Criar certificados para o Azure Stack Edge Pro usando a ferramenta Readiness Checker do Azure Stack Hub

Artigo
06/01/2023

APLICA-SE A: Sim, ao SKU do Pro GPU Azure Stack Edge Pro - GPU Sim, ao SKU do Pro 2 Azure Stack Edge Pro 2 Sim, ao SKU do Pro R Azure Stack Edge Pro R Sim, ao SKU do Mini R Azure Stack Edge Mini R

Este artigo descreve como criar certificados para seu Azure Stack Edge Pro usando a ferramenta Readiness Checker do Azure Stack Hub.

Usando a ferramenta Readiness Checker do Azure Stack Hub

Use a ferramenta Readiness Checker do Azure Stack Hub para criar CSRs (solicitações de assinatura de certificado) para uma implantação de dispositivo do Azure Stack Edge Pro. Você pode criar essas solicitações depois de fazer um pedido do dispositivo Azure Stack Edge Pro e aguardar a chegada do dispositivo.

Observação

Use essa ferramenta somente para fins de teste ou desenvolvimento, e não para dispositivos de produção.

Você pode usar a ferramenta Readiness Checker do Azure Stack Hub (AzsReadinessChecker) para solicitar os seguintes certificados:

Certificado do Azure Resource Manager
Certificados de IU local
Certificado de nó
Certificado de blob
Certificado de VPN

Pré-requisitos

Para criar CSRs para a implantação do dispositivo Azure Stack Edge Pro, verifique se:

Você tem um cliente executando o Windows 10 ou o Windows Server 2016 ou posterior.
Você baixou a ferramenta Readiness Checker do Microsoft Azure Stack Hub do Galeria do PowerShell neste sistema.
Você tem as seguintes informações para os certificados:
- Nome do dispositivo
- Número de série do nó
- FQDN (nome de domínio totalmente qualificado) externo

Gerar solicitações de assinatura de certificado

Use estas etapas para preparar os certificados de dispositivo Azure Stack Edge Pro:

Execute o PowerShell como administrador (5.1 ou posterior).

Instale a ferramenta Readiness Checker do Azure Stack Hub. No prompt do PowerShell, digite:

Install-Module -Name Microsoft.AzureStack.ReadinessChecker

Para obter a versão instalada, digite:

Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version

Crie um diretório para todos os certificados se você ainda não tiver um. Tipo:
```
New-Item "C:\certrequest" -ItemType Directory
```

Para criar uma solicitação de certificado, forneça as informações a seguir. Se você estiver gerando um certificado de VPN, algumas dessas entradas não se aplicarão.

Entrada	Descrição
`OutputRequestPath`	O caminho do arquivo no cliente local em que você deseja que as solicitações de certificado sejam criadas.
`DeviceName`	O nome de seu dispositivo na página Dispositivo na IU da Web local do dispositivo. Esse campo não é necessário para um certificado de VPN.
`NodeSerialNumber`	O `Node serial number` do nó do dispositivo mostrado na página Visão geral na IU da Web local do dispositivo. Esse campo não é necessário para um certificado de VPN.
`ExternalFQDN`	O valor `DNS domain` na página Dispositivo na IU da Web local do dispositivo.
`RequestType`	O tipo de solicitação pode ser para `MultipleCSR` – certificados diferentes para vários pontos de extremidade ou `SingleCSR` – um certificado para todos os pontos de extremidade. Esse campo não é necessário para um certificado de VPN.

Para todos os certificados, exceto o certificado de VPN, digite:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeDEVICE'
    DeviceName = 'myTEA1'
    NodeSerialNumber = 'VM1500-00025'
    externalFQDN = 'azurestackedge.contoso.com'
    requestType = 'MultipleCSR'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

Se estiver criando um certificado de VPN, digite:

$edgeCSRparams = @{
    CertificateType = 'AzureStackEdgeVPN'
    externalFQDN = 'azurestackedge.contoso.com'
    OutputRequestPath = "C:\certrequest"
}
New-AzsCertificateSigningRequest @edgeCSRparams

Você encontrará os arquivos de solicitação do certificado no diretório especificado no parâmetro OutputRequestPath acima. Ao usar o parâmetro MultipleCSR, você verá estes quatro arquivos com a extensão .req:

Nomes de arquivo	Tipo de solicitação de certificado
Começando com seu `DeviceName`	Solicitação de certificado da IU da Web local
Começando com seu `NodeSerialNumber`	Solicitação de certificado de nó
A partir do `login`	Solicitação de certificado de ponto de extremidade do Azure Resource Manager
A partir do `wildcard`	Solicitação de certificado de armazenamento de blobs. Contém um caractere curinga porque abrange todas as contas de armazenamento que você pode criar no dispositivo.
A partir do `AzureStackEdgeVPNCertificate`	Solicitação de certificado de cliente VPN.

Você também verá uma pasta INF. Ela contém um arquivo de informações management.<edge-devicename> em texto não criptografado explicando os detalhes do certificado.

Envie esses arquivos para sua autoridade de certificação (interna ou pública). Verifique se sua autoridade de certificação gera certificados, usando a solicitação gerada, que atendam aos requisitos de certificado do Azure Stack Edge Pro para certificados de nó, certificados de ponto de extremidade e certificados da IU local.

Preparar certificados para implantação

Os arquivos de certificado obtidos da CA (autoridade de certificação) devem ser importados e exportados com propriedades que correspondem aos requisitos de certificado do dispositivo Azure Stack Edge Pro. Conclua as etapas a seguir no mesmo sistema em que você gerou as solicitações de assinatura de certificado.

Para importar os certificados, siga as etapas em Importar certificados nos clientes acessando seu dispositivo Azure Stack Edge Pro.
Para exportar os certificados, siga as etapas em Exportar certificados do cliente acessando o dispositivo Azure Stack Edge Pro.

Validar certificados

Primeiro, você gerará uma estrutura de pastas apropriada e colocará os certificados nas pastas correspondentes. Depois, você validará os certificados usando a ferramenta.

Execute o PowerShell como administrador.
Para gerar a estrutura de pastas apropriada, no prompt, digite:

New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"
Converta a senha PFX em uma cadeia de caracteres segura. Tipo:

$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
Em seguida, valide os certificados. Tipo:

Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Próximas etapas

Carregar certificados em seu dispositivo.

Compartilhar via