Creare certificati per la GPU di Azure Stack Edge Pro usando lo strumento di controllo dell'idoneità dell'hub di Azure Stack

Articolo
10/26/2023

SI APPLICA A: Sì per SKU GPU Pro Azure Stack Edge Pro - GPU Sì per lo SKU Pro 2 Azure Stack Edge Pro 2 Sì per SKU R Pro Azure Stack Edge Pro R Sì per SKU R Mini Azure Stack Edge Mini R

Questo articolo descrive come creare certificati per Azure Stack Edge Pro usando lo strumento Di controllo dell'idoneità dell'hub di Azure Stack.

Uso dello strumento di verifica dell'idoneità dell'hub di Azure Stack

Usare lo strumento Controllo conformità hub di Azure Stack per creare richieste di firma dei certificati (CSR) per una distribuzione di dispositivi Azure Stack Edge Pro. È possibile creare queste richieste dopo aver effettuato un ordine per il dispositivo Azure Stack Edge Pro e attendere l'arrivo del dispositivo.

Nota

Usare questo strumento solo per scopi di test o sviluppo e non per i dispositivi di produzione.

È possibile usare lo strumento Controllo conformità hub di Azure Stack (AzsReadinessChecker) per richiedere i certificati seguenti:

Certificato di Azure Resource Manager
Certificato di interfaccia utente locale
Certificato del nodo
Certificato BLOB
Certificato VPN

Prerequisiti

Per creare csr per la distribuzione dei dispositivi Azure Stack Edge Pro, assicurarsi che:

È disponibile un client che esegue Windows 10 o Windows Server 2016 o versione successiva.
È stato scaricato lo strumento Di controllo dell'idoneità dell'hub di Microsoft Azure Stack da PowerShell Gallery in questo sistema.
Per i certificati sono disponibili le informazioni seguenti:
- Nome dispositivo
- Numero di serie del nodo
- Nome di dominio completo esterno (FQDN)

Generare richieste di firma del certificato

Seguire questa procedura per preparare i certificati del dispositivo Azure Stack Edge Pro:

Eseguire PowerShell come amministratore (5.1 o versione successiva).

Installare lo strumento Controllo conformità hub di Azure Stack. Al prompt di PowerShell digitare:

Install-Module -Name Microsoft.AzureStack.ReadinessChecker

Per ottenere la versione installata, digitare:

Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version

Creare una directory per tutti i certificati, se non ne è già disponibile una. Tipo:
```
New-Item "C:\certrequest" -ItemType Directory
```

Per creare una richiesta di certificato, specificare le informazioni seguenti. Se si genera un certificato VPN, alcuni di questi input non si applicano.

Input	Descrizione
`OutputRequestPath`	Percorso del file nel client locale in cui si desidera creare le richieste di certificato.
`DeviceName`	Nome del dispositivo nella pagina Dispositivo nell'interfaccia utente Web locale del dispositivo. Questo campo non è obbligatorio per un certificato VPN.
`NodeSerialNumber`	Oggetto `Node serial number` del nodo del dispositivo visualizzato nella pagina Panoramica nell'interfaccia utente Web locale del dispositivo. Questo campo non è obbligatorio per un certificato VPN.
`ExternalFQDN`	Valore `DNS domain` nella pagina Dispositivo nell'interfaccia utente Web locale del dispositivo.
`RequestType`	Il tipo di richiesta può essere relativo `MultipleCSR` a certificati diversi per i vari endpoint o `SingleCSR` a un singolo certificato per tutti gli endpoint. Questo campo non è obbligatorio per un certificato VPN.

Per tutti i certificati tranne il certificato VPN, digitare:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeDEVICE'
    DeviceName = 'myTEA1'
    NodeSerialNumber = 'VM1500-00025'
    externalFQDN = 'azurestackedge.contoso.com'
    requestType = 'MultipleCSR'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

Se si sta creando un certificato VPN, digitare:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeVPN'
    externalFQDN = 'azurestackedge.contoso.com'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

I file di richiesta del certificato sono disponibili nella directory specificata nel parametro OutputRequestPath precedente. Quando si usa il MultipleCSR parametro , vengono visualizzati i quattro file seguenti con l'estensione .req :

Nomi file	Tipo di richiesta di certificato
A partire dal tuo `DeviceName`	Richiesta di certificato dell'interfaccia utente Web locale
A partire dal tuo `NodeSerialNumber`	Richiesta di certificato del nodo
A partire da `login`	Richiesta di certificato dell'endpoint di Azure Resource Manager
A partire da `wildcard`	Richiesta del certificato di archiviazione BLOB. Contiene un carattere jolly perché copre tutti gli account di archiviazione che è possibile creare nel dispositivo.
A partire da `AzureStackEdgeVPNCertificate`	Richiesta di certificato client VPN.

Verrà visualizzata anche una cartella INF. Contiene una gestione.<file di informazioni edge-devicename> in testo non crittografato che illustra i dettagli del certificato.

Inviare questi file all'autorità di certificazione (interna o pubblica). Assicurarsi che l'autorità di certificazione generi certificati, usando la richiesta generata, che soddisfino i requisiti dei certificati di Azure Stack Edge Pro per i certificati del nodo, i certificati dell'endpoint e i certificati dell'interfaccia utente locale.

Preparare i certificati per la distribuzione

I file di certificato che si ottengono dall'autorità di certificazione (CA) devono essere importati ed esportati con proprietà che soddisfano i requisiti del certificato del dispositivo Azure Stack Edge Pro. Completare i passaggi seguenti nello stesso sistema in cui sono state generate le richieste di firma del certificato.

Per importare i certificati, seguire la procedura descritta in Importare i certificati nei client che accedono al dispositivo Azure Stack Edge Pro.
Per esportare i certificati, seguire la procedura descritta in Esportare i certificati dal client che accede al dispositivo Azure Stack Edge Pro.

Convalidare i certificati

Prima di tutto, si genererà una struttura di cartelle corretta e si inserisceranno i certificati nelle cartelle corrispondenti. Verranno convalidati solo i certificati usando lo strumento .

Eseguire PowerShell come amministratore.
Per generare la struttura di cartelle appropriata, al prompt digitare:

New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"
Convertire la password PFX in una stringa sicura. Tipo:

$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
Convalidare quindi i certificati. Tipo:

Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Passaggi successivi

Caricare i certificati nel dispositivo.

Condividi tramite