Självstudie: Konfigurera certifikat, VPN, kryptering för din Azure Stack Edge Mini R

Artikel
06/01/2023

I den här självstudien beskrivs hur du kan konfigurera certifikat, VPN och kryptering i vila för din Azure Stack Edge Mini R-enhet med hjälp av det lokala webbgränssnittet.

Den tid det tar för det här steget kan variera beroende på vilket alternativ du väljer och hur certifikatflödet upprättas i din miljö.

I den här självstudien lär du dig:

Förutsättningar
Konfigurera certifikat för den fysiska enheten
Konfigurera VPN
Konfigurera kryptering i vila

Förutsättningar

Innan du konfigurerar och konfigurerar din Azure Stack Edge Mini R-enhet kontrollerar du att:

Du har installerat den fysiska enheten enligt beskrivningen i Installera Azure Stack Edge Mini R.
Om du planerar att ta med dina egna certifikat:
- Du bör ha dina certifikat redo i lämpligt format, inklusive certifikatet för signeringskedjan. Mer information om certifikat finns i Hantera certifikat
- Om enheten distribueras i Azure Government eller Azure Government Secret eller Azure Government topphemliga molnet och inte distribueras i det offentliga Azure-molnet, krävs ett signeringskedjecertifikat innan du kan aktivera enheten. Mer information om certifikat finns i Hantera certifikat.

Konfigurera certifikat för enheten

På sidan Certifikat konfigurerar du dina certifikat. Beroende på om du har ändrat enhetsnamnet eller DNS-domänen på sidan Enhet kan du välja något av följande alternativ för dina certifikat.
- Om du inte har ändrat standardenhetsnamnet eller DNS-standarddomänen i det tidigare steget och inte vill ta med dina egna certifikat kan du hoppa över det här steget och gå vidare till nästa steg. Enheten har automatiskt genererat självsignerade certifikat till att börja med.
- Om du har ändrat enhetsnamnet eller DNS-domänen ser du att statusen för certifikaten visas som Ogiltig.
  
  Välj ett certifikat för att visa information om statusen.
  
  Certifikatstatusen är Inte giltig eftersom certifikaten inte återspeglar det uppdaterade enhetsnamnet och DNS-domänen (som används i ämnesnamnet och ämnesalternativet). Om du vill aktivera enheten kan du ta med dina egna signerade slutpunktscertifikat och motsvarande signeringskedjor. Först lägger du till signeringskedjan och laddar sedan upp slutpunktscertifikaten. Mer information finns i Bring your own certificates on your Azure Stack Edge Mini R device (Ta med dina egna certifikat på din Azure Stack Edge Mini R-enhet).
- Om du har ändrat enhetsnamnet eller DNS-domänen och inte tar med dina egna certifikat blockeras aktiveringen.

Ta med dina egna certifikat

Du har redan lagt till signeringskedjan i ett tidigare steg på den här enheten. Nu kan du ladda upp slutpunktscertifikaten, nodcertifikatet, det lokala användargränssnittscertifikatet och VPN-certifikatet. Följ de här stegen för att lägga till egna certifikat.

Om du vill ladda upp certifikat går du till sidan Certifikatoch väljer + Lägg till certifikat.
Du kan ladda upp andra certifikat. Du kan till exempel ladda upp azure-Resource Manager- och Blob Storage-slutpunktscertifikaten.
Du kan också ladda upp det lokala webbgränssnittscertifikatet. När du har laddat upp det här certifikatet måste du starta webbläsaren och rensa cacheminnet. Sedan måste du ansluta till enhetens lokala webbgränssnitt.
Du kan också ladda upp nodcertifikatet.
Slutligen kan du ladda upp VPN-certifikatet.
När som helst kan du välja ett certifikat och visa informationen för att säkerställa att de matchar det certifikat som du laddade upp.

Certifikatsidan bör uppdateras så att den återspeglar de nyligen tillagda certifikaten.

Anteckning

Förutom det offentliga Azure-molnet måste signeringskedjecertifikat tas med före aktivering för alla molnkonfigurationer (Azure Government eller Azure Stack Hub).

Konfigurera VPN

På panelen Säkerhet väljer du Konfigurera för VPN.

För att konfigurera VPN måste du först se till att du har all nödvändig konfiguration i Azure. Mer information finns i Konfigurera VPN via PowerShell för din Azure Stack Edge Mini R-enhet. När detta är klart kan du göra konfigurationen i det lokala användargränssnittet.
1. På sidan VPN väljer du Konfigurera.
2. På bladet Konfigurera VPN :
  1. Ange telefonboken som indata.
  2. Ange Azure Data Center IP-intervall-JSON-fil som indata. Ladda ned den här filen från: https://www.microsoft.com/download/details.aspx?id=56519.
  3. Välj eastus som region.
  4. Välj Använd.
3. Konfigurera IP-adressintervall som endast ska användas med VPN.
  - Under IP-adressintervall som endast ska användas med VPN väljer du Konfigurera.
  - Ange det VNET IPv4-intervall som du har valt för din Azure-Virtual Network.
  - Välj Använd.

Enheten är nu redo att krypteras. Konfigurera kryptering i vila.

Aktivera kryptering

På panelen Säkerhet väljer du Konfigurera för kryptering i vila. Det här är en obligatorisk inställning och du kan inte aktivera enheten förrän den har konfigurerats.

När enheterna har avbildats på fabriken aktiveras BitLocker-kryptering på volymnivå. När du har fått enheten måste du konfigurera kryptering i vila. Lagringspoolen och volymerna återskapas och du kan ange BitLocker-nycklar för att aktivera kryptering i vila och därmed skapa ett andra krypteringslager för dina vilande data.
I fönstret Kryptering i vila anger du en 32 tecken lång (AES-256-bitars) Base-64-kodad nyckel. Det här är en engångskonfiguration och den här nyckeln används för att skydda den faktiska krypteringsnyckeln.

Du kan också välja att generera den här nyckeln automatiskt.
Välj Använd. Den här åtgärden tar flera minuter och status för åtgärden visas på panelen Säkerhet .
När statusen visas som Slutförd går du tillbaka till Kom igång.