教學課程：設定 Azure Stack Edge Pro 2 的憑證

本教學課程說明如何使用本機 Web UI 設定 Azure Stack Edge Pro 2 的憑證。

此步驟所花費的時間可能會有所不同，具體取決於您選擇的特定選項，以及憑證流程在環境中建立的方式。

在本教學課程中，您會了解：

先決條件

在你設定和安裝 Azure Stack Edge Pro 2 裝置之前，請確保：

• 您已安裝實體裝置，如 安裝 Azure Stack Edge Pro 2 中所述。

• 如果您打算自備憑證：

  • 您應該準備好適當格式的憑證，包括簽署鏈結憑證。
  • 如果您的裝置部署在 Azure 政府中，而不是部署在 Azure 公用雲端中，則需要簽署鏈結憑證，才能啟用裝置。

  如需憑證的詳細資訊，請移至 準備要上傳到 Azure Stack Edge 裝置上的憑證。

設定裝置的憑證

1. 在裝置的本機 Web UI 中開啟 [憑證] 頁面。 此頁面將顯示您裝置上可用的憑證。 裝置隨附自簽憑證，也稱為裝置憑證。 您也可以自備憑證。

2. 只有在您 稍早設定裝置設定時未變更裝置名稱或 DNS 網域，且不想使用自己的憑證時，才執行此步驟。

   您不需要在此頁面上執行任何設定。 您只需驗證所有憑證的狀態是否在此頁面上顯示為有效。

   

   您已準備好使用現有的裝置憑證設定 靜態加密 。

3. 只有在您已變更裝置的裝置名稱或 DNS 網域時，才請遵循其餘步驟。 在這些情況下，您的裝置憑證狀態將為 無效。 這是因為憑證 subject name 和 subject alternative 設定中的裝置名稱和 DNS 網域已過期。

   您可以選取憑證來檢視狀態詳細資料。

   Azure Stack Edge 裝置本機 Web UI 中 [憑證] 頁面上憑證的憑證詳細資訊螢幕擷取畫面。選取的憑證及其詳細資訊已突顯顯示。

4. 如果您已變更裝置的裝置名稱或 DNS 網域，且未提供新的憑證，則 會封鎖裝置的啟用。若要在裝置上使用一組新的憑證，請選擇下列其中一個選項：

   • 產生所有裝置憑證。 選取此選項，然後完成 產生裝置憑證中的步驟，如果您打算使用自動產生的裝置憑證，且需要產生新的裝置憑證。 您應該只使用這些裝置憑證進行測試，而不是生產工作負載。

   • 自備憑證。 如要使用自己的簽署端點憑證和相應的簽署鏈，請選取此選項，然後執行攜帶您自己的憑證中的步驟。 建議您在處理生產工作負載時，始終使用自己的憑證。

   • 您可以選擇自備一些憑證，並產生一些裝置憑證。 產生 所有裝置憑證選項 只會重新產生裝置憑證。

5. 當您的裝置有完整的有效憑證集時，請選取 < [返回開始使用]。 您現在可以繼續設定 靜態加密。

產生裝置憑證

請遵循下列步驟來產生裝置憑證。

使用下列步驟來重新產生和下載 Azure Stack Edge Pro 2 裝置憑證：

1. 在裝置的本機用戶介面中，前往 [設定>憑證]。 選取 [產生憑證]。

   

2. 在 [產生裝置憑證] 中，選取 [產生]。

   Azure Stack Edge 裝置的「產生憑證」窗格螢幕擷取畫面，其中「產生」按鈕已被突出顯示。

   現在已產生並套用裝置憑證。 產生和套用憑證需要幾分鐘的時間。

   這很重要

   當憑證產生作業進行時，請勿自備憑證，並嘗試透過 + 新增憑證 選項新增憑證。

   當作業成功完成時，您會收到通知。 為避免任何潛在的快取問題，請重新啟動瀏覽器。

   

3. 產生憑證之後：

   • 請確定所有憑證的狀態都顯示為 [有效]。

     

   • 您可以選取特定的憑證名稱，並檢視憑證詳細資料。

     

   • 下載欄位現已填入。 此欄包含下載重新產生憑證的連結。

     

4. 選取憑證的下載連結，並在出現提示時儲存憑證。

   

5. 對您要下載的所有憑證重複此過程。

   

   裝置產生的憑證會儲存為具有下列名稱格式的 DER 憑證：

   <Device name>_<Endpoint name>.cer。 這些憑證包含裝置上安裝之對應憑證的公開金鑰。

您必須在用來存取 Azure Stack Edge 裝置上端點的用戶端系統上安裝這些憑證。 這些憑證在用戶端和裝置之間建立信任。

若要在您用來存取裝置的用戶端上匯入並安裝這些憑證，請遵循在 存取 Azure Stack Edge Pro GPU 裝置的用戶端上匯入憑證中的步驟。

如果使用 Azure 儲存體總管，您必須在用戶端上安裝 PEM 格式的憑證，而且必須將裝置產生的憑證轉換成 PEM 格式。

自備憑證

您可以自備憑證。

• 首先，瞭解 可與 Azure Stack Edge 裝置搭配使用的憑證類型。
• 接下來，檢閱 每種憑證類型的憑證需求。
• 然後，您可以 透過 Azure PowerShell 建立憑證 ，或透過 整備檢查工具建立憑證。
• 最後，將 憑證轉換為適當的格式 ，以便它們可以上傳到您的裝置。

請遵循下列步驟來上傳您自己的憑證，包括簽署鏈結。

1. 若要上傳憑證，請在 [憑證] 頁面上，選取 [+ 新增憑證]。

   

2. 如果您在以 .pfx 格式匯出憑證時，在憑證路徑中包含所有憑證，則可以略過此步驟。 如果您未在匯出中包含所有憑證，請上傳簽署鏈結，然後選取 [驗證並新增]。 您必須先執行此動作，才能上傳其他憑證。

   在某些情況下，您可能想要單獨攜帶簽署鏈結以用於其他用途，例如，連線到Windows Server Update Services （WSUS） 的更新伺服器。

   

3. 上傳其他憑證。 例如，您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。

   

   您也可以上傳本機 Web UI 憑證。 上傳此憑證之後，您必須啟動瀏覽器並清除快取。 然後，您需要連接到裝置的本地網頁使用者介面。

   

   您也可以上傳節點憑證。

   

   憑證頁面應該會更新，以反映新新增的憑證。 您可以隨時選取憑證並檢視詳細資料，以確保這些憑證與您上傳的憑證相符。

   Azure Stack Edge 裝置節點憑證的 [新增憑證] 窗格螢幕擷取畫面，其中強調了憑證類型和憑證項目。

   備註

   除了 Azure 公用雲端之外，所有雲端設定 （Azure Government 或 Azure Stack） 的啟用之前，都需要引進簽署鏈結憑證。

設定待用加密

1. 在 [ 安全性 ] 磚上，選取 [設定 待用加密]。

   備註

   這是必要的設定，在成功設定之前，您無法啟用裝置。

   在工廠內，當設備的成像完成後，磁碟區層級的 BitLocker 加密就會啟用。 收到裝置後，您需要設定靜態加密。 儲存集區和磁碟區會重新建立，而且您可以提供 BitLocker 金鑰來啟用待用加密，從而為待用資料建立第二層加密。

2. 在 [靜態加密] 窗格中，提供 32 個字元長的 Base-64 編碼金鑰。 這是一次性配置，此金鑰用於保護實際的加密金鑰。 您可以選擇自動產生此金鑰。

   

   您也可以輸入自己的 Base-64 編碼 ASE-256 位元加密金鑰。

   

   啟用裝置後，金鑰會儲存在 雲端詳細資料 頁面上的金鑰檔案中。

3. 選取 ，然後套用。 此操作需要幾分鐘，並顯示操作狀態。

   

4. 狀態顯示為 「已完成」後，您的裝置現在已準備好啟動。 選取 [返回開始使用]<。

後續步驟

在本教學課程中，您會了解：

若要瞭解如何啟用 Azure Stack Edge Pro 2 裝置，請參閱：