Zelfstudie: Certificaten configureren voor uw Azure Stack Edge Pro 2
In deze zelfstudie wordt beschreven hoe u certificaten voor uw Azure Stack Edge Pro 2 kunt configureren met behulp van de lokale webgebruikersinterface.
De tijd die nodig is voor deze stap kan variëren afhankelijk van de specifieke optie die u kiest en hoe de certificaatstroom is opgezet in uw omgeving.
In deze zelfstudie komen deze onderwerpen aan bod:
- Vereisten
- Certificaten voor het fysieke apparaat configureren
- Configureer versleuteling 'at rest'
Vereisten
Voordat u uw Azure Stack Edge Pro 2-apparaat configureert en instelt, moet u ervoor zorgen dat:
U hebt het fysieke apparaat geïnstalleerd zoals beschreven in Azure Stack Edge Pro 2 installeren.
Als u van plan bent uw eigen certificaten te gebruiken:
- Zorg ervoor dat uw certificaten bij de hand hebt in de juiste indeling, inclusief het certificaat van de ondertekeningsketen.
- Als uw apparaat is geïmplementeerd in Azure Government en niet is geïmplementeerd in de openbare Azure-cloud, is een certificaat voor ondertekeningsketen vereist voordat u uw apparaat kunt activeren.
Voor meer informatie over certificaten gaat u naar Certificaten voorbereiden om te uploaden op uw Azure Stack Edge-apparaat.
Certificaten configureren voor apparaat
Open de pagina Certificaten in de lokale webgebruikersinterface van uw apparaat. Op deze pagina worden de certificaten weergegeven die beschikbaar zijn op uw apparaat. Het apparaat wordt geleverd met zelfondertekende certificaten, ook wel de apparaatcertificaten genoemd. U kunt ook uw eigen certificaten meenemen.
Volg deze stap alleen als u de apparaatnaam of het DNS-domein niet hebt gewijzigd toen u eerder apparaatinstellingen hebt geconfigureerd en u uw eigen certificaten niet wilt gebruiken.
U hoeft geen configuratie uit te voeren op deze pagina. U hoeft alleen te controleren of de status van alle certificaten wordt weergegeven als geldig op deze pagina.
U kunt Versleuteling-at-rest configureren met de bestaande apparaatcertificaten.
Volg de resterende stappen alleen als u de apparaatnaam of het DNS-domein voor uw apparaat hebt gewijzigd. In deze gevallen is de status van uw apparaatcertificaten niet geldig. Dat komt doordat de apparaatnaam en het DNS-domein in de certificaten
subject name
ensubject alternative
instellingen verouderd zijn.U kunt een certificaat selecteren om statusdetails weer te geven.
Als u de apparaatnaam of het DNS-domein van uw apparaat hebt gewijzigd en u geen nieuwe certificaten opgeeft, wordt de activering van het apparaat geblokkeerd. Als u een nieuwe set certificaten op uw apparaat wilt gebruiken, kiest u een van de volgende opties:
Alle apparaatcertificaten genereren. Selecteer deze optie en voer vervolgens de stappen in Apparaatcertificaten genereren uit als u van plan bent automatisch gegenereerde apparaatcertificaten te gebruiken en nieuwe apparaatcertificaten moet genereren. U moet deze apparaatcertificaten alleen gebruiken voor testen, niet voor productieworkloads.
Uw eigen certificaten gebruiken. Selecteer deze optie en voer vervolgens de stappen uit in Bring Your Own Certificates als u uw eigen ondertekende eindpuntcertificaten en de bijbehorende ondertekeningsketens wilt gebruiken. U wordt aangeraden altijd uw eigen certificaten te maken voor productieworkloads.
U kunt ervoor kiezen om enkele van uw eigen certificaten mee te nemen en enkele apparaatcertificaten te genereren. Met de optie Alle apparaatcertificaten genereren worden alleen de apparaatcertificaten opnieuw gegenereerd.
Wanneer u een volledige set geldige certificaten voor uw apparaat hebt, selecteert u < Terug om aan de slag te gaan. U kunt nu doorgaan met het configureren van versleuteling-at-rest.
Apparaatcertificaten genereren
Volg deze stappen om apparaatcertificaten te genereren.
Gebruik deze stappen om de Azure Stack Edge Pro 2-apparaatcertificaten opnieuw te genereren en te downloaden:
Ga in de lokale gebruikersinterface van uw apparaat naar Configuratiecertificaten>. Selecteer Certificaten genereren.
Selecteer Genereren bij Apparaatcertificaten genereren.
De apparaatcertificaten worden nu gegenereerd en toegepast. Het duurt enkele minuten om de certificaten te genereren en toe te passen.
Belangrijk
Terwijl de bewerking voor het genereren van het certificaat wordt uitgevoerd, moet u uw eigen certificaten niet gebruiken, en probeer deze toe te voegen met de optie + Certificaat toevoegen.
U ontvangt een melding wanneer de bewerking is voltooid. Als u mogelijke cacheproblemen wilt voorkomen, start u de browser opnieuw.
Nadat de certificaten zijn gegenereerd:
Zorg ervoor dat de status van alle certificaten wordt weergegeven als Geldig.
U kunt een specifieke certificaatnaam selecteren en de certificaatgegevens weergeven.
De kolom Downloaden is nu ingevuld. Deze kolom bevat koppelingen voor het downloaden van de opnieuw gegenereerde certificaten.
Selecteer de downloadkoppeling voor een certificaat en sla het certificaat op wanneer dit wordt gevraagd.
Herhaal dit proces voor alle certificaten die u wilt downloaden.
De door het apparaat gegenereerde certificaten worden opgeslagen als DER-certificaten met de volgende naamindeling:
<Device name>_<Endpoint name>.cer
. Deze certificaten bevatten de openbare sleutel voor de bijbehorende certificaten op het apparaat.
U moet deze certificaten installeren op het clientsysteem dat u gebruikt voor toegang tot de eindpunten op het Azure Stack Edge-apparaat. Met deze certificaten wordt een vertrouwensrelatie tussen de client en het apparaat tot stand gebracht.
Als u deze certificaten wilt importeren en installeren op de client die u gebruikt om toegang te krijgen tot het apparaat, volgt u de stappen in Certificaten importeren op de clients die toegang hebben tot uw Azure Stack Edge Pro GPU-apparaat.
Als u Azure Storage Explorer gebruikt, moet u certificaten installeren op uw client in PEM-indeling en moet u de door het apparaat gegenereerde certificaten converteren naar PEM-indeling.
Belangrijk
- De downloadkoppeling is alleen beschikbaar voor de door het apparaat gegenereerde certificaten en niet als u uw eigen certificaten gebruikt.
- U kunt ervoor kiezen om een combinatie van door apparaten gegenereerde certificaten te hebben en uw eigen certificaten te gebruiken, zolang er maar aan andere certificaatvereisten wordt voldaan. Ga naar Certificaatvereisten voor meer informatie.
Uw eigen certificaten gebruiken
U kunt uw eigen certificaten meenemen.
- Begin met het begrijpen van de typen certificaten die kunnen worden gebruikt met uw Azure Stack Edge-apparaat.
- Controleer vervolgens de certificaatvereisten voor elk type certificaat.
- Vervolgens kunt u uw certificaten maken via Azure PowerShell of uw certificaten maken via het hulpprogramma Gereedheidscontrole.
- Ten slotte converteert u de certificaten naar de juiste indeling , zodat ze klaar zijn om naar uw apparaat te uploaden.
Volg deze stappen om uw eigen certificaten te uploaden, inclusief de ondertekeningsketen.
Als u een certificaat wilt uploaden, selecteert u op de pagina Certificaat de optie + Certificaat toevoegen.
U kunt deze stap overslaan als u alle certificaten in het certificaatpad hebt opgenomen bij het exporteren van certificaten in PFX-indeling. Als u niet alle certificaten in uw export hebt opgenomen, uploadt u de ondertekeningsketen en selecteert u Valideren en toevoegen. U moet dit doen voordat u uw andere certificaten uploadt.
In sommige gevallen wilt u mogelijk alleen een ondertekeningsketen gebruiken voor andere doeleinden, bijvoorbeeld om verbinding te maken met uw updateserver voor Windows Server Update Services (WSUS).
Andere certificaten uploaden. U kunt bijvoorbeeld de Azure Resource Manager- en Blob Storage-eindpuntcertificaten uploaden.
U kunt ook het lokale webinterfacecertificaat uploaden. Nadat u dit certificaat hebt geüpload, moet u de browser starten en de cache wissen. Vervolgens moet u verbinding maken met de lokale webgebruikersinterface van het apparaat.
U kunt ook het knooppuntcertificaat uploaden.
De certificaatpagina zou moeten worden bijgewerkt en de zojuist toegevoegde certificaten weergeven. U kunt op elk gewenst moment een certificaat selecteren en de details weergeven om ervoor te zorgen dat deze overeenkomen met het certificaat dat u hebt geüpload.
Notitie
Met uitzondering van de openbare Azure-cloud moeten ondertekeningsketencertificaten worden ingesteld voordat alle cloudconfiguraties worden geactiveerd (Azure Government of Azure Stack).
Configureer versleuteling 'at rest'
Selecteer Configureren voor versleuteling 'at rest' op de tegel Beveiliging.
Notitie
Dit is een vereiste instelling en totdat deze is geconfigureerd, kunt u het apparaat niet activeren.
In de fabriek wordt BitLocker-versleuteling op volumeniveau ingeschakeld zodra er een installatiekopie op de apparaten is geplaatst. Nadat u het apparaat hebt ontvangen, moet u de versleuteling 'at rest' configureren. De opslaggroep en -volumes worden opnieuw gemaakt en u kunt BitLocker-sleutels opgeven om versleuteling in te schakelen en daarmee een tweede laag met versleuteling maken voor uw data-at-rest.
Voer in het deelvenster Versleuteling 'at rest' een met Base-64 gecodeerde sleutel van 32 tekens in. Dit is een eenmalige configuratie en deze sleutel wordt gebruikt om de daadwerkelijke versleutelingssleutel te beveiligen. U kunt ervoor kiezen om deze sleutel automatisch te genereren.
U kunt ook uw eigen met Base-64 gecodeerde ASE-256-bits versleutelingssleutel invoeren.
De sleutel wordt opgeslagen in een sleutelbestand op de pagina Cloudgegevens nadat het apparaat is geactiveerd.
Selecteer Toepassen. Deze bewerking duurt enkele minuten en de status van de bewerking wordt weergegeven.
Nadat de status is weergegeven als Voltooid, is uw apparaat nu klaar om te worden geactiveerd. Selecteer < Terug om aan de slag te gaan.
Volgende stappen
In deze zelfstudie komen deze onderwerpen aan bod:
- Vereisten
- Certificaten voor het fysieke apparaat configureren
- Configureer versleuteling 'at rest'
Zie voor meer informatie over het activeren van uw Azure Stack Edge Pro 2-apparaat: