Używanie własnych certyfikatów z urządzeniami Data Box i Data Box Heavy
Podczas przetwarzania zamówień certyfikaty z podpisem własnym są generowane na potrzeby uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i magazynu obiektów blob dla urządzenia Data Box lub Data Box Heavy. Jeśli wolisz komunikować się z urządzeniem za pośrednictwem zaufanego kanału, możesz użyć własnych certyfikatów.
W tym artykule opisano sposób instalowania własnych certyfikatów i przywracania domyślnych certyfikatów przed zwróceniem urządzenia do centrum danych. Zawiera również podsumowanie wymagań dotyczących certyfikatów.
Informacje o certyfikatach
Certyfikat zapewnia połączenie między kluczem publicznym a jednostką (taką jak nazwa domeny), która została podpisana (zweryfikowana) przez zaufaną firmę trzecią, taką jak urząd certyfikacji. Certyfikat zapewnia wygodny sposób dystrybucji zaufanych publicznych kluczy szyfrowania. W ten sposób certyfikaty zapewniają, że komunikacja jest zaufana i wysyłasz zaszyfrowane informacje do odpowiedniego serwera.
Po początkowym skonfigurowaniu urządzenia Data Box certyfikaty z podpisem własnym są generowane automatycznie. Opcjonalnie możesz przynieść własne certyfikaty. Istnieją wskazówki, które należy przestrzegać, jeśli planujesz przynieść własne certyfikaty.
Uwaga
Automatycznie wygenerowane certyfikaty z podpisem własnym wygasają po upływie 12 miesięcy, a urządzenie nie może być już używane. Otrzymasz powiadomienie 3 miesiące przed wygaśnięciem certyfikatów. Aby uniknąć utraty danych, należy zwrócić urządzenie co najmniej 1 miesiąc przed wygaśnięciem certyfikatu, aby wszystkie dane mogły zostać pozyskane w centrum danych przed wygaśnięciem certyfikatów.
Na urządzeniu Data Box lub Data Box Heavy są używane dwa typy certyfikatów punktów końcowych:
- Certyfikat usługi Blob Storage
- Lokalny certyfikat interfejsu użytkownika
Wymagania dotyczące certyfikatu
Certyfikaty muszą spełniać następujące wymagania:
Certyfikat punktu końcowego musi być w
.pfx
formacie z kluczem prywatnym, który można wyeksportować.Można użyć pojedynczego certyfikatu dla każdego punktu końcowego, certyfikatu wielodomenowego dla wielu punktów końcowych lub certyfikatu punktu końcowego z symbolami wieloznacznymi.
Właściwości certyfikatu punktu końcowego są podobne do właściwości typowego certyfikatu SSL.
Odpowiedni certyfikat w formacie DER (
.cer
rozszerzenie nazwy pliku) jest wymagany na komputerze klienckim.Po przekazaniu lokalnego certyfikatu interfejsu użytkownika należy ponownie uruchomić przeglądarkę i wyczyścić pamięć podręczną. Zapoznaj się z konkretnymi instrukcjami dotyczącymi przeglądarki.
Certyfikaty należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.
Podczas tworzenia certyfikatów punktów końcowych użyj poniższej tabeli:
Typ Nazwa podmiotu (SN) Alternatywna nazwa podmiotu (SAN) Przykład nazwy podmiotu Lokalny interfejs użytkownika <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Blob storage *.blob.<DeviceName>.<DNSdomain>
*.blob.< DeviceName>.<DNSdomain>
*.blob.mydevice1.microsoftdatabox.com
Pojedynczy certyfikat z wieloma sieciami SAN <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
*.blob.<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.
Dodawanie certyfikatów do urządzenia
Do uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i uzyskiwania dostępu do usługi Blob Storage można użyć własnych certyfikatów.
Ważne
Jeśli nazwa urządzenia lub domena DNS zostanie zmieniona, należy utworzyć nowe certyfikaty. Następnie certyfikaty klienta i certyfikaty urządzenia powinny zostać zaktualizowane przy użyciu nowej nazwy urządzenia i domeny DNS.
Aby dodać własny certyfikat do urządzenia, wykonaj następujące kroki:
Przejdź do pozycji Zarządzaj certyfikatami>.
Nazwa zawiera nazwę urządzenia. Domena DNS zawiera nazwę domeny dla serwera DNS.
W dolnej części ekranu są wyświetlane aktualnie używane certyfikaty. W przypadku nowego urządzenia zobaczysz certyfikaty z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówień.
Jeśli musisz zmienić nazwę (nazwę urządzenia) lub domenę DNS (domenę serwera DNS dla urządzenia), przed dodaniem certyfikatu. Następnie wybierz pozycję Zastosuj.
Certyfikat należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.
Aby dodać certyfikat, wybierz pozycję Dodaj certyfikat , aby otworzyć panel Dodawanie certyfikatu . Następnie wybierz typ certyfikatu — magazyn obiektów blob lub lokalny internetowy interfejs użytkownika.
Wybierz plik certyfikatu (w
.pfx
formacie) i wprowadź hasło ustawione podczas eksportowania certyfikatu. Następnie wybierz pozycję Weryfikuj i dodaj.Po pomyślnym dodaniu certyfikatu na ekranie Certyfikaty zostanie wyświetlony odcisk palca nowego certyfikatu. Stan certyfikatu jest prawidłowy.
Aby wyświetlić szczegóły certyfikatu, wybierz i kliknij nazwę certyfikatu. Certyfikat wygaśnie po roku.
Jeśli zmieniono certyfikat dla lokalnego internetowego interfejsu użytkownika, musisz ponownie uruchomić przeglądarkę, a następnie lokalny internetowy interfejs użytkownika. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.
- Zainstaluj nowy certyfikat na komputerze klienckim, którego używasz do uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika. Aby uzyskać instrukcje, zobacz Importowanie certyfikatów do klienta poniżej.
Importowanie certyfikatów do klienta
Po dodaniu certyfikatu do urządzenia Data Box należy zaimportować certyfikat na komputer kliencki używany do uzyskania dostępu do urządzenia. Zaimportujesz certyfikat do magazynu zaufanego głównego urzędu certyfikacji dla komputera lokalnego.
Aby zaimportować certyfikat na kliencie systemu Windows, wykonaj następujące kroki:
W Eksplorator plików kliknij prawym przyciskiem myszy plik certyfikatu (z formatem
.cer
) i wybierz polecenie Zainstaluj certyfikat. Ta akcja powoduje uruchomienie Kreatora importu certyfikatów.W polu Lokalizacja magazynu wybierz pozycję Komputer lokalny, a następnie wybierz przycisk Dalej.
Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie, wybierz pozycję Zaufany główny urząd certyfikacji, a następnie wybierz przycisk Dalej.
Przejrzyj ustawienia i wybierz pozycję Zakończ. Zostanie wyświetlony komunikat informujący o pomyślnym zaimportowaniu.
Przywracanie do domyślnych certyfikatów
Przed zwróceniem urządzenia do centrum danych platformy Azure należy przywrócić oryginalne certyfikaty, które zostały wygenerowane podczas przetwarzania zamówienia.
Aby przywrócić certyfikaty wygenerowane podczas przetwarzania zamówienia, wykonaj następujące kroki:
Przejdź do pozycji Zarządzaj certyfikatami> i wybierz pozycję Przywróć certyfikaty.
Przywracanie certyfikatów powraca do używania certyfikatów z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówienia. Twoje własne certyfikaty są usuwane z urządzenia.
Po pomyślnym zakończeniu ponownego przejścia certyfikatu przejdź do pozycji Zamknij lub uruchom ponownie, a następnie wybierz pozycję Uruchom ponownie. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.
Poczekaj kilka minut, a następnie zaloguj się ponownie do lokalnego internetowego interfejsu użytkownika.