Поделиться через

Руководство по Настройка сертификатов, VPN и шифрования для Azure Stack Edge Mini R

  • Статья

В этом руководстве объясняется, как настроить сертификаты, VPN и шифрование неактивных данных для устройства Azure Stack Edge Mini R, используя локальный пользовательский веб-интерфейс.

Необходимое время на выполнение этого шага зависит от выбранного варианта и существующего потока управления сертификатами в вашей среде.

В этом руководстве вы рассмотрите следующее:

  • Предварительные требования
  • Настройка сертификатов для физического устройства
  • Настройка VPN
  • Настройка шифрования неактивных данных

Предварительные требования

Перед настройкой устройства Azure Stack Edge Mini R удостоверьтесь в том, что выполнено следующее:

  • Установлено физическое устройство, как описано в статье об установке Azure Stack Edge Mini R.

  • Если вы планируете применить собственные сертификаты:

    • эти сертификаты должны быть подготовлены в соответствующем формате, включая сертификат цепочки подписывания. Дополнительные сведения о сертификате см. в статье Управление сертификатами.

    • Если ваше устройство развернуто в Azure для государственных организаций, Azure Government Secret или Azure Government Top Secret, а не в общедоступном облаке Azure, перед активацией устройства необходимо получить сертификат цепочки подписывания. Дополнительные сведения см. в статье об управлении сертификатами.

Настройка сертификатов для устройства

  1. Сертификаты настраиваются на странице Сертификаты. В зависимости от того, изменялось ли имя устройства или домен DNS на странице Устройство, вам будут доступны для выбора следующие варианты применения сертификатов.

    • Если вы на предыдущем шаге не изменяли имя устройства или домен DNS, предложенные по умолчанию, и не планируете использовать собственные сертификаты, просто пропустите этот шаг и переходите к следующему. Для начала работы устройство автоматически создает самозаверяющие сертификаты.

    • Если вы изменили имя устройства или домен DNS, состояние активации здесь будет иметь значение Недопустимо.

      Страница

      Выберите сертификат, чтобы просмотреть сведения о его состоянии.

      Сертификат имеет состояние Недопустимо, так как сертификаты не отражают обновленных имен устройства или домена DNS (которые используются в имени субъекта и альтернативном имени субъекта). Для успешной активации устройства можно применить собственные подписанные сертификаты конечной точки и соответствующие цепочки подписывания. Для этого сначала добавьте цепочку подписывания, а затем передайте сертификаты конечной точки. Дополнительные сведения см. в разделе Использование собственных сертификатов.

    • Если вы изменили имя устройства или домен DNS, но не предоставили собственные сертификаты, активация будет невозможна.

Использование собственных сертификатов

Вы уже добавили цепочку подписывания на это устройство на предыдущем шаге. Теперь на него можно передать сертификаты конечной точки, сертификат узла, сертификат локального пользовательского интерфейса и сертификат VPN. Выполните описанные ниже действия, чтобы добавить собственные сертификаты.

  1. Чтобы отправить сертификат, выберите на странице Сертификат действие + Добавить сертификат.

    Страница

  2. Все готово к отправке сертификатов. Например, вы можете отправить сертификаты конечных точек Azure Resource Manager и (или) Хранилища BLOB-объектов.

    Страница

  3. Кроме того, вы можете отправить сертификаты локального пользовательского веб-интерфейса. Когда вы завершите отправку сертификатов, вам будет предложено перезапустить браузер и очистить кэш. После этого войдите в локальный пользовательский веб-интерфейс.

    Страница

  4. Кроме того, вы можете отправить сертификат узла.

    Страница

  5. Теперь можно отправить сертификат для VPN.

    Страница

  6. В любое время вы можете выбрать сертификат, просмотреть сведения о нем и убедиться, что они соответствуют отправленному сертификату.

    Страница

    Теперь на странице "Сертификаты" должны появиться все добавленные вами сертификаты.

    Страница

    Примечание

    Во всех облачных конфигурациях, кроме общедоступного облака Azure (то есть в Azure для государственных организаций или Azure Stack Hub), перед активацией необходимо предоставить сертификаты цепочки подписывания.

Настройка VPN

  1. На плитке Security (Безопасность) выберите команду Configure (Настроить) для VPN.

    Чтобы настроить VPN, сначала убедитесь, что в Azure выполнены все необходимые настройки. Дополнительные сведения см. в статье о настройке VPN для устройства Azure Stack Edge Mini R с помощью PowerShell. После этого можно выполнить настройку в локальном пользовательском интерфейсе.

    1. На странице VPN выберите Настроить. Настройка локального пользовательского интерфейса VPN 1

    2. В колонке Configure VPN (Настройка VPN) выполните следующие действия:

      1. Укажите телефонную книгу в качестве входных данных.
      2. Укажите JSON-файл с диапазоном IP-адресов для центра обработки данных Azure в качестве входных данных. Этот файл можно скачать по адресу https://www.microsoft.com/download/details.aspx?id=56519.
      3. Выберите регион eastus.
      4. Нажмите кнопку Применить.

      Настройка VPN в локальном пользовательском интерфейсе, шаг 2

    3. Настройте параметр IP address ranges to be accessed using VPN only (Доступ к диапазонам IP-адресов только с помощью VPN).

      • В разделе IP address ranges to be accessed using VPN only (Доступ к диапазонам IP-адресов только с помощью VPN), выберите элемент Configure (Настроить).
      • Укажите диапазон IPv4-адресов, который вы выбрали для виртуальной сети Azure.
      • Нажмите кнопку Применить.

      Настройка VPN в локальном пользовательском интерфейсе, шаг 3

Теперь устройство готово к настройке шифрования. Настройте шифрование неактивных данных.

Включение шифрования

  1. На плитке Security (Безопасность) выберите действие Configure (Настроить) для шифрования неактивных данных. Это обязательный параметр. Вы сможете активировать устройство только после правильной настройки этого параметра.

    Страница Encryption at rest (Шифрование неактивных данных) в локальном пользовательском веб-интерфейсе, шаг 1

    При производстве после развертывания образа на устройстве активируется шифрование BitLocker на уровне тома. После получения устройства необходимо настроить шифрование неактивных данных. Пул носителей и тома создаются повторно, и вы можете предоставить ключи BitLocker, чтобы включить шифрование неактивных данных и создать второй уровень шифрования для своих неактивных данных.

  2. В области Encryption-at-rest (Шифрование неактивных данных) укажите ключ в кодировке Base-64 длиной 32 символа (AES-256 бит). Эта настройка выполняется однократно, а ключ используется для защиты фактического ключа шифрования.

    Страница Encryption at rest (Шифрование неактивных данных) в локальном пользовательском веб-интерфейсе, шаг 2

    Вы также можете создать этот ключ автоматически.

    Страница Encryption at rest (Шифрование неактивных данных) в локальном пользовательском веб-интерфейсе, шаг 3

  3. Нажмите кнопку Применить. Эта операция занимает несколько минут, а состояние операции отображается на плитке Безопасность.

    Страница Encryption at rest (Шифрование неактивных данных) в локальном пользовательском веб-интерфейсе, шаг 4

  4. Когда отобразится состояние Completed (Завершено), вернитесь к странице Get started (Начало работы).

Теперь устройство готово к активации.

Дальнейшие действия

В этом руководстве вы рассмотрите следующее:

  • Предварительные требования
  • Настройка сертификатов для физического устройства
  • Настройка VPN
  • Настройка шифрования неактивных данных

Сведения об активировании устройства Azure Stack Edge Mini R см. в следующей статье:

Активация устройства Azure Stack Edge Mini R