Partilhar via

Tutorial: Configurar certificados para o Azure Stack Edge Pro R

  • Artigo

Este tutorial descreve como você pode configurar certificados para seu dispositivo Azure Stack Edge Pro R usando a interface do usuário da Web local.

O tempo necessário para essa etapa pode variar dependendo da opção específica escolhida e de como o fluxo de certificados é estabelecido em seu ambiente.

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar VPN
  • Configurar criptografia em repouso

Pré-requisitos

Antes de configurar e configurar seu dispositivo Azure Stack Edge Pro R, certifique-se de que:

  • Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Pro R.
  • Se planeia trazer os seus próprios certificados:
    • Você deve ter seus certificados prontos no formato apropriado, incluindo o certificado da cadeia de assinatura. Para obter detalhes sobre o certificado, vá para Gerenciar certificados

Configurar certificados para dispositivo

  1. Na página Certificados, você configurará seus certificados. Dependendo se você alterou o nome do dispositivo ou o domínio DNS na página Dispositivo , você pode escolher uma das seguintes opções para seus certificados.

    • Se não tiver alterado o nome do dispositivo ou o domínio DNS no passo anterior, pode ignorar este passo e avançar para o passo seguinte. Para começar, o dispositivo gerou automaticamente certificados autoassinados.

    • Se você alterou o nome do dispositivo ou o domínio DNS, verá que o status dos certificados será exibido como Não válido.

      Local web UI

      Selecione um certificado para visualizar os detalhes do status.

      Local web UI

      Isso ocorre porque os certificados não refletem o nome do dispositivo atualizado e o domínio DNS (que são usados no nome da entidade e na alternativa da entidade). Para ativar seu dispositivo com êxito, você pode trazer seus próprios certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. Primeiro, você adiciona a cadeia de assinatura e, em seguida, carrega os certificados de ponto de extremidade. Para obter mais informações, vá para Traga seus próprios certificados em seu dispositivo Azure Stack Edge Pro R.

    • Se você alterou o nome do dispositivo ou domínio DNS e não trouxer seus próprios certificados, a ativação será bloqueada.

Traga os seus próprios certificados

Siga estas etapas para adicionar seus próprios certificados, incluindo a cadeia de assinatura.

  1. Para carregar o certificado, na página Certificado , selecione + Adicionar certificado.

    Local web UI

  2. Carregue a cadeia de assinatura primeiro e selecione Validar & adicionar.

    Local web UI

  3. Agora você pode carregar outros certificados. Por exemplo, você pode carregar os certificados de ponto de extremidade do Azure Resource Manager e do Blob storage.

    Local web UI

    Você também pode carregar o certificado da interface do usuário da Web local. Depois de carregar este certificado, será necessário iniciar o navegador e limpar o cache. Em seguida, você precisará se conectar à interface do usuário da Web local do dispositivo.

    Local web UI

    Você também pode carregar o certificado do nó.

    Local web UI

    Finalmente, você pode carregar o certificado VPN.

    Local web UI

    A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que eles correspondam ao certificado que você carregou.

    A página do certificado deve ser atualizada para refletir os certificados recém-adicionados.

    Local web UI

    Nota

    Exceto para a nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).

  4. Selecione Voltar < para Começar.

Configurar VPN

  1. No bloco Segurança, selecione Configurar para VPN.

    Local web UI

    Para configurar a VPN, primeiro você precisará garantir que você tenha toda a configuração necessária feita no Azure. Para obter detalhes, consulte Configurar pré-requisitos e Configurar recursos do Azure para VPN. Quando isso estiver concluído, você poderá fazer a configuração na interface do usuário local.

    1. Na página VPN, selecione Configurar.
    2. Na folha Configurar VPN:

    • Habilite as configurações de VPN.

    • Forneça o segredo compartilhado da VPN. Esta é a chave compartilhada que você forneceu ao criar o objeto de conexão VPN do Azure.

    • Forneça o endereço IP do gateway VPN. Este é o endereço IP do gateway de rede local do Azure.

    • Para o grupo PFS, selecione Nenhum.

    • Para o grupo DH, selecione Grupo2.

    • Para o método de integridade IPsec, selecione SHA256.

    • Para constantes de transformação IPseccipher, selecione GCMAES256.

    • Para constantes de transformação de autenticação IPsec, selecione GCMAES256.

    • Para o método de criptografia IKE, selecione AES256.

    • Selecione Aplicar.

      Configure local UI 2

    1. Para carregar o arquivo de configuração de rota VPN, selecione Carregar.

      Configure local UI 3

      • Navegue até o arquivo json de configuração VPN que você baixou em seu sistema local na etapa anterior.

      • Selecione a região como a região do Azure associada ao dispositivo, à rede virtual e aos gateways.

      • Selecione Aplicar.

        Configure local UI 4

    2. Para adicionar rotas específicas do cliente, configure intervalos de endereços IP para serem acessados usando apenas VPN.

      • Em Intervalos de endereços IP a serem acessados usando somente VPN, selecione Configurar.

      • Forneça um intervalo IPv4 válido e selecione Adicionar. Repita as etapas para adicionar outros intervalos.

      • Selecione Aplicar.

        Configure local UI 5

  2. Selecione Voltar < para Começar.

Configurar criptografia em repouso

  1. No bloco Segurança, selecione Configurar para criptografia em repouso. Essa é uma configuração necessária e, até que seja configurada com êxito, você não poderá ativar o dispositivo.

    Na fábrica, assim que os dispositivos são fotografados, a criptografia BitLocker de nível de volume é habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves BitLocker para habilitar a criptografia em repouso e, assim, criar uma segunda camada de criptografia para seus dados em repouso.

  2. No painel Criptografia em repouso, forneça uma chave codificada Base-64 de 32 caracteres. Esta é uma configuração única e essa chave é usada para proteger a chave de criptografia real. Pode optar por gerar automaticamente esta chave ou introduzir uma.

    Local web UI

    A chave é salva em um arquivo de chave na página de detalhes da nuvem depois que o dispositivo é ativado.

  3. Selecione Aplicar. Esta operação demora vários minutos e o estado da operação é apresentado no mosaico Segurança .

    Local web UI

  4. Depois que o status for exibido como Concluído, selecione < Voltar para Introdução.

O seu dispositivo está agora pronto para ser ativado.

Próximos passos

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar VPN
  • Configurar criptografia em repouso

Para saber como ativar seu dispositivo Azure Stack Edge Pro R, consulte:

Ativar o dispositivo Azure Stack Edge Pro R