Tutorial: configurar certificados para o Azure Stack Edge Pro 2
Este tutorial descreve como é possível configurar certificados para o seu Azure Stack Edge Pro 2 usando a IU da Web local.
O tempo que essa etapa levará varia dependendo da opção específica que você escolher e de como o fluxo de certificado é estabelecido em seu ambiente.
Neste tutorial, você aprenderá a:
- Pré-requisitos
- Configurar certificados para o dispositivo físico
- Configurar a criptografia em repouso
Pré-requisitos
Antes de configurar seu dispositivo Azure Stack Edge Pro 2, verifique se:
Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Pro 2.
Se você planeja trazer seus certificados:
- Você deve manter seus certificados preparados no formato apropriado, incluindo o certificado de cadeia de assinatura.
- Se o dispositivo estiver implantado no Azure Government e não estiver implantado na nuvem pública do Azure, um certificado de cadeia de assinatura será necessário para ativar o dispositivo.
Para obter detalhes sobre certificados, acesse Preparar certificados a serem carregados em seu dispositivo do Azure Stack Edge.
Configurar certificados para o dispositivo
Abra a página Certificados na IU da Web local do dispositivo. Esta página exibirá os certificados disponíveis no dispositivo. O dispositivo é fornecido com certificados autoassinados, também chamados de certificados de dispositivo. Você pode trazer seus certificados.
Siga esta etapa somente se você não alterou o nome do dispositivo ou o domínio DNS quando definiu as configurações do dispositivo anteriormente e não deseja usar certificados próprios.
Você não precisa definir nenhuma configuração nessa página. Você só precisa verificar se o status de todos os certificados é válido nesta página.
Você está pronto para configurar a criptografia em repouso com os certificados de dispositivo existentes.
Siga as etapas restantes somente se você tiver alterado o nome do dispositivo ou o domínio DNS do dispositivo. Nessas instâncias, o status dos certificados do dispositivo será Não válido. Isso porque o nome do dispositivo e o domínio DNS nas configurações
subject name
esubject alternative
e dos certificados estão desatualizados.Você pode selecionar um certificado para ver os detalhes do status.
Se você tiver alterado o nome do dispositivo ou o domínio DNS do seu dispositivo e não fornecer novos certificados, a ativação do dispositivo será bloqueada. Para usar um novo conjunto de certificados em seu dispositivo, escolha uma das seguintes opções:
Gere todos os certificados de dispositivo. Selecione essa opção e conclua as etapas descritas em Gerar certificados de dispositivo se você pretende usar certificados de dispositivo gerados automaticamente e precisa gerar novos certificados de dispositivo. Você só deve usar esses certificados de dispositivo para teste, não com cargas de trabalho de produção.
Traga seus certificados. Selecione essa opção e execute as etapas descritas em Traga seus próprios certificados se quiser usar seus certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. É recomendável que você sempre traga seus certificados para cargas de trabalho de produção.
Você pode trazer alguns dos seus certificados e gerar alguns certificados de dispositivo. A opção Gerar todos os certificados de dispositivo regenera apenas os certificados do dispositivo.
Quando você tiver um conjunto completo de certificados válidos para seu dispositivo, selecione < Voltar para a Introdução. Agora você pode continuar a configurar a Criptografia em repouso.
Gerar certificados de dispositivo
Siga estas etapas para gerar certificados de dispositivo.
Use estas etapas para regenerar e baixar os certificados de dispositivo do Azure Stack Edge Pro 2:
Na IU local do dispositivo, acesse Configuração > Certificados. Selecione Gerar certificados.
Em Gerar certificados de dispositivo, selecione Gerar.
Os certificados de dispositivo agora são gerados e aplicados. São necessários alguns minutos para gerar e aplicar os certificados.
Importante
Enquanto a operação de geração de certificado está em andamento, não traga seus certificados nem tente adicioná-los por meio da opção + Adicionar certificado.
Você será notificado quando a operação for concluída com êxito. Para evitar possíveis problemas de cache, reinicie o navegador.
Depois que os certificados são gerados:
Verifique se o status de todos os certificados é mostrado como Válido.
Você pode selecionar um nome de certificado específico e exibir os detalhes do certificado.
A coluna Baixar agora é preenchida. Essa coluna tem links para baixar os certificados regenerados.
Selecione o link de download para um certificado e, quando solicitado, salve o certificado em questão.
Repita esse processo para todos os certificados que você deseja baixar.
Os certificados gerados pelo dispositivo são salvos como certificados DER com o seguinte formato de nome:
<Device name>_<Endpoint name>.cer
. Esses certificados contêm a chave pública para os certificados correspondentes instalados no dispositivo.
Será necessário instalar esses certificados no sistema cliente que você está usando para acessar os pontos de extremidade no dispositivo do Azure Stack Edge. Esses certificados estabelecem a confiança entre o cliente e o dispositivo.
Para importar e instalar esses certificados no cliente que você está usando para acessar o dispositivo, siga as etapas descritas em Importar certificados nos clientes que acessam o dispositivo do Azure Stack Edge Pro GPU.
Se você estiver usando o Gerenciador de Armazenamento do Microsoft Azure, precisará instalar certificados em seu cliente no formato PEM e converter os certificados gerados pelo dispositivo no formato PEM.
Importante
- O link de download só estará disponível para os certificados gerados pelo dispositivo, mas o mesmo não acontecerá se você trouxer seus certificados.
- É possível optar por usar uma combinação, usando certificados gerados pelo dispositivo e trazendo seus certificados, desde que os outros requisitos de certificado sejam atendidos. Para obter mais informações, acesse Requisitos de certificado.
Trazer seus certificados
Você pode trazer seus certificados.
- Comece entendendo os Tipos de certificados que podem ser usados com o dispositivo Azure Stack Edge.
- Em seguida, examine os Requisitos de certificado para cada tipo de certificado.
- Depois, você pode Criar seus certificados por meio do Azure PowerShell ou Criar seus certificados por meio da ferramenta Verificador de Preparação.
- Por fim, converta os certificados para o formato apropriado, de modo que eles estejam prontos para serem carregados no seu dispositivo.
Siga estas etapas para carregar seus certificados, incluindo a cadeia de assinatura.
Para carregar o certificado, na página Certificado, selecione + Adicionar certificado.
Ignore esta etapa se tiver incluído todos os certificados no caminho do certificado quando exportou os certificados no formato .pfx. Se você não incluiu todos os certificados em sua exportação, carregue a cadeia de assinatura e selecione Validar & adicionar. Você precisa fazer isso antes de carregar os outros certificados.
Em alguns casos, o ideal é colocar uma cadeia de assinatura sozinha para outras finalidades, por exemplo, para se conectar ao servidor de atualização do WSUS (Windows Server Update Services).
Carregue outros certificados. Por exemplo, é possível carregar os certificados de ponto de extremidade do Armazenamento de Blobs e do Azure Resource Manager.
Também é possível carregar o certificado da IU da Web local. Depois de carregar esse certificado, será necessário iniciar o navegador e limpar o cache. Em seguida, será necessário conectar-se à IU da Web local do dispositivo.
Também é possível carregar o certificado de nó.
A página de certificados será atualizada para refletir os certificados recém-adicionados. A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que correspondam ao certificado que você carregou.
Observação
Exceto para a nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).
Configurar a criptografia em repouso
No bloco Segurança, selecione Configurar para criptografia em repouso.
Observação
Essa é uma configuração necessária e até que isso seja configurado com êxito, você não poderá ativar o dispositivo.
No alocador, após a imagem dos dispositivos, a criptografia BitLocker no nível de volume está habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves do BitLocker para habilitar a criptografia em repouso e, portanto, criar uma segunda camada de criptografia para seus dados em repouso.
No painel Criptografia em repouso, forneça uma chave codificada em Base-64 com 32 caracteres. Essa é uma configuração única e essa chave é usada para proteger a chave de criptografia real. Você também pode optar por gerar essa chave automaticamente.
Você também pode inserir sua própria chave de criptografia ASE de 256 bits codificada em Base 64.
Essa chave é salva em um arquivo de chave na página Detalhes da nuvem após o dispositivo ser ativado.
Selecione Aplicar. Essa operação leva vários minutos e o status dela é exibido.
Depois que o status aparecer como Concluído, seu dispositivo estará pronto para ser ativado. Selecione < Voltar para Introdução.
Próximas etapas
Neste tutorial, você aprenderá a:
- Pré-requisitos
- Configurar certificados para o dispositivo físico
- Configurar a criptografia em repouso
Para saber como ativar seu dispositivo Azure Stack Edge Pro 2, confira: