Skapa certifikat för din Azure Stack Edge Pro GPU med hjälp av verktyget Beredskapskontroll för Azure Stack Hub

GÄLLER FÖR: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Den här artikeln beskriver hur du skapar certifikat för Azure Stack Edge Pro med hjälp av verktyget Beredskapskontroll för Azure Stack Hub.

Använda verktyget Beredskapskontroll för Azure Stack Hub

Använd verktyget Beredskapskontroll för Azure Stack Hub för att skapa certifikatsigneringsbegäranden (CSR) för en Azure Stack Edge Pro-enhetsdistribution. Du kan skapa dessa begäranden när du har beställt Azure Stack Edge Pro-enheten och vänta tills enheten har anlänt.

Du kan använda verktyget Azure Stack Hub Readiness Checker (AzsReadinessChecker) för att begära följande certifikat:

• Azure Resource Manager-certifikat
• Lokalt användargränssnittscertifikat
• Nodcertifikat
• Blobcertifikat
• VPN-certifikat

Förutsättningar

Om du vill skapa csr:ar för distribution av Azure Stack Edge Pro-enheter kontrollerar du att:

• Du har en klient som kör Windows 10 eller Windows Server 2016 eller senare.
• Du har hämtat verktyget Beredskapskontroll för Microsoft Azure Stack Hub från PowerShell-galleriet i det här systemet.
• Du har följande information för certifikaten:
  • Enhetsnamn
  • Nodserienummer
  • Externt fullständigt domännamn (FQDN)

Generera begäranden om certifikatsignering

Använd de här stegen för att förbereda Azure Stack Edge Pro-enhetscertifikaten:

1. Kör PowerShell som administratör (5.1 eller senare).

2. Installera verktyget Beredskapskontroll för Azure Stack Hub. I PowerShell-prompten skriver du:

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Om du vill hämta den installerade versionen skriver du:

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Skapa en katalog för alla certifikat om du inte redan har en. Ange:

   New-Item "C:\certrequest" -ItemType Directory
   

4. Ange följande information för att skapa en certifikatbegäran. Om du genererar ett VPN-certifikat gäller inte vissa av dessa indata.

   Indata	beskrivning
   OutputRequestPath	Filsökvägen på den lokala klienten där du vill att certifikatbegäranden ska skapas.
   DeviceName	Namnet på enheten på sidan Enhet i enhetens lokala webbgränssnitt. Det här fältet krävs inte för ett VPN-certifikat.
   NodeSerialNumber	Enhetsnoden Node serial number som visas på sidan Översikt i enhetens lokala webbgränssnitt. Det här fältet krävs inte för ett VPN-certifikat.
   ExternalFQDN	Värdet DNS domain på sidan Enhet i enhetens lokala webbgränssnitt.
   RequestType	Begärandetypen kan vara för MultipleCSR – olika certifikat för de olika slutpunkterna, eller SingleCSR – ett enda certifikat för alla slutpunkter. Det här fältet krävs inte för ett VPN-certifikat.

   För alla certifikat utom VPN-certifikatet skriver du:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Om du skapar ett VPN-certifikat skriver du:

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. Du hittar filerna för certifikatbegäran i den katalog som du angav i parametern OutputRequestPath ovan. När du använder parametern MultipleCSR visas följande fyra filer med .req tillägget:

   Filnamn	Typ av certifikatbegäran
   Börja med din DeviceName	Certifikatbegäran för lokalt webbgränssnitt
   Börja med din NodeSerialNumber	Begäran om nodcertifikat
   Börjar med login	Azure Resource Manager-slutpunktscertifikatbegäran
   Börjar med wildcard	Begäran om Blob Storage-certifikat. Den innehåller ett jokertecken eftersom det omfattar alla lagringskonton som du kan skapa på enheten.
   Börjar med AzureStackEdgeVPNCertificate	Begäran om VPN-klientcertifikat.

   Du ser också en INF-mapp. Detta innehåller en hantering.<informationsfilen edge-devicename> i klartext som förklarar certifikatinformationen.

6. Skicka dessa filer till certifikatutfärdare (antingen interna eller offentliga). Se till att certifikatutfärdare genererar certifikat med hjälp av din genererade begäran som uppfyller Azure Stack Edge Pro-certifikatkraven för nodcertifikat, slutpunktscertifikat och lokala användargränssnittscertifikat.

Förbereda certifikat för distribution

Certifikatfilerna som du får från certifikatutfärdare (CA) måste importeras och exporteras med egenskaper som matchar certifikatkraven för Azure Stack Edge Pro-enheten. Slutför följande steg i samma system där du genererade begäranden om certifikatsignering.

• Om du vill importera certifikaten följer du stegen i Importera certifikat på klienter som har åtkomst till din Azure Stack Edge Pro-enhet.

• Om du vill exportera certifikaten följer du stegen i Exportera certifikat från klienten som kommer åt Azure Stack Edge Pro-enheten.

Verifiera certifikat

Först skapar du en lämplig mappstruktur och placerar certifikaten i motsvarande mappar. Först då verifierar du certifikaten med hjälp av verktyget.

1. Kör PowerShell som administratör.

2. Om du vill generera lämplig mappstruktur anger du följande:

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Konvertera PFX-lösenordet till en säker sträng. Ange:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Verifiera sedan certifikaten. Ange:

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Nästa steg

Ladda upp certifikat på enheten.