate – aktuelle Benutzer-, und erweitern Sie dann persönliche.

  6. Klicken Sie zum Importieren des formatierten PFX-Zertifikats mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

  7. Folgen Sie den Seiten des Assistenten, um die PFX-Datei in den persönlichen Speicher zu importieren.

    Wichtig

    Wenn Sie möchten, wählen Sie die Option aus, um den Schlüssel als exportierbar zu markieren. Dadurch können andere HPC-Administratoren das Zertifikat zu einem späteren Zeitpunkt mit dem privaten Schlüssel exportieren. Wenn Sie den Schlüssel nicht als exportierbar markieren möchten, speichern Sie die PFX-Datei für das Verwaltungszertifikat an einem sicheren Speicherort, und stellen Sie ihn bei Bedarf anderen HPC-Administratoren zur Verfügung.

    Nachdem das Zertifikat importiert wurde, wird es im Detailbereich im Zertifikat-Snap-In angezeigt. Sie können auf das Zertifikat doppelklicken, um den Status zu überprüfen und Details wie den Fingerabdruck anzuzeigen.

So importieren Sie das Standardmäßige Windows HPC Azure Management-Zertifikat in Zertifikatspeicher auf einem Clientcomputer, der zum Verwalten des Clusters verwendet wird

  1. Melden Sie sich mit dem entsprechenden Clusteradministratorkonto beim Clientcomputer an.

  2. Starten Sie das Zertifikat-Snap-In, um Benutzerzertifikate zu verwalten. Geben Sie z. B. an einer Eingabeaufforderung certmgr.mscein.

  3. Gehen Sie wie folgt vor, um das pfX-formatierte Zertifikat in den aktuellen Benutzer\Persönlichen Speicher zu importieren:

    1. Erweitern Sie in der Konsolenstruktur Zertifikate, und erweitern Sie dann persönliche.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die PFX-Datei in den persönlichen Speicher zu importieren.

    Vorsicht

    Als bewährte Methode für die Sicherheit wählen Sie, es sei denn, Sie haben einen bestimmten Grund, den Schlüssel als exportierbar zu markieren, wenn Sie ihn in den aktuellen Benutzer\Persönlichen Speicher importieren.

  4. Gehen Sie wie folgt vor, um das CER-formatierte Zertifikat in den Speicher für aktuelle Benutzer\vertrauenswürdige Stammzertifizierungsstellen zu importieren:

    1. Erweitern Sie in der Konsolenstruktur Zertifikate, und erweitern Sie dann vertrauenswürdige Stammzertifizierungsstellen.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die hpccert.cer Datei in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen zu importieren.

Zusätzliche Überlegungen

  • Wenn Sie HPC Pack deinstallieren, wird das Standardmäßiges Microsoft HPC Azure Management Zertifikat auf dem Kopfknoten nicht gelöscht. Sowohl die hpccert.cer-Datei als auch die Standardmäßige Microsoft HPC Azure Management- Zertifikate in den Zertifikatspeichern auf dem Kopfknoten bleiben nach der Deinstallation bestehen. Wenn Sie HPC Pack zu einem späteren Zeitpunkt erneut installieren, wird das Standardmäßiges Microsoft HPC Azure Management nicht neu generiert.

Szenario 2: Konfigurieren eines selbstsignierten Zertifikats oder eines Zertifikats von einer unbekannten Zertifizierungsstelle

Um Ihr eigenes selbstsigniertes Zertifikat oder ein Zertifikat zu verwenden, das von einer Zertifizierungsstelle ausgestellt wurde, die noch nicht vertrauenswürdig ist, muss der HPC-Administrator für einen Cluster, der mit HPC Pack 2008 R2 mit SP3, HPC Pack 2008 R2 mit SP4 oder HPC Pack 2012 RTM erstellt wurde, alle manuellen Konfigurationsschritte ausführen, die von den grünen Pfeilen in der folgenden Abbildung auf jedem Kopfknoten und (falls erforderlich) auf jedem Clientcomputer dargestellt werden, der wird zum Verwalten des Clusters verwendet.

Hinweis

Ab HPC Pack 2012 mit SP1 muss das selbstsignierte Zertifikat nur in den Speicher für lokale Computer\Personal- und Local Computer\Trusted Root CAs importiert werden.

Zertifikatspeicher für verwaltungszertifikate

Ein selbstsigniertes X.509 v3-Zertifikat kann beispielsweise mithilfe des tools makecert.exe erstellt werden, das automatisch mit bestimmten Versionen von Microsoft Visual Studio und dem Windows SDK installiert wird. Das resultierende Zertifikat kann dann in die erforderlichen Zertifikatspeicher auf dem Kopfknoten und auf Clientcomputern importiert werden. Führen Sie bei Bedarf die folgenden Verfahren aus, um diese Aufgaben auszuführen.

Wichtig

  • Verwenden Sie nur das Zertifikat-Snap-In, um das Zertifikat zu importieren und zu exportieren. Installieren Sie das Zertifikat nicht, indem Sie die Datei im Windows-Explorer öffnen.
  • Sie können das Zertifikat nicht aus einem Zertifikatspeicher auf einem Computer kopieren und in einen Speicher auf einem anderen Computer einfügen.
  • In neueren Versionen von Windows wird empfohlen, das New-SelfSignedCertificate Windows PowerShell-Cmdlet zum Erstellen eines selbstsignierten Zertifikats zu verwenden.

So erstellen Sie ein selbstsigniertes Zertifikat mithilfe von makecert

  • Öffnen Sie eine Visual Studio-Eingabeaufforderung oder eine Windows SDK-Eingabeaufforderung.

  • Um ein selbstsigniertes X.509-Zertifikat mit Schlüssellänge 2048 zu erstellen, installieren Sie es im Aktuellen Benutzer\Persönlichen Zertifikatspeicher mit dem Namen WinAzureHPCCert, und erstellen Sie eine entsprechende CER-Datei HPCcert.cer, geben Sie einen Befehl wie folgt ein:

    makecert -r -pe -a sha1 -n "CN=WinAzureHPCCert" -ss My -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 HPCcert.cer

So laden Sie das selbstsignierte Zertifikat in das Azure-Abonnement hoch

  1. Melden Sie sich beim klassischen Portalan.

  2. Klicken Sie auf Einstellungen, klicken Sie auf Verwaltungszertifikate, und klicken Sie dann auf Hochladen

  3. Suchen Sie nach der Datei HPCcert.cer (die Zertifikatdatei, die Sie mit makecert.exeerstellt haben).

So exportieren Sie das selbstsignierte Zertifikat im PFX-Format mithilfe des Zertifikat-Snap-Ins

  1. Starten Sie auf dem Computer, auf dem Sie das selbstsignierte Zertifikat generiert haben, die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Mein Benutzerkontoaus, und klicken Sie dann auf Fertig stellen. Wählen Sie OK aus.

  5. Erweitern Sie in der Konsolenstruktur Zertifikate, erweitern Sie persönliche, und klicken Sie dann auf Zertifikate.

  6. Klicken Sie im Detailbereich auf WinAzureHPCCert (der Name des selbstsignierten Zertifikats, das Sie mit makecert.exeerstellt haben).

  7. Gehen Sie wie folgt vor, um das Zertifikat im PFX-Format zu exportieren:

    1. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

    2. Klicken Sie auf der Seite Export Private Key auf Ja, exportieren Sie den privaten Schlüssel. Klicken Sie auf Weiter.

    3. Wählen Sie auf der Seite "Dateiformat exportieren" Persönlichen Informationsaustausch – PKCS #12 (. PFX). Klicken Sie auf Weiter.

    4. Geben Sie auf der Seite Kennwort- das Kennwort ein, das Sie zum Verschlüsseln des privaten Schlüssels verwenden möchten, und bestätigen Sie es. Klicken Sie auf Weiter.

    5. Folgen Sie den Seiten des Assistenten, um das Zertifikat im PFX-Format zu exportieren.

    Wichtig

    Eine exportierte PFX-Formatierte Datei ist kennwortgeschützt. Es sollte jedoch immer an einem sicheren Ort gespeichert werden.

So importieren Sie das selbstsignierte Zertifikat in Zertifikatspeicher auf dem Kopfknoten

  1. Starten Sie auf dem Kopfknoten die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Computerkontoaus, und klicken Sie dann auf Weiter.

  5. Wählen Sie lokalen Computeraus, und klicken Sie dann auf Fertig stellen.

  6. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  7. Wählen Sie Mein Benutzerkontoaus, und klicken Sie dann auf Fertig stellen. Wählen Sie OK aus.

  8. Gehen Sie wie folgt vor, um das pfX-formatierte Zertifikat in den lokalen Computer\Personal-Speicher zu importieren:

    1. Erweitern Sie in der KonsolenstrukturZertifikate (lokaler Computer), und erweitern Sie dann persönliche.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die PFX-Datei in den persönlichen Speicher zu importieren.

    Wichtig

    Wenn Sie möchten, wählen Sie die Option aus, um den Schlüssel als exportierbar zu markieren. Dadurch können andere HPC-Administratoren das Zertifikat zu einem späteren Zeitpunkt mit dem privaten Schlüssel exportieren. Wenn Sie den Schlüssel nicht als exportierbar markieren möchten, speichern Sie die PFX-Datei für das Verwaltungszertifikat an einem sicheren Speicherort, und stellen Sie ihn bei Bedarf anderen HPC-Administratoren zur Verfügung.

    Nachdem das Zertifikat importiert wurde, wird es im Detailbereich im Zertifikat-Snap-In angezeigt. Sie können auf das Zertifikat doppelklicken, um den Status zu überprüfen und Details wie den Fingerabdruck anzuzeigen.

  9. Gehen Sie wie folgt vor, um das CER-formatierte Zertifikat in den Speicher für lokale Computer\vertrauenswürdige Stammzertifizierungsstellen zu importieren:

    1. Erweitern Sie in der Konsolenstruktur Zertifikate (local Computer, und erweitern Sie dann vertrauenswürdigen Stammzertifizierungsstellen.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die .cer-Datei (ohne den privaten Schlüssel) in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen zu importieren.

  10. Gehen Sie wie folgt vor, um das pfX-formatierte Zertifikat in den aktuellen Benutzer\Persönlichen Speicher zu importieren:

    1. Erweitern Sie in der Konsolenstruktur Zertifikate – aktuelle Benutzer-, und erweitern Sie dann persönliche.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die PFX-Datei (mit dem privaten Schlüssel) in den persönlichen Speicher zu importieren.

So importieren Sie das selbstsignierte Zertifikat in Zertifikatspeicher auf einem Clientcomputer

  1. Melden Sie sich mit dem entsprechenden HPC-Administratorkonto beim Clientcomputer an.

  2. Starten Sie den Zertifikat-Manager. Geben Sie beispielsweise an einer Eingabeaufforderung certmgr.mscein.

  3. Erweitern Sie in der Konsolenstruktur Zertifikate, und erweitern Sie dann persönliche.

  4. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

  5. Folgen Sie den Seiten des Assistenten, um die PFX-Datei (mit dem privaten Schlüssel) in den persönlichen Speicher zu importieren.

  6. Erweitern Sie in der Konsolenstruktur Zertifikate, und erweitern Sie dann vertrauenswürdige Stammzertifizierungsstellen.

  7. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

  8. Folgen Sie den Seiten des Assistenten, um die .cer-Datei (ohne den privaten Schlüssel) in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen zu importieren.

Szenario 3: Konfigurieren eines Zertifikats von einer vertrauenswürdigen Zertifizierungsstelle

Um ein zertifikat zu verwenden, das von einer öffentlichen oder unternehmensweiten Zertifizierungsstelle ausgestellt wurde, die bereits vertrauenswürdig ist, führt der HPC-Administrator für einen cluster, der mit HPC Pack 2008 R2 mit SP3, HPC Pack 2008 R2 mit SP4 oder HPC Pack 2012 RTM erstellt wurde, die manuellen Konfigurationsschritte aus den grünen Pfeilen in der folgenden Abbildung auf jedem Kopfknoten und (falls erforderlich) auf einem Clientcomputer aus, der zum Verwalten des Clusters verwendet wird.

Hinweis

  • Da das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird, sollte ein vertrauenswürdiges Stammzertifikat bereits auf den Computern konfiguriert sein, und es sollte nicht erforderlich sein, ein Zertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen zu importieren.
  • Ab HPC Pack 2012 mit SP1 muss das vertrauenswürdige Zertifikat nur im lokalen Computer\Personal-Speicher importiert werden.

Zertifikatspeicher für vertrauenswürdige Verwaltungszertifikate

Führen Sie die folgenden Verfahren aus, um diese Aufgaben auszuführen.

Wichtig

  • Verwenden Sie nur das Zertifikat-Snap-In, um das Zertifikat zu importieren und zu exportieren. Installieren Sie das Zertifikat nicht, indem Sie die Datei im Windows-Explorer öffnen.
  • Sie können das Zertifikat nicht aus einem Zertifikatspeicher auf einem Computer kopieren und in einen Speicher auf einem anderen Computer einfügen.

So exportieren Sie das vertrauenswürdige Zertifikat im PFX-Format und im CER-Format mithilfe des Zertifikat-Snap-Ins

  1. Starten Sie auf dem Kopfknotencomputer die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Computerkontoaus, und klicken Sie dann auf Weiter. Wählen Sie OK aus.

  5. Wählen Sie lokalen Computeraus, und klicken Sie dann auf Fertig stellen. Wählen Sie OK aus.

  6. Erweitern Sie in der Konsolenstruktur Zertifikate, erweitern Sie vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann auf Zertifikate.

  7. Klicken Sie im Detailbereich auf das vertrauenswürdige Zertifikat.

  8. Gehen Sie wie folgt vor, um das Zertifikat im PFX-Format zu exportieren:

    1. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

    2. Klicken Sie auf der Seite Export Private Key auf Ja, exportieren Sie den privaten Schlüssel. Klicken Sie auf Weiter.

    3. Wählen Sie auf der Seite "Dateiformat exportieren" Persönlichen Informationsaustausch – PKCS #12 (. PFX). Klicken Sie auf Weiter.

    4. Geben Sie auf der Seite Kennwort- das Kennwort ein, das Sie zum Verschlüsseln des privaten Schlüssels verwenden möchten, und bestätigen Sie es. Klicken Sie auf Weiter.

    5. Folgen Sie den Seiten des Assistenten, um das Zertifikat im PFX-Format zu exportieren.

    Wichtig

    Eine exportierte PFX-Formatierte Datei ist kennwortgeschützt. Es sollte jedoch immer an einem sicheren Ort gespeichert werden.

  9. Gehen Sie wie folgt vor, um das Zertifikat im CER-Format zu exportieren:

    1. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

    2. Klicken Sie auf der Seite Export Private Key auf Nein, exportieren Sie nicht den privaten Schlüssel. Klicken Sie auf Weiter.

    3. Wählen Sie auf der Seite "Dateiformat exportieren" der codierten binären X.509 (. CER). Klicken Sie auf Weiter.

    4. Folgen Sie den Seiten des Assistenten, um das Zertifikat im CER-Format zu exportieren.

So laden Sie das Zertifikat in das Azure-Abonnement hoch

  1. Melden Sie sich beim klassischen Portalan.

  2. Klicken Sie auf Einstellungen, klicken Sie auf Verwaltungszertifikate, und klicken Sie dann auf Hochladen

  3. Suchen Sie nach der .cer Datei, die Sie zuvor aus dem Speicher der vertrauenswürdigen Stammzertifizierungsstellen exportiert haben.

So importieren Sie das Zertifikat in Zertifikatspeicher auf dem Kopfknoten

  1. Starten Sie auf dem Kopfknoten die Microsoft Management Console. Geben Sie z. B. an einer Eingabeaufforderung mmcein.

  2. Klicken Sie im Menü Datei auf Snap-Inhinzufügen/entfernen. Das Dialogfeld Dialogfeld "Snap-In s hinzufügen oder entfernen" wird angezeigt.

  3. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie Computerkontoaus, und klicken Sie dann auf Weiter.

  5. Wählen Sie lokalen Computeraus, und klicken Sie dann auf Fertig stellen.

  6. Klicken Sie in Verfügbaren Snap-Insauf Zertifikate, und klicken Sie dann auf Hinzufügen.

  7. Wählen Sie Mein Benutzerkontoaus, und klicken Sie dann auf Fertig stellen. Wählen Sie OK aus.

  8. Gehen Sie wie folgt vor, um das pfX-formatierte Zertifikat in den lokalen Computer\Personal-Speicher zu importieren:

    1. Erweitern Sie in der KonsolenstrukturZertifikate (lokaler Computer), und erweitern Sie dann persönliche.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die PFX-Datei in den persönlichen Speicher zu importieren.

    Wichtig

    Wenn Sie möchten, wählen Sie die Option aus, um den Schlüssel als exportierbar zu markieren. Dadurch können andere HPC-Administratoren das Zertifikat zu einem späteren Zeitpunkt mit dem privaten Schlüssel exportieren. Wenn Sie den Schlüssel nicht als exportierbar markieren möchten, speichern Sie die PFX-Datei für das Verwaltungszertifikat an einem sicheren Speicherort, und stellen Sie ihn bei Bedarf anderen HPC-Administratoren zur Verfügung.

    Nachdem das Zertifikat importiert wurde, wird es im Detailbereich im Zertifikat-Snap-In angezeigt. Sie können auf das Zertifikat doppelklicken, um den Status zu überprüfen und Details wie den Fingerabdruck anzuzeigen.

  9. Gehen Sie wie folgt vor, um das pfX-formatierte Zertifikat in den aktuellen Benutzer\Persönlichen Speicher zu importieren:

    1. Erweitern Sie in der Konsolenstruktur Zertifikate – aktuelle Benutzer-, und erweitern Sie dann persönliche.

    2. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

    3. Folgen Sie den Seiten des Assistenten, um die PFX-Datei (mit dem privaten Schlüssel) in den persönlichen Speicher zu importieren.

So importieren Sie das Zertifikat in Zertifikatspeicher auf einem Clientcomputer

  1. Melden Sie sich mit dem entsprechenden HPC-Administratorkonto beim Clientcomputer an.

  2. Starten Sie den Zertifikat-Manager. Geben Sie beispielsweise an einer Eingabeaufforderung certmgr.mscein.

  3. Erweitern Sie in der Konsolenstruktur Zertifikate, und erweitern Sie dann persönliche.

  4. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Der Zertifikatimport-Assistent wird angezeigt.

  5. Folgen Sie den Seiten des Assistenten, um die PFX-Datei (mit dem privaten Schlüssel) in den persönlichen Speicher zu importieren.

Behandeln von Zertifikatproblemen

In der folgenden Tabelle sind einige häufige Probleme beim Konfigurieren eines Verwaltungszertifikats in einer Azure-Knotenvorlage oder beim Bereitstellen von Azure-Knoten sowie mögliche Ursachen und Lösungsschritte aufgeführt.

Problem Mögliche Ursachen Lösung
No certificate available beim Suchen nach Verwaltungszertifikaten – Private Schlüsselzertifikate werden nicht in einen erforderlichen Zertifikatspeicher importiert.
- Zertifizierungsstelle des Stammzertifikats ist nicht vertrauenswürdig		 Importieren Sie das Zertifikat in alle erforderlichen Zertifikatspeicher, wie weiter oben in diesem Thema beschrieben. Hinweis: Die erforderlichen Zertifikatspeicher in HPC Pack 2008 R2 mit SP1 oder HPC Pack 2008 R2 mit SP2 unterscheiden sich von denen in späteren Versionen von HPC Pack. Neuere Versionen von HPC Pack bieten eine sicherere Konfiguration.
There was a problem with the certificate with thumbprint: <thumbprint> Fehler nach dem Eingeben eines Zertifikatfingerabdrucks oder auswählen eines Zertifikats - Der Zertifikatfingerabdruck ist nicht ordnungsgemäß formatiert oder entspricht keinem Zertifikat in einem erforderlichen Zertifikatspeicher.
- Zertifikatkette ist unterbrochen
- Das Zertifikat wird nicht ordnungsgemäß in einen Zertifikatspeicher importiert.
- Zertifikat ist abgelaufen		 – Stellen Sie sicher, dass der Zertifikatfingerabdruck die erforderliche Anzahl von Zeichen enthält, keine Leerzeichen enthält und dem richtigen Authentifizierungszertifikat entspricht.
– Überprüfen Sie, ob die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, vertrauenswürdig ist. Stellen Sie bei Bedarf die Vertrauensstellung fest. Importieren Sie dazu auf dem Kopfknoten das Zertifikat ohne seinen privaten Schlüssel (das Zertifikat im CER-Format) in den Speicher "Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen".
- Doppelklicken Sie im Snap-In "Zertifikate" auf das Zertifikat, und überprüfen Sie, ob das Zertifikat keine Konfigurationsfehler wie The CA Root certificate is not trusted oder The certificate has expired or is not yet valid.
The remote server returned an error: (403) Forbidden Fehlermeldung nach eingabe eines gültigen Zertifikatfingerabdrucks oder Browsen zum Auswählen eines Zertifikats Das Zertifikat wird dem Azure-Abonnement nicht hinzugefügt. Laden Sie das Zertifikat mithilfe des klassischen Portalsin das Azure-Abonnement hoch.
The request was aborted: Could not create SSL/TLS secure channel Fehlermeldung nach dem Browsen zum Auswählen des Standardmäßigen Microsoft HPC Azure Management Zertifikats Die von HPC Pack generierte hpccert.cer Datei stimmt nicht mit den Zertifikatdateien überein, die in die Zertifikatspeicher auf dem Kopfknoten importiert werden. Generieren Sie das Standardzertifikat von Microsoft HPC Azure Management wie folgt neu:

- Löschen Sie die hpccert.cer Datei auf dem Kopfknoten (oder Kopfknoten).
- Starten Sie den HPC-Verwaltungsdienst neu.
– Vergewissern Sie sich, dass das Zertifikat in die Zertifikatspeicher auf dem Kopfknoten importiert wird.
– Laden Sie das Zertifikat mithilfe des klassischen Azure-Portalsin das Azure-Abonnement hoch.

Siehe auch

Burst to Azure Worker Instances mit Microsoft HPC Pack