チュートリアル: Azure Stack Edge Mini R の証明書、VPN、暗号化を構成する

このチュートリアルでは、ローカル Web UI を使用して、Azure Stack Edge Mini R デバイスの証明書、VPN、保存時の暗号化を構成する方法について説明します。

この手順に要する時間は、選択した特定のオプションと、環境内での証明書フローの確立方法によって異なる場合があります。

このチュートリアルで学習する内容は次のとおりです。

[前提条件]
物理デバイスの証明書を構成する
VPN の構成
保存時の暗号化の構成

[前提条件]

Azure Stack Edge Mini R デバイスを構成して設定する前に、次の点を確認してください。

Azure Stack Edge Mini R のインストールに関するページで詳しく説明されているように、物理デバイスをインストールしました。
独自の証明書を持ち込む場合:
- 署名チェーン証明書を含む適切な形式で証明書を準備する必要があります。証明書の詳細については、「証明書の管理」を参照してください
- デバイスが Azure Government または Azure Government シークレットまたは Azure Government のトップシークレットクラウドにデプロイされていて、Azure パブリッククラウドにデプロイされていない場合は、デバイスをアクティブ化する前に署名チェーン証明書が必要です。証明書の詳細については、「証明書の管理」を参照してください。

デバイスの証明書を構成する

[ 証明書 ] ページで、証明書を構成します。 [ デバイス ] ページでデバイス名と DNS ドメインのどちらを変更したかに応じて、証明書に対して次のいずれかのオプションを選択できます。
- 前の手順で既定のデバイス名または既定の DNS ドメインを変更せず、独自の証明書を持ち込まない場合は、この手順をスキップして次の手順に進むことができます。デバイスでは、最初に自己署名証明書が自動的に生成されます。
- デバイス名または DNS ドメインを変更した場合、証明書の状態は [無効] と表示されます。
  
  証明書を選択して、状態の詳細を表示します。
  
  証明書の状態は 無効です 。証明書には、更新されたデバイス名と DNS ドメインが反映されていないためです (サブジェクト名とサブジェクトの代替で使用されます)。デバイスを正常にアクティブ化するには、独自の署名付きエンドポイント証明書とそれに対応する署名チェーンを用意します。最初に署名チェーンを追加してから、エンドポイント証明書をアップロードします。詳細については、「 Azure Stack Edge Mini R デバイスで独自の証明書を持ち込む」を参照してください。
- デバイス名または DNS ドメインを変更し、独自の証明書を持ち込まない場合、 アクティブ化はブロックされます。

独自の証明書を持ち込む

このデバイスの前の手順で署名チェーンを既に追加しました。エンドポイント証明書、ノード証明書、ローカル UI 証明書、VPN 証明書をアップロードできるようになりました。独自の証明書を追加するには、次の手順に従います。

証明書をアップロードするには、[ 証明書 ] ページで [ + 証明書の追加] を選択します。
他の証明書をアップロードできます。たとえば、Azure Resource Manager と Blob Storage エンドポイントの証明書をアップロードできます。
ローカル Web UI 証明書をアップロードすることもできます。この証明書をアップロードしたら、ブラウザーを起動してキャッシュをクリアする必要があります。その後、デバイスのローカル Web UI に接続する必要があります。
ノード証明書をアップロードすることもできます。
最後に、VPN 証明書をアップロードできます。
いつでも証明書を選択し、詳細を表示して、アップロードした証明書と一致することを確認できます。

証明書ページは、新しく追加された証明書を反映するように更新されます。

注

Azure パブリッククラウドを除き、署名チェーン証明書は、すべてのクラウド構成 (Azure Government または Azure Stack Hub) のアクティブ化の前に取り込む必要があります。

VPN の構成

[ セキュリティ ] タイルで、[VPN の 構成] を選択します。

VPN を構成するには、まず、必要なすべての構成が Azure で実行されていることを確認する必要があります。詳細については、 Azure Stack Edge Mini R デバイスの PowerShell を使用した VPN の構成に関するページを参照してください。これが完了したら、ローカル UI で構成を行うことができます。
1. [VPN] ページで、[ 構成] を選択します。
2. [ VPN の構成] ブレードで、次の手順を実行します。
  1. 電話帳を入力として指定します。
  2. Azure Data Center の IP 範囲 JSON ファイルを入力として指定します。次のファイルからダウンロードします: https://www.microsoft.com/download/details.aspx?id=56519。
  3. リージョンとして eastus を選択します。
  4. を選択してを適用します。
3. VPN のみを使用してアクセスする IP アドレス範囲を構成します。
  - VPN のみを使用してアクセスする IP アドレス範囲で、[構成] を選択します。
  - Azure Virtual Network に選択した VNET IPv4 範囲を入力します。
  - を選択してを適用します。

これで、デバイスを暗号化する準備ができました。保存時の暗号化を構成します。

暗号化を有効にする

[セキュリティ] タイルで、[encryption-at-rest]$保存時の暗号化$ の [構成] を選択します。これは必須の設定であり、これが正常に構成されるまで、デバイスをアクティブ化することはできません。

$ローカル Web UI の [Encryption at rest]$保存時の暗号化$ ページ 1$

ファクトリでは、デバイスがイメージ化されると、ボリュームレベルの BitLocker 暗号化が有効になります。デバイスを受け取った後、静止状態での暗号化を設定する必要があります。記憶域プールとボリュームが再作成され、暗号化保存データを有効にするための BitLocker キーを提供でき、これにより保存時のデータに対して2番目の暗号化レイヤーを作成できます。
[ 保存時の暗号化 ] ウィンドウで、32 文字の長さ (AES-256 ビット) Base-64 でエンコードされたキーを入力します。これは 1 回限りの構成であり、このキーは実際の暗号化キーを保護するために使用されます。

このキーを自動的に生成することもできます。
を選択してを適用します。この操作には数分かかり、操作の状態が [セキュリティ ] タイルに表示されます。

$ローカル Web UI の [Encryption at rest]$保存時の暗号化$ ページ 4$
状態が [完了] と表示されたら、[ 作業の開始] に戻ります。