教程：为 Azure Stack Edge Pro 2 配置证书

本教程介绍如何使用本地 Web UI 为 Azure Stack Edge Pro 2 配置证书。

此步骤所用的时间可能因所选的特定选项以及证书流在环境中建立方式而异。

本教程的介绍内容包括：

先决条件

在配置和设置 Azure Stack Edge Pro 2 设备之前，请确保：

• 已安装物理设备，如 安装 Azure Stack Edge Pro 2 中所述。

• 如果计划自带证书：

  • 应以适当的格式准备好证书，包括签名链证书。
  • 如果设备部署在 Azure 政府版中，而不是部署在 Azure 公有云中，则需要签名链证书，然后才能激活设备。

  有关证书的详细信息，请转到 准备证书以在 Azure Stack Edge 设备上上传。

为设备配置证书

1. 在设备的本地 Web UI 中打开 “证书 ”页。 此页面将显示设备上可用的证书。 设备附带自签名证书，也称为设备证书。 还可以自带证书。

2. 仅当您在之前配置设备设置时未更改设备名称或 DNS 域，并且不想使用自己的证书时，才遵循此步骤。

   无需在此页上执行任何配置。 只需验证所有证书的状态是否在此页上显示为有效。

   

   你已准备好使用现有设备证书配置 静态加密 。

3. 仅当更改了设备的设备名称或 DNS 域时，才执行剩余的步骤。 在这些情况下，设备证书的状态将 无效。 这是因为证书 subject namesubject alternative 和设置中的设备名称和 DNS 域已过期。

   可以选择证书以查看状态详细信息。

   

4. 如果更改了设备的设备名称或 DNS 域，并且未提供新证书， 则会阻止设备激活。若要在设备上使用一组新的证书，请选择以下选项之一：

   • 生成所有设备证书。 选择此选项，然后完成 “生成设备证书”中的步骤（如果计划使用自动生成的设备证书并需要生成新的设备证书）。 应仅使用这些设备证书进行测试，而不应用于生产工作负荷。

   • 自带证书。 选择此选项，然后执行 “自带证书”中的步骤（如果要使用自己的签名终结点证书和相应的签名链）。 建议始终将自己的证书用于生产工作负载。

   • 可以选择自带一些证书并生成一些设备证书。 “生成所有设备证书”选项仅重新生成设备证书。

5. 如果设备有一组完整的有效证书，请选择“<返回到‘开始使用’”。 现在可以继续配置 静态加密。

生成设备证书

按照以下步骤生成设备证书。

使用以下步骤重新生成和下载 Azure Stack Edge Pro 2 设备证书：

1. 在设备的本地 UI 中，转到 “配置 > 证书”。 选择“ 生成证书”。

   

2. 在“ 生成设备证书”中，选择“ 生成”。

   

   设备证书现已生成并应用。 生成并应用证书需要几分钟时间。

   重要

   当证书生成作正在进行时，请不要自带证书，并尝试通过 +添加证书 选项添加这些证书。

   当操作成功完成时，你会收到通知。 若要避免任何潜在的缓存问题，请重启浏览器。

   

3. 生成证书后：

   • 请确保所有证书的状态显示为 “有效”。

     

   • 可以选择特定的证书名称，并查看证书详细信息。

     

   • 现在已填充 “下载 ”列。 此列包含用于下载重新生成证书的链接。

     

4. 选择证书的下载链接，并在出现提示时保存证书。

   

5. 对要下载的所有证书重复此过程。

   

   设备生成的证书以以下名称格式保存为 DER 证书：

   <Device name>_<Endpoint name>.cer。 这些证书包含设备上安装的相应证书的公钥。

需要在用于访问 Azure Stack Edge 设备上的终结点的客户端系统上安装这些证书。 这些证书在客户端和设备之间建立信任。

若要在用于访问设备的客户端上导入并安装这些证书，请按照 访问 Azure Stack Edge Pro GPU 设备的客户端上的导入证书中的步骤作。

如果使用 Azure 存储资源管理器，则需要以 PEM 格式在客户端上安装证书，并且需要将设备生成的证书转换为 PEM 格式。

自带证书

可以自带证书。

• 首先了解 可与 Azure Stack Edge 设备一起使用的证书类型。
• 接下来，查看 每种证书类型的证书要求。
• 然后，可以通过 Azure PowerShell 创建证书 ，也可以 通过就绪情况检查器工具创建证书。
• 最后， 将证书转换为适当的格式 ，以便它们已准备好上传到设备。

按照以下步骤上传自己的证书，包括签名链。

1. 若要上传证书，请在“ 证书 ”页上选择“ + 添加证书”。

   

2. 如果 以 .pfx 格式导出证书时，在证书路径中包含所有证书，则可以跳过此步骤。 如果导出中不包含所有证书，请上传签名链，然后选择“ 验证并添加”。 在上传其他证书之前，你需要执行此操作。

   在某些情况下，建议单独将签名链用于其他目的 - 例如，连接到 Windows Server Update Services (WSUS) 的更新服务器。

   

3. 上传其他证书。 例如，可以上传 Azure 资源管理器和 Blob 存储终结点证书。

   

   还可以上传本地 Web UI 证书。 上传此证书后，需要启动浏览器并清除缓存。 然后，您需要连接到设备的本地网页用户界面。

   

   还可以上传节点证书。

   

   证书页应更新以反映新添加的证书。 可以随时选择证书并查看详细信息，以确保这些证书与上传的证书匹配。

   

   注释

   除了 Azure 公有云，在激活所有云配置（Azure 政府版或 Azure Stack）之前，需要引入签名链证书。

配置静态加密

1. 在“安全”磁贴上，选择“配置静态加密”。

   注释

   这是一个必需的设置，在成功配置之前，你无法激活设备。

   出厂时，在设备创建映像后，会启用卷级别的 BitLocker 加密。 你在收到设备后，需要配置静态加密。 重新创建存储池和卷，可以提供 BitLocker 密钥以启用静态加密，从而为静态数据创建第二层加密。

2. 在 “静态加密 ”窗格中，提供 32 个字符长的 Base-64 编码密钥。 这是一次性配置，此密钥用于保护实际加密密钥。 可以选择自动生成此密钥。

   

   还可以输入自己的 Base-64 编码 ASE-256 位加密密钥。

   

   激活设备后，密钥将保存在 云详细信息 页上的密钥文件中。

3. 选择应用。 此操作需要几分钟时间，并显示操作状态。

   

4. 状态显示为 “已完成”后，设备现已准备好激活。 选择“< 返回到‘开始使用’”。

后续步骤

本教程的介绍内容包括：

若要了解如何激活 Azure Stack Edge Pro 2 设备，请参阅：