Use seus próprios certificados com dispositivos Data Box e Data Box Heavy
Durante o processamento de pedidos, certificados autoassinados são gerados para acessar a interface do usuário da Web local e o armazenamento de Blob para um dispositivo Data Box ou Data Box Heavy. Se preferir comunicar com o seu dispositivo através de um canal fidedigno, pode utilizar os seus próprios certificados.
O artigo descreve como instalar seus próprios certificados e como reverter para os certificados padrão antes de retornar seu dispositivo ao datacenter. Apresenta igualmente um resumo dos requisitos em matéria de certificados.
Acerca de certificados
Um certificado fornece um link entre uma chave pública e uma entidade (como nome de domínio) que foi assinada (verificada) por um terceiro confiável, como uma autoridade de certificação. Um certificado fornece uma maneira conveniente de distribuir chaves de criptografia públicas confiáveis. Dessa forma, os certificados garantem que sua comunicação seja confiável e que você envie informações criptografadas para o servidor certo.
Quando o dispositivo Data Box é configurado inicialmente, os certificados autoassinados são gerados automaticamente. Opcionalmente, você pode trazer seus próprios certificados. Existem orientações que você precisa seguir se você planeja trazer seus próprios certificados.
Nota
Os certificados autoassinados gerados automaticamente expiram após 12 meses e o dispositivo não pode mais ser usado. Você é notificado 3 meses antes de os certificados expirarem. Para evitar a perda de dados, devolva o dispositivo pelo menos 1 mês antes da expiração do certificado para que todos os dados possam ser ingeridos no datacenter antes que os certificados expirem.
Em um dispositivo Data Box ou Data Box Heavy, dois tipos de certificados de ponto de extremidade são usados:
- Certificado de armazenamento de Blob
- Certificado de interface do usuário local
Requisitos dos certificados
Os certificados devem satisfazer os seguintes requisitos:
O certificado de ponto de extremidade precisa estar em
.pfx
formato com uma chave privada que possa ser exportada.Você pode usar um certificado individual para cada ponto de extremidade, um certificado multidomínio para vários pontos de extremidade ou um certificado de ponto de extremidade curinga.
As propriedades de um certificado de ponto de extremidade são semelhantes às propriedades de um certificado SSL típico.
Um certificado correspondente no formato DER (
.cer
extensão de nome de arquivo) é necessário na máquina cliente.Depois de carregar o certificado de interface do usuário local, você precisará reiniciar o navegador e limpar o cache. Consulte instruções específicas para o seu navegador.
Os certificados devem ser alterados se o nome do dispositivo ou o nome de domínio DNS for alterado.
Use a tabela a seguir ao criar certificados de ponto de extremidade:
Type Nome do assunto (SN) Nome alternativo da entidade (SAN) Exemplo de nome do assunto Interface do usuário local <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Armazenamento de Blobs *.blob.<DeviceName>.<DNSdomain>
*.blob.< DeviceName>.<DNSdomain>
*.blob.mydevice1.microsoftdatabox.com
Certificado único Multi-SAN <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
*.blob.<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Para obter mais informações, consulte Requisitos de certificado.
Adicionar certificados ao dispositivo
Você pode usar seus próprios certificados para acessar a interface do usuário da Web local e para acessar o armazenamento de Blob.
Importante
Se o nome do dispositivo ou domínio DNS for alterado, novos certificados deverão ser criados. Os certificados de cliente e os certificados de dispositivo devem ser atualizados com o novo nome de dispositivo e domínio DNS.
Para adicionar o seu próprio certificado ao seu dispositivo, siga estes passos:
Vá para Gerenciar>certificados.
Nome mostra o nome do dispositivo. Domínio DNS mostra o nome de domínio para o servidor DNS.
A parte inferior da tela mostra os certificados atualmente em uso. Para um novo dispositivo, você verá os certificados autoassinados que foram gerados durante o processamento do pedido.
Se você precisar alterar o Nome (nome do dispositivo) ou o domínio DNS (o domínio do servidor DNS do dispositivo), faça isso agora, antes de adicionar o certificado. Em seguida, selecione Aplicar.
O certificado deve ser alterado se o nome do dispositivo ou o nome de domínio DNS for alterado.
Para adicionar um certificado, selecione Adicionar certificado para abrir o painel Adicionar certificado. Em seguida, selecione o Tipo de certificado - armazenamento de Blob ou UI da Web local.
Escolha o arquivo de certificado (no
.pfx
formato) e digite a senha que foi definida quando o certificado foi exportado. Em seguida, selecione Validar & Adicionar.Depois que o certificado for adicionado com êxito, a tela Certificados mostrará a impressão digital do novo certificado. O status do certificado é Válido.
Para ver os detalhes do certificado, selecione e clique no nome do certificado. O certificado caduca ao fim de um ano.
Se você alterou o certificado para a interface do usuário da Web local, será necessário reiniciar o navegador e, em seguida, a interface do usuário da Web local. Esta etapa é necessária para evitar problemas de cache SSL.
- Instale o novo certificado no computador cliente que você está usando para acessar a interface do usuário da Web local. Para obter instruções, consulte Importar certificados para o cliente, abaixo.
Importar certificados para o cliente
Depois de adicionar um certificado ao dispositivo Data Box, você precisa importar o certificado para o computador cliente usado para acessar o dispositivo. Você importará o certificado para o armazenamento da Autoridade de Certificação Raiz Confiável para a Máquina Local.
Para importar um certificado num cliente Windows, siga estes passos:
No Explorador de Ficheiros, clique com o botão direito do rato no ficheiro de certificado (com
.cer
formato) e selecione Instalar certificado. Esta ação inicia o Assistente para Importação de Certificados.Em Local da loja, selecione Máquina local e, em seguida, selecione Avançar.
Selecione Colocar todos os certificados no armazenamento a seguir, selecione Autoridade de certificação raiz confiável e selecione Avançar.
Reveja as suas definições e selecione Concluir. Uma mensagem informará que a importação foi bem-sucedida.
Reverter para certificados padrão
Antes de retornar seu dispositivo ao datacenter do Azure, você deve reverter para os certificados originais que foram gerados durante o processamento de pedidos.
Para reverter para os certificados gerados durante o processamento de pedidos, siga estas etapas:
Vá para Gerenciar>certificados e selecione Reverter certificados.
A reversão de certificados retorna ao uso dos certificados autoassinados que foram gerados durante o processamento de pedidos. Os seus próprios certificados são removidos do dispositivo.
Depois que a reversão do certificado for concluída com êxito, vá para Desligar ou reiniciar e selecione Reiniciar. Esta etapa é necessária para evitar problemas de cache SSL.
Aguarde alguns minutos e entre na interface do usuário da Web local novamente.