共用方式為


教學課程:為您的 Azure Stack Edge Mini R 設定憑證、VPN 和加密

本教學課程說明如何使用本機 Web UI 來設定 Azure Stack Edge Mini R 裝置憑證、VPN 和待用加密。

此步驟所花費的時間會根據您選擇的特定選項,以及如何在您的環境中建立憑證流程而有所不同。

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定 VPN
  • 設定待用加密

必要條件

在您設定及安裝 Azure Stack Edge Mini R 裝置之前,請先確定:

  • 您已依照安裝 Azure Stack Edge Mini R 中的詳細說明安裝實體裝置。

  • 如果您要攜帶自己的憑證:

    • 您應該備妥適當格式的憑證,包括簽署鏈結憑證。 如需憑證的詳細資訊,請移至管理憑證

    • 如果您的裝置部署在 Azure Government 或 Azure Government Secret 或 Azure Government 的最高祕密雲端,而未部署在 Azure 公用雲端中,則需要簽署鏈結憑證,才可啟用裝置。 如需憑證詳細資訊,請移至管理憑證

設定裝置憑證

  1. 您會在憑證頁面上設定憑證。 根據您是否已在裝置頁面中變更裝置名稱或 DNS 網域,可以為憑證選擇下列其中一個選項。

    • 如果您在先前的步驟中未變更預設裝置名稱或預設 DNS 網域,而且不想要攜帶自己的憑證,則可以略過此步驟,並繼續進行下一個步驟。 裝置已自動產生自我簽署憑證,可以開始使用。

    • 如果您變更了裝置名稱或 DNS 網域,就會看到憑證的狀態顯示為無效

      Local web UI

      選取憑證以檢視狀態的詳細資料。

      憑證狀態為無效,這是因為憑證不會反映更新的裝置名稱和 DNS 網域 (用於主體名稱和主體替代項目)。 若要成功啟用裝置,您可以攜帶自己的已簽署端點憑證和對應的簽署鏈結。 您必須先新增簽署鏈結,才能上傳端點憑證。 如需詳細資訊,請移至攜帶您自己的憑證以供 Azure Stack Edge Mini R 裝置使用

    • 如果您變更了裝置名稱或 DNS 網域,且並未攜帶您自己的憑證,則會封鎖啟用

攜帶您自己的憑證

您已在此裝置的先前步驟中新增簽署鏈結。 現在可以上傳端點憑證、節點憑證、本機 UI 憑證和 VPN 憑證。 請遵循這些步驟來新增您自己的憑證。

  1. 若要上傳憑證,請在憑證頁面上,選取 [+ 新增憑證]

    Local web UI

  2. 您可以上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。

    Local web UI

  3. 您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您必須開啟瀏覽器並清除快取。 接著,您必須連線到裝置的本機 Web UI。

    Local web UI

  4. 您也可以上傳節點憑證。

    Local web UI

  5. 最後,您可以上傳 VPN 憑證。

    Local web UI

  6. 您隨時都可以選取憑證並檢視詳細資料,確保這些憑證與您上傳的憑證相符。

    Local web UI

    憑證頁面應該會更新,以反映新增的憑證。

    Local web UI

    注意

    除了 Azure 公用雲端以外,在啟用所有雲端設定 (Azure Government 或 Azure Stack Hub) 之前,必須先放入簽署鏈結憑證。

設定 VPN

  1. 安全性圖格上,針對 VPN 選取 [設定]

    若要設定 VPN,您需要先確定已在 Azure 中完成所有必要設定。 如需詳細資訊,請參閱透過 PowerShell 設定 Azure Stack Edge Mini R 裝置的 VPN。 完成後,您就可以在本機 UI 中設定。

    1. 在 VPN 頁面上,選取 [設定]Configure VPN local UI 1

    2. 設定 VPN 刀鋒視窗中︰

      1. 提供電話簿作為輸入項目。
      2. 提供 Azure 資料中心 IP 範圍 JSON 檔案作為輸入項目。 可於 https://www.microsoft.com/download/details.aspx?id=56519 下載此檔案。
      3. 選取 [eastus] 作為區域。
      4. 選取套用

      Configure VPN local UI 2

    3. 設定僅限使用 VPN 存取的 IP 位址範圍。

      • 僅限使用 VPN 存取的 IP 位址範圍下,選取 [設定]
      • 輸入您為 Azure 虛擬網路選擇的 VNET IPv4 範圍。
      • 選取套用

      Configure VPN local UI 3

您的裝置現在已準備就緒,可供加密。 設定待用加密。

啟用加密

  1. 安全性圖格上,針對待用加密選取 [設定]。 這是必要的設定,而且在成功設定此值之前,您無法啟動裝置。

    Local web UI

    在中心,一旦裝置經過映像處理,就會啟用磁碟區層級的 BitLocker 加密。 收到裝置之後,您需要設定待用加密。 系統會重新建立儲存集區和磁碟區,而您可以提供 BitLocker 金鑰來啟用待用加密,進而為待用資料建立第二層加密。

  2. 待用加密窗格中,提供 32 個字元 (AES-256 位元) 的 Base-64 編碼金鑰。 這是一次性設定,此金鑰是用來保護實際的加密金鑰。

    Local web UI

    您也可以選擇自動產生此金鑰。

    Local web UI

  3. 選取套用。 這項作業需要幾分鐘的時間,而且作業的狀態會顯示在安全性圖格上。

    Local web UI

  4. 當狀態顯示為完成之後,請返回開始使用

您的裝置現在已準備就緒,可供啟動。

下一步

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定 VPN
  • 設定待用加密

若要了解如何啟動您的 Azure Stack Edge Mini R 裝置,請參閱: