このチュートリアルでは、ローカル Web UI を使用して Azure Stack Edge Pro 2 の証明書を構成する方法について説明します。
この手順に要する時間は、選択した特定のオプションと、環境内での証明書フローの確立方法によって異なる場合があります。
このチュートリアルで学習する内容は次のとおりです。
- [前提条件]
- 物理デバイスの証明書を構成する
- 保存時の暗号化の構成
[前提条件]
Azure Stack Edge Pro 2 デバイスを構成して設定する前に、次の点を確認してください。
Azure Stack Edge Pro 2 のインストールに関するページで詳しく説明されているように、物理デバイスをインストールしました。
独自の証明書を持ち込む場合:
- 署名チェーン証明書を含む適切な形式で証明書を準備する必要があります。
- デバイスが Azure Government にデプロイされていて、Azure パブリック クラウドにデプロイされていない場合は、デバイスをアクティブ化する前に署名チェーン証明書が必要です。
証明書の詳細については、「 Azure Stack Edge デバイスにアップロードする証明書を準備する」を参照してください。
デバイスの証明書を構成する
デバイスのローカル Web UI で [証明書 ] ページを開きます。 このページには、デバイスで使用可能な証明書が表示されます。 デバイスには自己署名証明書 (デバイス証明書とも呼ばれます) が付属しています。 独自の証明書を持ち込むこともできます。
前にデバイス 設定を構成したときにデバイス名または DNS ドメインを変更せず、独自の証明書を使用しない場合にのみ、この手順に従います。
このページで構成を実行する必要はありません。 このページでは、すべての証明書の状態が有効と表示されることを確認するだけです。
![Azure Stack Edge のローカル Web UI の [証明書] ページのスクリーンショット。[証明書] メニュー項目が強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/verify-certificate-status-1.png)
既存のデバイス証明書を使用して 保存時の暗号化 を構成する準備ができました。
デバイス名またはデバイスの DNS ドメインを変更した場合にのみ、残りの手順に従います。 これらのインスタンスでは、デバイス証明書の状態は 無効になります。 これは、証明書の
subject nameとsubject alternativeの設定のデバイス名と DNS ドメインが古くなっているためです。証明書を選択すると、状態の詳細を表示できます。
![Azure Stack Edge デバイスのローカル Web UI の [証明書] ページの証明書の証明書の詳細のスクリーンショット。選択した証明書と証明書の詳細が強調表示されます。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-1.png)
デバイスのデバイス名または DNS ドメインを変更し、新しい証明書を指定しない場合、 デバイスのアクティブ化はブロックされます。デバイスで新しい証明書セットを使用するには、次のいずれかのオプションを選択します。
すべてのデバイス証明書を生成します。 自動生成されたデバイス証明書を使用する予定で、新しい デバイス証明書を生成する必要がある場合は、このオプションを選択し、「デバイス証明書の生成」の手順を完了します。 これらのデバイス証明書は、運用環境のワークロードではなく、テストにのみ使用する必要があります。
独自の証明書を持ち込みます。 独自の署名付きエンドポイント証明書と対応する署名チェーンを使用する場合は、このオプションを選択し、「独自の証明書を 持ち込む」の手順を実行します。 運用環境のワークロードには、常に独自の証明書を持ち込むことをお勧めします。
独自の証明書の一部を持ち込み、いくつかのデバイス証明書を生成することを選択できます。 [ すべてのデバイス証明書を生成する] オプションでは、デバイス証明書のみが再生成されます。
デバイスの有効な証明書の完全なセットがある場合は、 < [作業の開始] に戻るを選択します。 静止時データ暗号化の設定に進めます。
デバイス証明書を生成する
デバイス証明書を生成するには、次の手順に従います。
Azure Stack Edge Pro 2 デバイス証明書を再生成してダウンロードするには、次の手順に従います。
デバイスのローカル UI で、[ 構成 > 証明書] に移動します。 [ 証明書の生成] を選択します。
![Azure Stack Edge デバイスのローカル Web UI の [証明書] ページのスクリーンショット。[証明書の生成] ボタンが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-3.png)
[ デバイス証明書の生成] で、[ 生成] を選択します。
![Azure Stack Edge デバイスの [証明書の生成] ウィンドウのスクリーンショット。[生成] ボタンが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-4.png)
デバイス証明書が生成され、適用されるようになりました。 証明書の生成と適用には数分かかります。
Important
証明書の生成操作の進行中は、独自の証明書を持ち込まず、[ + 証明書の追加] オプションを使用して証明書を追加してみてください。
操作が正常に完了すると通知されます。 キャッシュの潜在的な問題を回避するには、ブラウザーを再起動します。
証明書が生成された後:
すべての証明書の状態が [有効] と表示されていることを確認します。
![Azure Stack Edge デバイスの [証明書] ページで新しく生成された証明書のスクリーンショット。有効な状態の証明書が強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-6.png)
特定の証明書名を選択し、証明書の詳細を表示できます。
![Azure Stack Edge デバイスの [証明書] ページで強調表示されているローカル Web UI 証明書の詳細のスクリーンショット。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-7.png)
[ダウンロード] 列が設定されました。 この列には、再生成された証明書をダウンロードするためのリンクがあります。
![Azure Stack Edge デバイスの [証明書] ページのスクリーンショット。生成された証明書のダウンロード リンクが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-8.png)
証明書のダウンロード リンクを選択し、メッセージが表示されたら証明書を保存します。
![Azure Stack Edge デバイスの [証明書] ページのスクリーンショット。ダウンロード リンクが選択されています。リンクとダウンロード オプションが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/generate-certificate-9.png)
ダウンロードするすべての証明書に対して、このプロセスを繰り返します。
デバイスで生成された証明書は、次の名前形式で DER 証明書として保存されます。
<Device name>_<Endpoint name>.cer。 これらの証明書には、デバイスにインストールされている対応する証明書の公開キーが含まれています。
これらの証明書は、Azure Stack Edge デバイス上のエンドポイントにアクセスするために使用しているクライアント システムにインストールする必要があります。 これらの証明書は、クライアントとデバイス間の信頼を確立します。
デバイスへのアクセスに使用しているクライアントにこれらの証明書をインポートしてインストールするには、「 Azure Stack Edge Pro GPU デバイスにアクセスするクライアントで証明書をインポートする」の手順に従います。
Azure Storage Explorer を使用する場合は、PEM 形式でクライアントに証明書をインストールする必要があり、デバイスで生成された証明書を PEM 形式に変換する必要があります。
Important
- ダウンロード リンクは、独自の証明書を持ち込む場合ではなく、デバイスで生成された証明書でのみ使用できます。
- 他の証明書要件が満たされている限り、デバイスで生成された証明書を混在させ、独自の証明書を持ち込むことができます。 詳細については、「 証明書の要件」を参照してください。
独自の証明書を持ち込む
独自の証明書を持ち込むことができます。
- まず、 Azure Stack Edge デバイスで使用できる証明書の種類を理解します。
- 次に、 証明書の種類ごとに証明書の要件を確認します。
- その後、 Azure PowerShell を使用して証明書を作成 するか、 準備チェッカー ツールを使用して証明書を作成できます。
- 最後に、 証明書を適切な形式に変換 して、デバイスにアップロードする準備が整います。
署名チェーンを含む独自の証明書をアップロードするには、次の手順に従います。
証明書をアップロードするには、[ 証明書 ] ページで [ + 証明書の追加] を選択します。
![Azure Stack Edge デバイスのローカル Web UI の [証明書の追加] ペインのスクリーンショット。[証明書] メニュー項目、[証明書の追加] ボタン、および [証明書の追加] ウィンドウが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/add-certificate-1.png)
.pfx 形式で証明書をエクスポートするときに、証明書パスにすべての証明書を含めている場合は、この手順をスキップできます。 エクスポートにすべての証明書を含めなかった場合は、署名チェーンをアップロードし、[ 検証して追加] を選択します。 他の証明書をアップロードする前に、これを行う必要があります。
場合によっては、Windows Server Update Services (WSUS) の更新サーバーに接続するなど、他の目的で署名チェーンを単独で使用することもできます。
![Azure Stack Edge デバイスのローカル Web UI の署名チェーン証明書の [証明書の追加] ウィンドウのスクリーンショット。[証明書の種類]、[証明書エントリ]、[検証と追加] ボタンが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/add-certificate-2.png)
他の証明書をアップロードします。 たとえば、Azure Resource Manager と Blob Storage エンドポイントの証明書をアップロードできます。
![Azure Stack Edge デバイスのエンドポイントの [証明書の追加] ウィンドウのスクリーンショット。証明書の種類と証明書エントリが強調表示されます。](media/azure-stack-edge-pro-2-deploy-configure-certificates/add-certificate-3.png)
ローカル Web UI 証明書をアップロードすることもできます。 この証明書をアップロードした後、ブラウザーを起動してキャッシュをクリアする必要があります。 その後、デバイスのローカル Web UI に接続する必要があります。
ノード証明書をアップロードすることもできます。
![Azure Stack Edge デバイスのローカル Web UI 証明書の [証明書の追加] ウィンドウのスクリーンショット。証明書の種類と証明書エントリが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/add-certificate-5.png)
証明書ページは、新しく追加された証明書を反映するように更新されます。 いつでも証明書を選択し、詳細を表示して、アップロードした証明書と一致することを確認できます。
![Azure Stack Edge デバイスのノード証明書の [証明書の追加] ウィンドウのスクリーンショット。証明書の種類と証明書エントリが強調表示されています。](media/azure-stack-edge-pro-2-deploy-configure-certificates/add-certificate-6.png)
注
Azure パブリック クラウドを除き、署名チェーン証明書は、すべてのクラウド構成 (Azure Government または Azure Stack) のアクティブ化の前に取り込む必要があります。
保存時の暗号化の構成
[セキュリティ] タイルで、[encryption-at-rest]\(保存時の暗号化\) の [構成] を選択します。
注
これは必須の設定であり、これが正常に構成されるまで、デバイスをアクティブ化することはできません。
ファクトリでは、デバイスがイメージ化されると、ボリューム レベルの BitLocker 暗号化が有効になります。 デバイスを受け取った後、静止状態での暗号化を設定する必要があります。 記憶域プールとボリュームが再作成され、暗号化保存データを有効にするための BitLocker キーを提供でき、これにより保存時のデータに対して2番目の暗号化レイヤーを作成できます。
[ 保存時の暗号化 ] ウィンドウで、長さ 32 文字の Base-64 でエンコードされたキーを指定します。 これは 1 回限りの構成であり、このキーは実際の暗号化キーを保護するために使用されます。 このキーを自動的に生成することを選択できます。
![システムによって生成されたキーを含むローカル Web UI の [保存時の暗号化] ウィンドウのスクリーンショット。](media/azure-stack-edge-pro-2-deploy-configure-certificates/encryption-key-1.png)
独自の Base-64 エンコード ASE-256 ビット暗号化キーを入力することもできます。
![独自のキーを持ち込むローカル Web UI の [保存時の暗号化] ペインのスクリーンショット。](media/azure-stack-edge-pro-2-deploy-configure-certificates/encryption-key-2.png)
キーは、デバイスがアクティブ化された後、 クラウドの詳細 ページのキー ファイルに保存されます。
を選択してを適用します。 この操作には数分かかり、操作の状態が表示されます。
状態が [完了] と表示された後、デバイスをアクティブ化する準備ができました。 [<開始に戻る] を選択します。
次のステップ
このチュートリアルで学習する内容は次のとおりです。
- [前提条件]
- 物理デバイスの証明書を構成する
- 保存時の暗号化の構成
Azure Stack Edge Pro 2 デバイスをアクティブ化する方法については、次を参照してください。