Condividi tramite

Esercitazione: Configurare i certificati per Azure Stack Edge Pro R

  • Articolo

Questa esercitazione illustra come configurare i certificati per il dispositivo Azure Stack Edge Pro R usando l'interfaccia utente Web locale.

Il tempo impiegato per questo passaggio può variare in base all'opzione specifica scelta e al modo in cui il flusso del certificato viene stabilito nell'ambiente in uso.

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la rete VPN
  • Configurare la crittografia dei dati inattivi

Prerequisiti

Prima di configurare il dispositivo Azure Stack Edge Pro R, assicurarsi di:

  • Aver installato il dispositivo fisico come descritto in Installare Azure Stack Edge Pro R.
  • Se si prevede di usare certificati personalizzati:
    • È necessario che i certificati siano pronti nel formato appropriato, incluso il certificato della catena di firma. Per informazioni dettagliate sul certificato, vedere Gestire i certificati

Configurare i certificati per il dispositivo

  1. I certificati possono essere configurati nella pagina Certificati. A seconda che sia stato modificato il nome del dispositivo o il dominio DNS nella pagina Dispositivo, è possibile scegliere una delle opzioni seguenti per i certificati.

    • Se il nome dispositivo o il dominio DNS non è stato modificato nel passaggio precedente, è possibile ignorare questo passaggio e procedere con il passaggio successivo. Il dispositivo ha generato automaticamente certificati autofirmati per iniziare.

    • Se è stato modificato il nome del dispositivo o il dominio DNS, si noterà che lo stato dei certificati viene visualizzato come Non valido.

      Local web UI

      Selezionare un certificato per visualizzare i dettagli dello stato.

      Local web UI

      Il motivo è che i certificati non riflettono il nome del dispositivo e il dominio DNS aggiornati (usati nel nome del soggetto e nel nome alternativo del soggetto). Per attivare correttamente il dispositivo, è possibile caricare certificati di endpoint firmati personali e le catene di firma corrispondenti. È necessario prima di tutto aggiungere la catena di firma e quindi caricare i certificati degli endpoint. Per altre informazioni, vedere Caricare i certificati personali nel dispositivo Azure Stack Edge Pro R.

    • Se è stato modificato il nome dispositivo o il dominio DNS e non si caricano i certificati personali, l'attivazione verrà bloccata.

Caricare i certificati personali

Seguire questa procedura per aggiungere i certificati personali, inclusa la catena di firma.

  1. Per caricare il certificato, nella pagina Certificati selezionare + Aggiungi certificato.

    Local web UI

  2. Caricare prima la catena di firma e selezionare Validate & add (Convalida e aggiungi).

    Local web UI

  3. A questo punto è possibile caricare altri certificati. Ad esempio, è possibile caricare i certificati di Azure Resource Manager e dell'endpoint di archiviazione BLOB.

    Local web UI

    È anche possibile caricare il certificato dell'interfaccia utente Web locale. Dopo aver caricato questo certificato, verrà richiesto di riavviare il browser e cancellare la cache. Sarà quindi necessario connettersi all'interfaccia utente Web locale del dispositivo.

    Local web UI

    È anche possibile caricare il certificato del nodo.

    Local web UI

    Infine è possibile caricare il certificato della VPN.

    Local web UI

    In qualsiasi momento, è possibile selezionare un certificato e visualizzare i dettagli per verificare che corrispondano al certificato caricato.

    La pagina Certificati viene aggiornata per riflettere i nuovi certificati aggiunti.

    Local web UI

    Nota

    Ad eccezione del cloud pubblico di Azure, i certificati della catena di firma devono essere caricati prima dell'attivazione per tutte le configurazioni del cloud (Azure per enti pubblici o Azure Stack).

  4. Selezionare < Torna a Attività iniziali.

Configurare la rete VPN

  1. Nel riquadro Sicurezza selezionare Configura per la VPN.

    Local web UI

    Per configurare la VPN, occorre prima verificare che siano state eseguite tutte le operazioni di configurazione necessarie in Azure. Per informazioni dettagliate, vedere Configurare i prerequisiti e Configurare le risorse di Azure per la VPN. Al termine, è possibile eseguire la configurazione nell'interfaccia utente locale.

    1. Nella pagina della VPN selezionare Configura.
    2. Nel pannello Configura VPN:

    • Abilitare Impostazioni VPN.

    • Specificare un valore in Segreto condiviso VPN. Si tratta della chiave condivisa specificata durante la creazione dell'oggetto connessione VPN di Azure.

    • Specificare un indirizzo in Indirizzo IP gateway VPN. È l'indirizzo IP del gateway di rete locale di Azure.

    • In Gruppo PFS selezionare Nessuno.

    • In Gruppo DH selezionare Group2.

    • In Metodo di integrità IPSec selezionare SHA256.

    • In Costanti di trasformazione di crittografia IPSec selezionare GCMAES256.

    • In Costanti di trasformazione dell'autenticazione IPSec selezionare GCMAES256.

    • In Metodo di crittografia IKE selezionare AES256.

    • Selezionare Applica.

      Configure local UI 2

    1. Per caricare il file di configurazione della route VPN, selezionare Carica.

      Configure local UI 3

      • Passare al file JSON di configurazione della VPN scaricato nel sistema locale nel passaggio precedente.

      • Selezionare l'area di Azure associata al dispositivo, alla rete virtuale e ai gateway.

      • Selezionare Applica.

        Configure local UI 4

    2. Per aggiungere route specifiche del client, configurare gli intervalli di indirizzi IP a cui accedere solo tramite VPN.

      • In Intervalli di indirizzi IP accessibili solo tramite VPN selezionare Configura.

      • Specificare un intervallo IPv4 valido e selezionare Aggiungi. Ripetere la procedura per aggiungere altri intervalli.

      • Selezionare Applica.

        Configure local UI 5

  2. Selezionare < Torna a Attività iniziali.

Configurare la crittografia dei dati inattivi

  1. Nel riquadro Sicurezza selezionare Configura per la crittografia dei dati inattivi. Si tratta di un'impostazione obbligatoria e, finché non viene configurata correttamente, non è possibile attivare il dispositivo.

    In fase di produzione del dispositivo, dopo la creazione delle immagini dei dispositivi, la crittografia BitLocker a livello di volume è abilitata. Dopo aver ricevuto il dispositivo, è necessario configurare la crittografia dei dati inattivi. Il pool di archiviazione e i relativi volumi vengono ricreati ed è possibile fornire le chiavi BitLocker per abilitare la crittografia dei dati inattivi, creando così un secondo livello di crittografia per i dati inattivi.

  2. Nel riquadro Crittografia dati inattivi specificare una chiave con codifica Base 64 di 32 caratteri. Questa configurazione viene eseguita una volta sola e questa chiave viene usata per proteggere la chiave di crittografia effettiva. È anche possibile scegliere di generare automaticamente questa chiave o immetterne una.

    Local web UI

    La chiave viene salvata in un file nella pagina Dettagli cloud dopo l'attivazione del dispositivo.

  3. Selezionare Applica. Questa operazione richiede diversi minuti e il relativo stato viene visualizzato nel riquadro Sicurezza.

    Local web UI

  4. Dopo che lo stato viene visualizzato come Completato, selezionare < Torna a Attività iniziali.

Il dispositivo è ora pronto per essere attivato.

Passaggi successivi

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la rete VPN
  • Configurare la crittografia dei dati inattivi

Per informazioni su come attivare il dispositivo Azure Stack Edge Pro R, vedere:

Attivare il dispositivo Azure Stack Edge Pro R