Samouczek: konfigurowanie certyfikatów dla usługi Azure Stack Edge Pro 2

Artykuł
01/10/2024

W tym samouczku opisano sposób konfigurowania certyfikatów dla usługi Azure Stack Edge Pro 2 przy użyciu lokalnego internetowego interfejsu użytkownika.

Czas potrzebny na ten krok może się różnić w zależności od wybranej opcji i sposobu ustanowienia przepływu certyfikatów w danym środowisku.

Ten samouczek zawiera informacje dotyczące:

Wymagania wstępne
Konfigurowanie certyfikatów dla urządzenia fizycznego
Konfigurowanie szyfrowania magazynowanych

Wymagania wstępne

Przed skonfigurowaniem i skonfigurowaniem urządzenia Azure Stack Edge Pro 2 upewnij się, że:

Urządzenie fizyczne zostało zainstalowane zgodnie z opisem w temacie Instalowanie usługi Azure Stack Edge Pro 2.
Jeśli planujesz przynieść własne certyfikaty:
- Certyfikaty powinny być gotowe w odpowiednim formacie, w tym certyfikat łańcucha podpisywania.
- Jeśli urządzenie zostało wdrożone w usłudze Azure Government i nie zostało wdrożone w chmurze publicznej platformy Azure, przed aktywowaniem urządzenia wymagany jest certyfikat łańcucha podpisywania.
Aby uzyskać szczegółowe informacje na temat certyfikatów, przejdź do tematu Przygotowywanie certyfikatów do przekazania na urządzeniu Azure Stack Edge.

Konfigurowanie certyfikatów dla urządzenia

Otwórz stronę Certyfikaty w lokalnym internetowym interfejsie użytkownika urządzenia. Na tej stronie zostaną wyświetlone certyfikaty dostępne na urządzeniu. Urządzenie jest dostarczane z certyfikatami z podpisem własnym, nazywanym również certyfikatami urządzeń. Możesz również przynieść własne certyfikaty.
Postępuj zgodnie z tym krokiem tylko wtedy, gdy wcześniej nie zmieniono nazwy urządzenia ani domeny DNS, a nie chcesz używać własnych certyfikatów.

Nie musisz wykonywać żadnej konfiguracji na tej stronie. Wystarczy sprawdzić, czy stan wszystkich certyfikatów jest prawidłowy na tej stronie.

Możesz przystąpić do konfigurowania szyfrowania magazynowanych przy użyciu istniejących certyfikatów urządzeń.
Wykonaj pozostałe kroki tylko wtedy, gdy zmieniono nazwę urządzenia lub domenę DNS dla urządzenia. W tych przypadkach stan certyfikatów urządzenia będzie nieprawidłowy. Dzieje się tak, ponieważ nazwa urządzenia i domena DNS w ustawieniach i subject alternative certyfikatów subject name są nieaktualne.

Możesz wybrać certyfikat, aby wyświetlić szczegóły stanu.
Jeśli zmieniono nazwę urządzenia lub domenę DNS urządzenia i nie podasz nowych certyfikatów, aktywacja urządzenia zostanie zablokowana. Aby użyć nowego zestawu certyfikatów na urządzeniu, wybierz jedną z następujących opcji:
- Wygeneruj wszystkie certyfikaty urządzeń. Wybierz tę opcję, a następnie wykonaj kroki opisane w temacie Generowanie certyfikatów urządzeń, jeśli planujesz używać automatycznie wygenerowanych certyfikatów urządzeń i musisz wygenerować nowe certyfikaty urządzeń. Te certyfikaty urządzeń należy używać tylko do testowania, a nie z obciążeniami produkcyjnymi.
- Korzystanie z własnych certyfikatów. Wybierz tę opcję, a następnie wykonaj kroki opisane w artykule Bring your own certificates (Używanie własnych certyfikatów), jeśli chcesz użyć własnych podpisanych certyfikatów punktu końcowego i odpowiednich łańcuchów podpisywania. Zalecamy, aby zawsze dostarczać własne certyfikaty dla obciążeń produkcyjnych.
- Możesz wybrać opcję wprowadzenia własnych certyfikatów i wygenerować niektóre certyfikaty urządzeń. Opcja Wygeneruj wszystkie certyfikaty urządzeń tylko ponownie generuje certyfikaty urządzeń.
Jeśli masz pełny zestaw prawidłowych certyfikatów dla urządzenia, wybierz pozycję < Wstecz, aby rozpocząć. Teraz możesz przejść do konfigurowania szyfrowania magazynowanych.

Generowanie certyfikatów urządzeń

Wykonaj następujące kroki, aby wygenerować certyfikaty urządzeń.

Wykonaj następujące kroki, aby ponownie wygenerować i pobrać certyfikaty urządzeń Azure Stack Edge Pro 2:

W lokalnym interfejsie użytkownika urządzenia przejdź do pozycji Certyfikaty konfiguracji>. Wybierz pozycję Generuj certyfikaty.
W obszarze Generowanie certyfikatów urządzeń wybierz pozycję Generuj.

Certyfikaty urządzeń są teraz generowane i stosowane. Wygenerowanie i zastosowanie certyfikatów może potrwać kilka minut.

Ważne

Podczas gdy operacja generowania certyfikatów jest w toku, nie wprowadzaj własnych certyfikatów i spróbuj dodać te certyfikaty za pomocą opcji + Dodaj certyfikat .

Otrzymasz powiadomienie o pomyślnym zakończeniu operacji. Aby uniknąć potencjalnych problemów z pamięcią podręczną, uruchom ponownie przeglądarkę.
Po wygenerowaniu certyfikatów:
- Upewnij się, że stan wszystkich certyfikatów jest wyświetlany jako Prawidłowy.
- Możesz wybrać określoną nazwę certyfikatu i wyświetlić szczegóły certyfikatu.
- Kolumna Pobierz jest teraz wypełniona. Ta kolumna zawiera linki do pobierania wygenerowanych certyfikatów.
Wybierz link pobierania dla certyfikatu i po wyświetleniu monitu zapisz certyfikat.
Powtórz ten proces dla wszystkich certyfikatów, które chcesz pobrać.

Certyfikaty wygenerowane przez urządzenie są zapisywane jako certyfikaty DER w następującym formacie nazwy:

<Device name>_<Endpoint name>.cer. Te certyfikaty zawierają klucz publiczny dla odpowiednich certyfikatów zainstalowanych na urządzeniu.

Należy zainstalować te certyfikaty w systemie klienckim, którego używasz do uzyskiwania dostępu do punktów końcowych na urządzeniu Azure Stack Edge. Te certyfikaty ustanawiają zaufanie między klientem a urządzeniem.

Aby zaimportować i zainstalować te certyfikaty na kliencie używanym do uzyskiwania dostępu do urządzenia, wykonaj kroki opisane w temacie Importowanie certyfikatów na klientach, którzy uzyskują dostęp do urządzenia GPU usługi Azure Stack Edge Pro.

Jeśli używasz Eksplorator usługi Azure Storage, musisz zainstalować certyfikaty na kliencie w formacie PEM i należy przekonwertować certyfikaty wygenerowane przez urządzenie na format PEM.

Ważne

Link pobierania jest dostępny tylko dla certyfikatów wygenerowanych przez urządzenie, a nie w przypadku korzystania z własnych certyfikatów.
Możesz zdecydować się na połączenie certyfikatów wygenerowanych przez urządzenie i przynieść własne certyfikaty, o ile spełnione są inne wymagania dotyczące certyfikatów. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.

Korzystanie z własnego certyfikatu

Możesz przynieść własne certyfikaty.

Zacznij od zrozumienia typów certyfikatów, które mogą być używane z urządzeniem Azure Stack Edge.
Następnie zapoznaj się z wymaganiami dotyczącymi certyfikatów dla każdego typu certyfikatu.
Następnie możesz utworzyć certyfikaty za pomocą programu Azure PowerShell lub utworzyć certyfikaty za pomocą narzędzia do sprawdzania gotowości.
Na koniec przekonwertuj certyfikaty na odpowiedni format, aby były gotowe do przekazania na urządzenie.

Wykonaj następujące kroki, aby przekazać własne certyfikaty, w tym łańcuch podpisywania.

Aby przekazać certyfikat, na stronie Certyfikat wybierz pozycję + Dodaj certyfikat.
Ten krok można pominąć, jeśli wszystkie certyfikaty zostały uwzględnione w ścieżce certyfikatu podczas eksportowania certyfikatów w formacie pfx. Jeśli nie dołączysz wszystkich certyfikatów do eksportu, przekaż łańcuch podpisywania, a następnie wybierz pozycję Weryfikuj i dodaj. Należy to zrobić przed przekazaniem innych certyfikatów.

W niektórych przypadkach możesz chcieć użyć samego łańcucha podpisywania do innych celów — na przykład w celu nawiązania połączenia z serwerem aktualizacji dla usług Windows Server Update Services (WSUS).
Przekaż inne certyfikaty. Można na przykład przekazać certyfikaty punktów końcowych usługi Azure Resource Manager i usługi Blob Storage.

Możesz również przekazać lokalny certyfikat internetowego interfejsu użytkownika. Po przekazaniu tego certyfikatu konieczne będzie uruchomienie przeglądarki i wyczyszczenie pamięci podręcznej. Następnie musisz nawiązać połączenie z lokalnym internetowym interfejsem użytkownika urządzenia.

Możesz również przekazać certyfikat węzła.

Strona certyfikatu powinna zostać zaktualizowana w celu odzwierciedlenia nowo dodanych certyfikatów. W dowolnym momencie możesz wybrać certyfikat i wyświetlić szczegóły, aby upewnić się, że są one zgodne z przekazanym certyfikatem.

Uwaga

Z wyjątkiem chmury publicznej platformy Azure certyfikaty łańcucha podpisywania muszą zostać wprowadzone przed aktywacją dla wszystkich konfiguracji chmury (Azure Government lub Azure Stack).

Konfigurowanie szyfrowania magazynowanych

Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla szyfrowania danych magazynowanych.

Uwaga

Jest to wymagane ustawienie i dopóki nie zostanie pomyślnie skonfigurowane, nie będzie można aktywować urządzenia.

W fabryce po obrazie urządzeń szyfrowanie funkcji BitLocker na poziomie woluminu jest włączone. Po otrzymaniu urządzenia należy skonfigurować szyfrowanie magazynowane. Pula magazynów i woluminy są tworzone ponownie i można podać klucze funkcji BitLocker, aby włączyć szyfrowanie magazynowane, a tym samym utworzyć drugą warstwę szyfrowania dla danych magazynowanych.
W okienku Szyfrowanie w spoczynku podaj 32-znakowy klucz zakodowany w formacie Base-64. Jest to jednorazowa konfiguracja i ten klucz jest używany do ochrony rzeczywistego klucza szyfrowania. Możesz automatycznie wygenerować ten klucz.

Możesz również wprowadzić własny klucz szyfrowania szyfrowany algorytmem Base-64 ASE-256-bitowym.

Klucz jest zapisywany w pliku klucza na stronie Szczegółów chmury po aktywowaniu urządzenia.
Wybierz Zastosuj. Ta operacja trwa kilka minut, a stan operacji jest wyświetlany.
Gdy stan będzie wyświetlany jako Ukończono, urządzenie jest teraz gotowe do aktywowania. Wybierz pozycję < Wstecz, aby rozpocząć.