Freigeben über

Lernprogramm: Konfigurieren von Zertifikaten für Azure Stack Edge Pro 2

In diesem Lernprogramm wird beschrieben, wie Sie Zertifikate für Ihr Azure Stack Edge Pro 2 mithilfe der lokalen Webbenutzeroberfläche konfigurieren können.

Die für diesen Schritt erforderliche Zeit kann je nach der ausgewählten Option und der Einrichtung des Zertifikatflusses in Ihrer Umgebung variieren.

In diesem Tutorial lernen Sie Folgendes kennen:

  • Voraussetzungen
  • Konfigurieren von Zertifikaten für das physische Gerät
  • Konfigurieren von Verschlüsselung im Ruhezustand

Voraussetzungen

Bevor Sie Ihr Azure Stack Edge Pro 2-Gerät konfigurieren und einrichten, stellen Sie folgendes sicher:

  • Sie haben das physische Gerät wie in "Installieren von Azure Stack Edge Pro 2" beschrieben installiert.

  • Wenn Sie ihre eigenen Zertifikate mitbringen möchten:

    • Ihre Zertifikate sollten im entsprechenden Format einschließlich des Signaturkettenzertifikats bereit sein.
    • Wenn Ihr Gerät in Azure Government bereitgestellt und nicht in der öffentlichen Azure-Cloud bereitgestellt wird, ist ein Signaturkettenzertifikat erforderlich, bevor Sie Ihr Gerät aktivieren können.

    Ausführliche Informationen zu Zertifikaten erhalten Sie unter "Vorbereiten von Zertifikaten zum Hochladen auf Ihrem Azure Stack Edge-Gerät".

Konfigurieren von Zertifikaten für Das Gerät

  1. Öffnen Sie die Seite "Zertifikate" in der lokalen Web-UI Ihres Geräts. Auf dieser Seite werden die auf Ihrem Gerät verfügbaren Zertifikate angezeigt. Das Gerät wird mit selbstsignierten Zertifikaten ausgeliefert, auch als Gerätezertifikate bezeichnet. Sie können auch Eigene Zertifikate mitbringen.

  2. Führen Sie diesen Schritt nur aus, wenn Sie den Gerätenamen oder die DNS-Domäne nicht geändert haben, wenn Sie die Geräteeinstellungen zuvor konfiguriert haben, und Sie keine eigenen Zertifikate verwenden möchten.

    Sie müssen keine Konfiguration auf dieser Seite ausführen. Sie müssen lediglich überprüfen, ob der Status aller Zertifikate auf dieser Seite als gültig angezeigt wird.

    Screenshot der Seite

    Sie können " Verschlüsselung im Ruhezustand " mit den vorhandenen Gerätezertifikaten konfigurieren.

  3. Führen Sie die verbleibenden Schritte nur aus, wenn Sie den Gerätenamen oder die DNS-Domäne für Ihr Gerät geändert haben. In diesen Fällen ist der Status Ihrer Gerätezertifikate ungültig. Das liegt daran, dass der Gerätename und die DNS-Domäne in den Zertifikaten subject name und subject alternative Einstellungen veraltet sind.

    Sie können ein Zertifikat auswählen, um Statusdetails anzuzeigen.

    Screenshot der Zertifikatdetails für ein Zertifikat auf der Seite

  4. Wenn Sie den Gerätenamen oder die DNS-Domäne Ihres Geräts geändert haben und keine neuen Zertifikate bereitstellen, wird die Aktivierung des Geräts blockiert. Wenn Sie einen neuen Satz von Zertifikaten auf Ihrem Gerät verwenden möchten, wählen Sie eine der folgenden Optionen aus:

    • Generieren Sie alle Gerätezertifikate. Wählen Sie diese Option aus, und führen Sie dann die Schritte in " Gerätezertifikate generieren" aus, wenn Sie beabsichtigen, automatisch generierte Gerätezertifikate zu verwenden und neue Gerätezertifikate zu generieren. Sie sollten diese Gerätezertifikate nur für Tests und nicht für Produktionsworkloads verwenden.

    • Bringen Sie Ihre eigenen Zertifikate mit. Wählen Sie diese Option aus, und führen Sie dann die Schritte unter "Eigene Zertifikate übertragen" aus, wenn Sie Ihre eigenen signierten Endpunktzertifikate und die entsprechenden Signaturketten verwenden möchten. Wir empfehlen, immer Ihre eigenen Zertifikate für Produktionsworkloads mitzubringen.

    • Sie können einige Ihrer eigenen Zertifikate mitbringen und einige Gerätezertifikate generieren. Die Option "Alle Gerätezertifikate generieren " generiert nur die Gerätezertifikate.

  5. Wenn Sie über einen vollständigen Satz gültiger Zertifikate für Ihr Gerät verfügen, wählen Sie < "Zurück" aus, um zu "Erste Schritte" zu gelangen. Sie können jetzt mit der Konfiguration von "Verschlüsselung im Ruhezustand" fortfahren.

Generieren von Gerätezertifikaten

Führen Sie die folgenden Schritte aus, um Gerätezertifikate zu generieren.

Führen Sie die folgenden Schritte aus, um die Azure Stack Edge Pro 2-Gerätezertifikate neu zu generieren und herunterzuladen:

  1. Wechseln Sie auf der lokalen Benutzeroberfläche Ihres Geräts zu Konfigurationszertifikaten>. Wählen Sie " Zertifikate generieren" aus.

    Screenshot der Seite

  2. Wählen Sie in der Option Gerätezertifikate generierenGenerieren aus.

    Screenshot des Bereichs

    Die Gerätezertifikate werden jetzt generiert und angewendet. Es dauert ein paar Minuten, um die Zertifikate zu generieren und anzuwenden.

    Von Bedeutung

    Während der Vorgang zur Zertifikatgenerierung ausgeführt wird, bringen Sie keine eigenen Zertifikate mit, und versuchen Sie, diese über die Option "+Zertifikat hinzufügen " hinzuzufügen.

    Sie werden benachrichtigt, wenn der Vorgang erfolgreich abgeschlossen wurde. Um mögliche Cacheprobleme zu vermeiden, starten Sie Ihren Browser neu.

    Screenshot der Benachrichtigung, dass Zertifikate erfolgreich auf einem Azure Stack Edge-Gerät generiert wurden.

  3. Nachdem die Zertifikate generiert wurden:

    • Stellen Sie sicher, dass der Status aller Zertifikate als gültig angezeigt wird.

      Screenshot der neu generierten Zertifikate auf der Seite

    • Sie können einen bestimmten Zertifikatnamen auswählen und die Zertifikatdetails anzeigen.

      Screenshot der Details des lokalen Web-UI-Zertifikats auf der Seite

    • Die Spalte "Herunterladen " wird jetzt ausgefüllt. Diese Spalte enthält Links zum Herunterladen der neu generierten Zertifikate.

      Screenshot der Seite

  4. Wählen Sie den Downloadlink für ein Zertifikat aus, und speichern Sie das Zertifikat, wenn Sie dazu aufgefordert werden.

    Screenshot der Seite

  5. Wiederholen Sie diesen Vorgang für alle Zertifikate, die Sie herunterladen möchten.

    Screenshot mit heruntergeladenen Zertifikaten im Windows-Datei-Explorer. Zertifikate für ein Azure Stack Edge-Gerät sind hervorgehoben.

    Die vom Gerät generierten Zertifikate werden als DER-Zertifikate mit dem folgenden Namensformat gespeichert:

    <Device name>_<Endpoint name>.cer. Diese Zertifikate enthalten den öffentlichen Schlüssel für die entsprechenden Zertifikate, die auf dem Gerät installiert sind.

Sie müssen diese Zertifikate auf dem Clientsystem installieren, das Sie für den Zugriff auf die Endpunkte auf dem Azure Stack Edge-Gerät verwenden. Diese Zertifikate stellen eine Vertrauensstellung zwischen dem Client und dem Gerät her.

Um diese Zertifikate auf dem Client zu importieren und zu installieren, den Sie für den Zugriff auf das Gerät verwenden, führen Sie die Schritte unter Importieren von Zertifikaten auf den Clients aus, die auf Ihr Azure Stack Edge Pro GPU-Gerät zugreifen.

Wenn Sie Azure Storage-Explorer verwenden, müssen Sie Zertifikate auf Ihrem Client im PEM-Format installieren, und Sie müssen die vom Gerät generierten Zertifikate in das PEM-Format konvertieren.

Von Bedeutung

  • Der Downloadlink ist nur für die vom Gerät generierten Zertifikate verfügbar und nicht, wenn Sie Ihre eigenen Zertifikate mitbringen.
  • Sie können sich entscheiden, eine Mischung aus vom Gerät generierten Zertifikaten zu haben und Eigene Zertifikate mitzubringen, solange andere Zertifikatanforderungen erfüllt sind. Weitere Informationen finden Sie unter Zertifikatanforderungen.

Eigene Zertifikate mitbringen

Sie können Ihre eigenen Zertifikate mitbringen.

Führen Sie die folgenden Schritte aus, um Ihre eigenen Zertifikate einschließlich der Signaturkette hochzuladen.

  1. Um das Zertifikat hochzuladen, wählen Sie auf der Seite " Zertifikat " +Zertifikat hinzufügen aus.

    Screenshot des Bereichs

  2. Sie können diesen Schritt überspringen, wenn Sie alle Zertifikate im Zertifikatpfad eingeschlossen haben, wenn Sie Zertifikate im PFX-Format exportiert haben. Wenn Sie nicht alle Zertifikate in Ihren Export aufgenommen haben, laden Sie die Signaturkette hoch, und wählen Sie dann "Überprüfen und hinzufügen" aus. Sie müssen dies tun, bevor Sie Ihre anderen Zertifikate hochladen.

    In einigen Fällen möchten Sie möglicherweise eine Signaturkette allein für andere Zwecke mitbringen , z. B. um eine Verbindung mit Ihrem Updateserver für Windows Server Update Services (WSUS) herzustellen.

    Screenshot des Bereichs

  3. Laden Sie andere Zertifikate hoch. Sie können beispielsweise die Azure Resource Manager- und Blob Storage-Endpunktzertifikate hochladen.

    Screenshot des Bereichs

    Sie können auch das lokale Web-UI-Zertifikat hochladen. Nachdem Sie dieses Zertifikat hochgeladen haben, müssen Sie Ihren Browser starten und den Cache löschen. Anschließend müssen Sie eine Verbindung mit der lokalen Web-Ui des Geräts herstellen.

    Sie können auch das Knotenzertifikat hochladen.

    Screenshot des Bereichs

    Die Zertifikatseite sollte aktualisiert werden, um die neu hinzugefügten Zertifikate widerzuspiegeln. Sie können jederzeit ein Zertifikat auswählen und die Details anzeigen, um sicherzustellen, dass diese mit dem zertifikat übereinstimmen, das Sie hochgeladen haben.

    Screenshot des Bereichs

    Hinweis

    Mit Ausnahme der öffentlichen Azure-Cloud müssen Signaturkettenzertifikate vor der Aktivierung für alle Cloudkonfigurationen (Azure Government oder Azure Stack) eingeführt werden.

Konfigurieren von Verschlüsselung im Ruhezustand

  1. Wählen Sie auf der Kachel "Sicherheit " die Option "Für ruhende Verschlüsselung konfigurieren" aus.

    Hinweis

    Dies ist eine erforderliche Einstellung, und bis dies erfolgreich konfiguriert wurde, können Sie das Gerät nicht aktivieren.

    In der Fabrik, sobald die Geräte abgebildet sind, wird die BitLocker-Verschlüsselung auf Volumeebene aktiviert. Nachdem Sie das Gerät erhalten haben, müssen Sie die Verschlüsselung im Ruhezustand konfigurieren. Der Speicherpool und die Volumes werden neu erstellt. Sie können BitLocker-Schlüssel bereitstellen, um die Verschlüsselung im Ruhezustand zu aktivieren und so eine zusätzliche Sicherheitsschicht für Ihre im Ruhezustand befindlichen Daten hinzufügen.

  2. Geben Sie im Bereich "Verschlüsselung im Ruhezustand " einen 32 Zeichen langen Base-64-codierten Schlüssel an. Dies ist eine einmalige Konfiguration, und dieser Schlüssel wird verwendet, um den tatsächlichen Verschlüsselungsschlüssel zu schützen. Sie können diesen Schlüssel automatisch generieren.

    Screenshot des lokalen Web-UI-Bereichs

    Sie können auch Ihren eigenen Base64-codierten ASE-256-Bit-Verschlüsselungsschlüssel eingeben.

    Screenshot des Bereichs „Verschlüsselung ruhender Daten“ auf der lokalen Webbenutzeroberfläche mit Ihrem eigenen Schlüssel (Bring Your Own Key).

    Der Schlüssel wird in einer Schlüsseldatei auf der Seite "Clouddetails " gespeichert, nachdem das Gerät aktiviert wurde.

  3. Wählen Sie Anwenden. Dieser Vorgang dauert mehrere Minuten, und der Status des Vorgangs wird angezeigt.

    Screenshot der Benachrichtigung

  4. Nachdem der Status als abgeschlossen angezeigt wurde, kann Ihr Gerät jetzt aktiviert werden. Wählen Sie < "Zurück" aus, um zu beginnen.

Nächste Schritte

In diesem Tutorial lernen Sie Folgendes kennen:

  • Voraussetzungen
  • Konfigurieren von Zertifikaten für das physische Gerät
  • Konfigurieren von Verschlüsselung im Ruhezustand

Informationen zum Aktivieren Ihres Azure Stack Edge Pro 2-Geräts finden Sie unter:

Aktivieren des Azure Stack Edge Pro 2-Geräts

  • Last updated on