Udostępnij przez

Samouczek: konfigurowanie certyfikatów dla usługi Azure Stack Edge Pro 2

W tym samouczku opisano sposób konfigurowania certyfikatów dla usługi Azure Stack Edge Pro 2 przy użyciu lokalnego internetowego interfejsu użytkownika.

Czas potrzebny na ten krok może się różnić w zależności od wybranej opcji i sposobu ustanowienia przepływu certyfikatów w danym środowisku.

Z tego samouczka dowiesz się więcej o następujących tematach:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie szyfrowania danych w spoczynku

Wymagania wstępne

Przed przygotowaniem i skonfigurowaniem urządzenia Azure Stack Edge Pro 2 upewnij się, że:

  • Urządzenie fizyczne zostało zainstalowane zgodnie z opisem w temacie Instalowanie usługi Azure Stack Edge Pro 2.

  • Jeśli planujesz przynieść własne certyfikaty:

    • Powinieneś przygotować swoje certyfikaty w odpowiednim formacie, w tym certyfikat łańcucha podpisywania.
    • Jeśli urządzenie zostało wdrożone w usłudze Azure Government i nie zostało wdrożone w chmurze publicznej platformy Azure, przed aktywowaniem urządzenia wymagany jest certyfikat łańcucha podpisywania.

    Aby uzyskać szczegółowe informacje na temat certyfikatów, przejdź do tematu Przygotowywanie certyfikatów do przekazania na urządzeniu Azure Stack Edge.

Konfigurowanie certyfikatów dla urządzenia

  1. Otwórz stronę Certyfikaty w lokalnym internetowym interfejsie użytkownika urządzenia. Na tej stronie zostaną wyświetlone certyfikaty dostępne na urządzeniu. Urządzenie jest dostarczane z certyfikatami z podpisem własnym, nazywanym również certyfikatami urządzeń. Możesz również przynieść własne certyfikaty.

  2. Postępuj zgodnie z tym krokiem tylko wtedy, gdy wcześniej nie zmieniono nazwy urządzenia ani domeny DNS, a nie chcesz używać własnych certyfikatów.

    Nie musisz wykonywać żadnej konfiguracji na tej stronie. Wystarczy sprawdzić, czy stan wszystkich certyfikatów jest prawidłowy na tej stronie.

    Zrzut ekranu przedstawiający stronę Certyfikaty w lokalnym internetowym interfejsie użytkownika usługi Azure Stack Edge. Element menu Certyfikaty jest wyróżniony.

    Jesteś gotowy do skonfigurowania szyfrowania danych w stanie spoczynku za pomocą istniejących certyfikatów urządzeń.

  3. Wykonaj pozostałe kroki tylko wtedy, gdy zmieniono nazwę urządzenia lub domenę DNS dla urządzenia. W tych przypadkach stan certyfikatów urządzenia będzie nieprawidłowy. Dzieje się tak, ponieważ nazwa urządzenia i domena DNS w subject name ustawieniach subject alternative certyfikatów są nieaktualne.

    Możesz wybrać certyfikat, aby wyświetlić szczegóły stanu.

    ** Zrzut ekranu przedstawiający szczegóły certyfikatu na stronie Certyfikaty w lokalnym webowym interfejsie użytkownika urządzenia Azure Stack Edge. Wybrany certyfikat i szczegóły certyfikatu są wyróżnione.

  4. Jeśli zmieniono nazwę urządzenia lub domenę DNS urządzenia i nie podasz nowych certyfikatów, aktywacja urządzenia zostanie zablokowana. Aby użyć nowego zestawu certyfikatów na urządzeniu, wybierz jedną z następujących opcji:

    • Wygeneruj wszystkie certyfikaty urządzeń. Wybierz tę opcję, a następnie wykonaj kroki opisane w temacie Generowanie certyfikatów urządzeń, jeśli planujesz używać automatycznie wygenerowanych certyfikatów urządzeń i musisz wygenerować nowe certyfikaty urządzeń. Te certyfikaty urządzeń należy używać tylko do testowania, a nie z obciążeniami produkcyjnymi.

    • Przynieś własne certyfikaty. Wybierz tę opcję, a następnie wykonaj kroki opisane w artykule Bring your own certificates (Używanie własnych certyfikatów), jeśli chcesz użyć własnych podpisanych certyfikatów punktu końcowego i odpowiednich łańcuchów podpisywania. Zalecamy, aby zawsze posiadać własne certyfikaty dla obciążeń produkcyjnych.

    • Możesz wybrać opcję wprowadzenia własnych certyfikatów i wygenerować niektóre certyfikaty urządzeń. Opcja Wygeneruj wszystkie certyfikaty urządzeń tylko ponownie generuje certyfikaty urządzeń.

  5. Jeśli masz pełny zestaw prawidłowych certyfikatów dla urządzenia, wybierz < Wstecz, aby rozpocząć. Teraz możesz przejść do konfigurowania szyfrowania danych w spoczynku.

Generowanie certyfikatów urządzeń

Wykonaj następujące kroki, aby wygenerować certyfikaty urządzeń.

Wykonaj następujące kroki, aby ponownie wygenerować i pobrać certyfikaty urządzeń Azure Stack Edge Pro 2:

  1. W lokalnym interfejsie użytkownika urządzenia przejdź do pozycji Certyfikaty konfiguracji>. Wybierz pozycję Generuj certyfikaty.

    Zrzut ekranu przedstawiający stronę Certyfikaty w lokalnym internetowym interfejsie użytkownika urządzenia Azure Stack Edge. Przycisk Generuj certyfikaty został wyróżniony.

  2. W obszarze Generowanie certyfikatów urządzeń wybierz pozycję Generuj.

    Zrzut ekranu przedstawiający okienko Generowanie certyfikatów dla urządzenia Azure Stack Edge. Przycisk Generuj jest wyróżniony.

    Certyfikaty urządzeń są teraz generowane i stosowane. Wygenerowanie i zastosowanie certyfikatów może potrwać kilka minut.

    Ważne

    Podczas gdy operacja generowania certyfikatów jest w toku, nie wprowadzaj własnych certyfikatów i spróbuj dodać te certyfikaty za pomocą opcji + Dodaj certyfikat .

    Otrzymasz powiadomienie o pomyślnym zakończeniu operacji. Aby uniknąć potencjalnych problemów z pamięcią podręczną, uruchom ponownie przeglądarkę.

    Zrzut ekranu przedstawiający powiadomienie o pomyślnym wygenerowaniu certyfikatów na urządzeniu Azure Stack Edge.

  3. Po wygenerowaniu certyfikatów:

    • Upewnij się, że stan wszystkich certyfikatów jest wyświetlany jako Prawidłowy.

      Zrzut ekranu przedstawiający nowo wygenerowane certyfikaty na stronie Certyfikaty urządzenia Azure Stack Edge. Certyfikaty o prawidłowym stanie są wyróżnione.

    • Możesz wybrać określoną nazwę certyfikatu i wyświetlić szczegóły certyfikatu.

      Zrzut ekranu przedstawiający szczegóły lokalnego certyfikatu internetowego interfejsu użytkownika wyróżnione na stronie Certyfikaty urządzenia Azure Stack Edge.

    • Kolumna Pobierz jest teraz wypełniona. Ta kolumna zawiera linki do pobierania wygenerowanych certyfikatów.

      Zrzut ekranu przedstawiający stronę Certyfikaty na urządzeniu Azure Stack Edge. Linki pobierania dla wygenerowanych certyfikatów są wyróżnione.

  4. Wybierz link pobierania dla certyfikatu i po wyświetleniu monitu zapisz certyfikat.

    Zrzut ekranu przedstawiający stronę Certyfikaty na urządzeniu Azure Stack Edge. Wybrano link pobierania. Link i opcje pobierania są wyróżnione.

  5. Powtórz ten proces dla wszystkich certyfikatów, które chcesz pobrać.

    Zrzut ekranu przedstawiający pobrane certyfikaty w Eksploratorze plików systemu Windows. Certyfikaty dla urządzenia Azure Stack Edge zostały wyróżnione.

    Certyfikaty wygenerowane przez urządzenie są zapisywane jako certyfikaty DER w następującym formacie nazwy:

    <Device name>_<Endpoint name>.cer. Te certyfikaty zawierają klucz publiczny dla odpowiednich certyfikatów zainstalowanych na urządzeniu.

Należy zainstalować te certyfikaty w systemie klienckim, którego używasz do uzyskiwania dostępu do punktów końcowych na urządzeniu Azure Stack Edge. Te certyfikaty ustanawiają zaufanie między klientem a urządzeniem.

Aby zaimportować i zainstalować te certyfikaty na kliencie używanym do uzyskiwania dostępu do urządzenia, wykonaj kroki opisane w temacie Importowanie certyfikatów na klientach, którzy uzyskują dostęp do urządzenia GPU usługi Azure Stack Edge Pro.

Jeśli używasz Eksploratora usługi Azure Storage, musisz zainstalować certyfikaty na kliencie w formacie PEM i należy przekonwertować certyfikaty wygenerowane przez urządzenie na format PEM.

Ważne

  • Link pobierania jest dostępny tylko dla certyfikatów wygenerowanych przez urządzenie, a nie w przypadku korzystania z własnych certyfikatów.
  • Możesz zdecydować się na połączenie certyfikatów wygenerowanych przez urządzenie i przynieść własne certyfikaty, o ile spełnione są inne wymagania dotyczące certyfikatów. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.

Korzystanie z własnych certyfikatów

Możesz przynieść własne certyfikaty.

Wykonaj następujące kroki, aby przesłać własne certyfikaty, w tym ciąg certyfikatów służących do podpisywania.

  1. Aby przekazać certyfikat, na stronie Certyfikat wybierz pozycję + Dodaj certyfikat.

    Zrzut ekranu przedstawiający okienko Dodawanie certyfikatu w lokalnym internetowym interfejsie użytkownika urządzenia Azure Stack Edge. Wyróżniono element menu Certyfikaty, przycisk Dodaj certyfikat i okienko Dodaj certyfikat.

  2. Ten krok można pominąć, jeśli wszystkie certyfikaty zostały uwzględnione w ścieżce certyfikatu podczas eksportowania certyfikatów w formacie pfx. Jeśli nie dołączysz wszystkich certyfikatów do eksportu, prześlij łańcuch podpisywania, a następnie wybierz opcję Weryfikuj i dodaj. Należy to zrobić przed przesłaniem innych certyfikatów.

    W niektórych przypadkach możesz chcieć użyć samego łańcucha podpisywania do innych celów — na przykład w celu nawiązania połączenia z serwerem aktualizacji dla usług Windows Server Update Services (WSUS).

    Zrzut ekranu przedstawiający okienko Dodawanie certyfikatu łańcucha podpisywania w lokalnym interfejsie internetowym urządzenia Azure Stack Edge. Wyróżniono typ certyfikatu, wpisy certyfikatu i przycisk Weryfikuj i dodaj.

  3. Przekaż inne certyfikaty. Można na przykład przekazać certyfikaty punktów końcowych usługi Azure Resource Manager i usługi Blob Storage.

    Zrzut ekranu przedstawiający okienko Dodawanie certyfikatu dla punktów końcowych dla urządzenia Azure Stack Edge. Typ certyfikatu i wpisy certyfikatu są wyróżnione.

    Możesz również załadować lokalny certyfikat webowego interfejsu użytkownika. Po przekazaniu tego certyfikatu konieczne będzie uruchomienie przeglądarki i wyczyszczenie pamięci podręcznej. Następnie musisz nawiązać połączenie z lokalnym internetowym interfejsem użytkownika urządzenia.

    Strona 7 lokalnego internetowego interfejsu użytkownika

    Możesz również przekazać certyfikat węzła.

    Zrzut ekranu okienka Dodaj certyfikat dla lokalnego interfejsu użytkownika sieci Web dla urządzenia Azure Stack Edge. Wyróżniono typ certyfikatu oraz wpisy certyfikatu.

    Strona certyfikatu powinna zostać zaktualizowana w celu odzwierciedlenia nowo dodanych certyfikatów. W dowolnym momencie możesz wybrać certyfikat i wyświetlić szczegóły, aby upewnić się, że są one zgodne z przekazanym certyfikatem.

    Zrzut ekranu przedstawiający panel Dodawanie certyfikatu dla certyfikatu węzła na urządzeniu Azure Stack Edge. Wyróżniono typ certyfikatu i wpisy certyfikatu.

    Uwaga / Notatka

    Z wyjątkiem chmury publicznej platformy Azure certyfikaty łańcucha podpisywania muszą zostać wprowadzone przed aktywacją dla wszystkich konfiguracji chmury (Azure Government lub Azure Stack).

Konfigurowanie szyfrowania danych w spoczynku

  1. Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla szyfrowania danych w stanie spoczynku.

    Uwaga / Notatka

    Jest to wymagane ustawienie i dopóki nie zostanie pomyślnie skonfigurowane, nie będzie można aktywować urządzenia.

    W fabryce, po zainstalowaniu obrazu na urządzeniach, szyfrowanie BitLocker na poziomie woluminu jest włączone. Po otrzymaniu urządzenia należy skonfigurować szyfrowanie w stanie spoczynku. Pula pamięci masowej i woluminy są tworzone ponownie i można podać klucze funkcji BitLocker, aby włączyć szyfrowanie danych w spoczynku, a tym samym utworzyć drugą warstwę szyfrowania dla danych w spoczynku.

  2. W okienku Szyfrowanie w spoczynku podaj 32-znakowy klucz zakodowany w formacie Base-64. Jest to jednorazowa konfiguracja i ten klucz jest używany do ochrony rzeczywistego klucza szyfrowania. Możesz automatycznie wygenerować ten klucz.

    Zrzut ekranu przedstawiający okienko lokalnego internetowego interfejsu użytkownika

    Możesz również wprowadzić własny klucz szyfrowania szyfrowany algorytmem Base-64 ASE-256-bitowym.

    Zrzut ekranu przedstawiający okienko lokalnego interfejsu użytkownika w przeglądarce internetowej

    Klucz jest zapisywany w pliku klucza na stronie Szczegółów chmury po aktywowaniu urządzenia.

  3. Wybierz i zastosuj. Ta operacja trwa kilka minut, a stan operacji jest wyświetlany.

    Zrzut ekranu przedstawiający powiadomienie

  4. Gdy stan będzie wyświetlany jako Ukończono, urządzenie jest teraz gotowe do aktywowania. Wybierz pozycję < Powrót do rozpoczęcia.

Dalsze kroki

Z tego samouczka dowiesz się więcej o następujących tematach:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie szyfrowania danych w spoczynku

Aby dowiedzieć się, jak aktywować urządzenie Azure Stack Edge Pro 2, zobacz:

Aktywowanie urządzenia Azure Stack Edge Pro 2

  • Last updated on