Поделиться через

Руководство. Настройка сертификатов для Azure Stack Edge Pro 2

  • Статья

В этом руководстве описывается, как настроить сертификаты для Azure Stack Edge Pro 2 с помощью локального веб-интерфейса.

Необходимое время на выполнение этого шага зависит от выбранного варианта и существующего потока управления сертификатами в вашей среде.

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства
  • Настройка шифрования неактивных данных

Необходимые компоненты

Перед настройкой и настройкой устройства Azure Stack Edge Pro 2 убедитесь, что:

  • Вы установили физическое устройство, как описано в статье "Установка Azure Stack Edge Pro 2".

  • Если вы планируете применить собственные сертификаты:

    • эти сертификаты должны быть подготовлены в соответствующем формате, включая сертификат цепочки подписывания.
    • Если ваше устройство развернуто в Azure для государственных организаций, а не в общедоступном облаке Azure, то перед активацией устройства необходимо получить сертификат цепочки подписывания.

    Дополнительные сведения о сертификатах см. в статье "Подготовка сертификатов для отправки на устройстве Azure Stack Edge".

Настройка сертификатов для устройства

  1. Откройте страницу "Сертификаты" в локальном веб-интерфейсе устройства. На этой странице будут отображаться сертификаты, доступные на устройстве. Устройство поставляется с самозаверяющей подписью сертификатов, которые также называются сертификатами устройств. Вы также можете принести собственные сертификаты.

  2. Выполните этот шаг, только если вы не изменили имя устройства или домен DNS, если вы настроили параметры устройства ранее, и вы не хотите использовать собственные сертификаты.

    На этой странице не требуется выполнять настройку. Необходимо убедиться, что состояние всех сертификатов отображается как допустимое на этой странице.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Вы готовы настроить шифрование неактивных данных с существующими сертификатами устройств.

  3. Выполните оставшиеся действия, только если вы изменили имя устройства или домен DNS для устройства. В этих случаях состояние сертификатов устройства будет недопустимо. Это связано с тем, что имя устройства и домен DNS в сертификатах subject name и subject alternative параметры устарели.

    Вы можете выбрать сертификат для просмотра сведений о состоянии.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Если вы изменили имя устройства или домен DNS устройства, и вы не предоставляете новые сертификаты, активация устройства будет заблокирована. Чтобы использовать новый набор сертификатов на устройстве, выберите один из следующих вариантов:

    • Создание всех сертификатов устройства. Выберите этот параметр, а затем выполните действия, описанные в разделе "Создание сертификатов устройств", если планируется использовать автоматически созданные сертификаты устройств и создавать новые сертификаты устройств. Эти сертификаты устройств следует использовать только для тестирования, а не для рабочих нагрузок.

    • Использование собственных сертификатов. Выберите этот параметр, а затем выполните действия, описанные в разделе "Перенос собственных сертификатов", если вы хотите использовать собственные сертификаты подписанных конечных точек и соответствующие цепочки подписывания. Мы рекомендуем всегда использовать для рабочих нагрузок собственные сертификаты.

    • Вы можете принести некоторые из собственных сертификатов и создать некоторые сертификаты устройств. Параметр "Создать все сертификаты устройства" создает только сертификаты устройства.

  5. Если у вас есть полный набор допустимых сертификатов для устройства, нажмите кнопку < "Вернуться к началу работы". Теперь можно продолжить настройку шифрования неактивных данных.

Создание сертификатов устройства

Выполните описанные ниже действия, чтобы создать сертификаты устройства.

Чтобы повторно создать и скачать сертификаты устройств Azure Stack Edge Pro 2, выполните следующие действия.

  1. В локальном пользовательском интерфейсе устройства перейдите к сертификатам конфигурации>. Выберите действие Создать сертификаты.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. В разделе Создание сертификатов устройства выберите элемент Создать.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    При выполнении этого действия будут созданы и применены сертификаты устройства. Создание и применение сертификатов занимает несколько минут.

    Важно!

    Пока выполняется операция создания сертификатов, не начинайте передачу собственных сертификатов или добавление с помощью действия + Добавить сертификат.

    После успешного завершения операции вы получите уведомление. Чтобы избежать возможных проблем с кэшем, перезапустите браузер.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. После создания сертификатов происходят следующие изменения:

    • Убедитесь, что состояние всех сертификатов отображается как допустимое.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Вы можете выбрать конкретное имя сертификата и просмотреть сведения о сертификате.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Столбец Скачивания теперь заполнен. Этот столбец содержит ссылки для скачивания повторно созданных сертификатов.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Щелкните ссылку, чтобы скачать нужный сертификат, и подтвердите его сохранение в соответствующем запросе.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Повторите этот процесс для всех нужных сертификатов.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Созданные устройством сертификаты сохраняются в формате DER с именами следующего вида:

    <Device name>_<Endpoint name>.cer. Эти сертификаты содержат открытый ключ сертификатов, закрытая часть которых установлена на устройстве.

Эти сертификаты необходимо установить в клиентской системе, которую вы используете для доступа к конечным точкам на устройстве Azure Stack Edge. Эти сертификаты позволяют создать отношения доверия между клиентом и устройством.

Чтобы импортировать и установить эти сертификаты на клиенте, который вы используете для доступа к устройству, выполните действия, описанные в разделе "Импорт сертификатов" на клиентах, обращаюющихся к устройству GPU Azure Stack Edge Pro.

При использовании служба хранилища Azure Обозреватель необходимо установить сертификаты на клиенте в формате PEM и преобразовать созданные устройством сертификаты в формат PEM.

Важно!

  • Ссылка для скачивания предоставляется только для созданных устройством сертификатов, но не для предоставленных вами собственных сертификатов.
  • Вы можете произвольным образом сочетать созданные устройством сертификаты и собственные сертификаты, если соблюдаются все остальные требования к сертификатам. Дополнительные сведения о требованиях к сертификатам см. здесь.

Использование собственных сертификатов

Вы можете использовать собственные сертификаты.

Следующая процедура позволяет передать собственные сертификаты, включая цепочку подписывания.

  1. Чтобы отправить сертификат, выберите на странице Сертификат действие + Добавить сертификат.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Этот шаг можно пропустить, если вы включили все сертификаты в путь к сертификату при экспорте сертификатов в формате PFX. Если вы не включили все сертификаты в экспорт, отправьте цепочку подписей и нажмите кнопку "Проверить и добавить". Это необходимо сделать перед отправкой других сертификатов.

    В некоторых случаях может потребоваться создать цепочку подписей только для других целей, например подключиться к серверу обновления для служб Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Отправьте другие сертификаты. Например, вы можете отправить сертификаты конечных точек Azure Resource Manager и (или) Хранилища BLOB-объектов.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Кроме того, вы можете отправить сертификаты локального пользовательского веб-интерфейса. После отправки этого сертификата вам потребуется запустить браузер и очистить кэш. Затем вам потребуется подключиться к локальному веб-интерфейсу устройства.

    Local web UI

    Кроме того, вы можете отправить сертификат узла.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Теперь на странице "Сертификаты" должны появиться все добавленные вами сертификаты. В любое время вы можете выбрать сертификат, просмотреть сведения о нем и убедиться, что они соответствуют отправленному сертификату.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Примечание.

    Во всех облачных конфигурациях, кроме общедоступного облака Azure (то есть в Azure для государственных организаций или Azure Stack), сертификаты цепочки подписывания нужно предоставить до активации.

Настройка шифрования неактивных данных

  1. На плитке Security (Безопасность) выберите действие Configure (Настроить) для шифрования неактивных данных.

    Примечание.

    Это обязательный параметр. Вы сможете активировать устройство только после правильной настройки этого параметра.

    При производстве после развертывания образа на устройстве активируется шифрование BitLocker на уровне тома. После получения устройства необходимо настроить шифрование неактивных данных. Пул носителей и тома создаются повторно, и вы можете предоставить ключи BitLocker, чтобы включить шифрование неактивных данных и создать второй уровень шифрования для ваших неактивных данных.

  2. В области Encryption-at-rest (Шифрование неактивных данных) укажите ключ в кодировке Base-64 длиной 32 символа. Эта настройка выполняется однократно, а ключ используется для защиты фактического ключа шифрования. Вы можете автоматически создать этот ключ.

    Screenshot of the local web UI

    Вы также можете ввести собственный ключ шифрования ASE-256 в кодировке Base-64.

    Screenshot of the local web UI

    Этот ключ сохраняется в файле ключа на странице Cloud details (Сведения об облаке) после активации устройства.

  3. Нажмите Применить. Эта операция занимает несколько минут, и отображается состояние операции.

    Screenshot of the

  4. После отображения состояния " Завершено" устройство будет готово к активации. Нажмите кнопку < "Вернуться к началу работы".

Следующие шаги

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства
  • Настройка шифрования неактивных данных

Сведения о том, как активировать устройство Azure Stack Edge Pro 2, см. в статье:

Активация устройства Azure Stack Edge Pro 2