通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Stack Edge Pro GPU 上上传、导入、导出和删除证书

  • 项目

适用于:对于 Pro GPU SKU 是必需的Azure Stack Edge Pro - GPU对于 Pro 2 SKU 是必需的Azure Stack Edge Pro 2对于 Pro R SKU 是必需的Azure Stack Edge Pro R对于 Mini R SKU 是必需的Azure Stack Edge Mini R

若要确保 Azure Stack Edge 设备与连接到它的客户端之间的安全可信通信,可以使用自签名证书或自带证书。 本文介绍如何管理这些证书,包括如何上传、导入和导出这些证书。 还可以查看证书到期日期以及删除旧的签名证书。

要详细了解如何创建这些证书,请参阅使用 Azure PowerShell 创建证书

在设备上上传证书

如果自带证书,则为设备创建的证书默认位于客户端的“个人存储”中。 这些证书需要在客户端上导出为合适的格式文件,然后才能上传到设备。

先决条件

将根证书和终结点证书上传到设备之前,请确保以适当的格式导出证书。

上传证书

要在设备上上传根证书和终结点证书,在本地 Web UI 中使用“证书”页上的“+ 添加证书”选项。 执行以下步骤:

  1. 首先上传根证书。 在本地 Web UI 中,转到“证书”

  2. 选择“+ 添加证书”。

    显示将签名链证书添加到 Azure Stack Edge 设备时“添加证书”屏幕的屏幕截图。突出显示了“保存证书”按钮。

  3. 保存证书。

上传终结点证书

  1. 接下来上传终结点证书。

    显示将终结点证书添加到 Azure Stack Edge 设备时“添加证书”屏幕的屏幕截图。突出显示了“保存证书”按钮。

    选择 .pfx 格式的证书文件,并输入在导出证书时提供的密码。 Azure 资源管理器证书可能需要几分钟才会应用。

    如果未首先更新签名链,并且尝试上传终结点证书,则会出现错误。

    显示在未首先在 Azure Stack Edge 设备上上传签名链证书的情况下,上传终结点证书时“应用证书”错误的屏幕截图。

    返回并上传签名链证书,然后上传和应用终结点证书。

重要

如果更改了设备名称或 DNS 域,则必须创建新证书。 然后,应将客户端证书和设备证书更新为新的设备名称和 DNS 域。

上传 Kubernetes 证书

Kubernetes 证书可用于 Edge 容器注册表或 Kubernetes 仪表板。 在每种情况下,都必须上传证书和密钥文件。 请按照以下步骤创建和上传 Kubernetes 证书:

  1. 你将使用 openssl 创建 Kubernetes 仪表板证书或 Edge 容器注册表。 请确保在用于创建证书的系统上安装 OpenSSL。 在 Windows 系统中,可以使用 Chocolatey 安装 openssl。 安装 Chocolatey 后,打开 PowerShell 并键入以下命令:

    choco install openssl

  2. 使用 openssl 创建这些证书。 将创建 cert.pem 证书文件和 key.pem 密钥文件。

    • 对于 Edge 容器注册表,请使用以下命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      下面是示例输出:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • 对于 Kubernetes 仪表板证书,请使用以下命令:

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      下面是示例输出:

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. 上传 Kubernetes 证书和之前生成的相应密钥文件。

    • 对于 Edge 容器注册表

      显示将 Edge Container Registry 证书添加到 Azure Stack Edge 设备时“添加证书”屏幕的屏幕截图。突出显示了证书和密钥文件的“浏览”按钮。

    • 对于 Kubernetes 仪表板

      显示将 Kubernetes 仪表板证书添加到 Azure Stack Edge 设备时“添加证书”屏幕的屏幕截图。突出显示了证书和密钥文件的“浏览”按钮。

在访问设备的客户端上导入证书

可使用设备生成的证书,或自带证书。 使用设备生成的证书时,必须先在客户端上下载证书,然后才能将其导入到相应的证书存储中。 请参阅将证书下载到访问设备的客户端

在这两种情况下,你创建并上传到设备上的证书必须导入到 Windows 客户端上(访问设备)相应的证书存储中。

以 DER 格式导入证书

若要在 Windows 客户端上导入证书,请执行以下步骤:

  1. 右键单击文件并选择“安装证书”。 该操作会启动证书导入向导。

    屏幕截图显示 Windows 文件资源管理器中文件的上下文菜单。突出显示了“安装证书”选项。

  2. 对于“存储位置”,选择“本地计算机”,然后选择“下一步”。

    Windows 客户端上“证书导入向导”的屏幕截图。突出显示了“本地计算机”存储位置。

  3. 选择“将所有证书放入以下存储区”,然后选择“浏览”

    • 若要导入到个人存储,请导航到远程主机的“个人存储”,然后选择“下一步”

      Windows 中“证书导入向导”的屏幕截图,其中选择了“个人”证书存储。突出显示了“证书存储”选项和“下一步”按钮。

    • 若要导入到受信任的存储区,请导航到“受信任的根证书颁发机构”,然后选择“下一步”

      Windows 中证书导入向导的屏幕截图,其中选择了“受信任的根证书颁发机构”证书存储。突出显示了“证书存储”选项和“下一步”按钮。

  4. 选择“完成”。 将显示一条提示已成功导入的消息。

查看证书有效期

如果自带证书,证书将在 1 年或 6 个月后过期。 若要查看证书的到期日期,请转到设备本地 Web UI 的“证书”页。 如果选择特定证书,则可以查看证书的到期日期。

删除签名链证书

可以从设备中删除旧的过期签名链证书。 执行此操作时,签名链中的任何从属证书都将不再有效。 只能删除签名链证书。

要从 Azure Stack Edge 设备中删除签名链证书,请执行以下步骤:

  1. 在设备的本地 Web UI 中,转到“配置”>“证书”

  2. 选择要删除的签名链证书。 然后选择“删除”。

    Azure Stack Edge 设备的本地 Web UI 的“证书”边栏选项卡的屏幕截图。突出显示了签名证书的“删除”选项。

  3. 在“删除证书”窗格中,验证证书的指纹,然后选择“删除”。 证书删除操作无法撤销。

    Azure Stack Edge 设备上签名证书的“删除证书”屏幕的屏幕截图。突出显示了证书指纹和“删除”按钮。

    证书删除完成后,签名链中的所有从属证书都将不再有效。

  4. 若要查看状态更新,请刷新显示。 将不再显示签名链证书,从属证书将为“无效”状态

后续步骤

了解如何排查证书问题