教學課程:為您的 Azure Stack Edge Mini R 設定憑證、VPN 和加密
本教學課程說明如何使用本機 Web UI 來設定 Azure Stack Edge Mini R 裝置憑證、VPN 和待用加密。
此步驟所花費的時間會根據您選擇的特定選項,以及如何在您的環境中建立憑證流程而有所不同。
在本教學課程中,您將了解:
- 必要條件
- 設定實體裝置的憑證
- 設定 VPN
- 設定待用加密
必要條件
在您設定及安裝 Azure Stack Edge Mini R 裝置之前,請先確定:
您已依照安裝 Azure Stack Edge Mini R 中的詳細說明安裝實體裝置。
如果您要攜帶自己的憑證:
設定裝置憑證
您會在憑證頁面上設定憑證。 根據您是否已在裝置頁面中變更裝置名稱或 DNS 網域,可以為憑證選擇下列其中一個選項。
如果您在先前的步驟中未變更預設裝置名稱或預設 DNS 網域,而且不想要攜帶自己的憑證,則可以略過此步驟,並繼續進行下一個步驟。 裝置已自動產生自我簽署憑證,可以開始使用。
如果您變更了裝置名稱或 DNS 網域,就會看到憑證的狀態顯示為無效。
選取憑證以檢視狀態的詳細資料。
憑證狀態為無效,這是因為憑證不會反映更新的裝置名稱和 DNS 網域 (用於主體名稱和主體替代項目)。 若要成功啟用裝置,您可以攜帶自己的已簽署端點憑證和對應的簽署鏈結。 您必須先新增簽署鏈結,才能上傳端點憑證。 如需詳細資訊,請移至攜帶您自己的憑證以供 Azure Stack Edge Mini R 裝置使用。
如果您變更了裝置名稱或 DNS 網域,且並未攜帶您自己的憑證,則會封鎖啟用。
攜帶您自己的憑證
您已在此裝置的先前步驟中新增簽署鏈結。 現在可以上傳端點憑證、節點憑證、本機 UI 憑證和 VPN 憑證。 請遵循這些步驟來新增您自己的憑證。
若要上傳憑證,請在憑證頁面上,選取 [+ 新增憑證]。
您可以上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。
您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您必須開啟瀏覽器並清除快取。 接著,您必須連線到裝置的本機 Web UI。
您也可以上傳節點憑證。
最後,您可以上傳 VPN 憑證。
您隨時都可以選取憑證並檢視詳細資料,確保這些憑證與您上傳的憑證相符。
憑證頁面應該會更新,以反映新增的憑證。
注意
除了 Azure 公用雲端以外,在啟用所有雲端設定 (Azure Government 或 Azure Stack Hub) 之前,必須先放入簽署鏈結憑證。
設定 VPN
在安全性圖格上,針對 VPN 選取 [設定]。
若要設定 VPN,您需要先確定已在 Azure 中完成所有必要設定。 如需詳細資訊,請參閱透過 PowerShell 設定 Azure Stack Edge Mini R 裝置的 VPN。 完成後,您就可以在本機 UI 中設定。
在 VPN 頁面上,選取 [設定]。
在設定 VPN 刀鋒視窗中︰
- 提供電話簿作為輸入項目。
- 提供 Azure 資料中心 IP 範圍 JSON 檔案作為輸入項目。 可於 https://www.microsoft.com/download/details.aspx?id=56519 下載此檔案。
- 選取 [eastus] 作為區域。
- 選取套用。
設定僅限使用 VPN 存取的 IP 位址範圍。
- 在僅限使用 VPN 存取的 IP 位址範圍下,選取 [設定]。
- 輸入您為 Azure 虛擬網路選擇的 VNET IPv4 範圍。
- 選取套用。
您的裝置現在已準備就緒,可供加密。 設定待用加密。
啟用加密
在安全性圖格上,針對待用加密選取 [設定]。 這是必要的設定,而且在成功設定此值之前,您無法啟動裝置。
在中心,一旦裝置經過映像處理,就會啟用磁碟區層級的 BitLocker 加密。 收到裝置之後,您需要設定待用加密。 系統會重新建立儲存集區和磁碟區,而您可以提供 BitLocker 金鑰來啟用待用加密,進而為待用資料建立第二層加密。
在待用加密窗格中,提供 32 個字元 (AES-256 位元) 的 Base-64 編碼金鑰。 這是一次性設定,此金鑰是用來保護實際的加密金鑰。
您也可以選擇自動產生此金鑰。
選取套用。 這項作業需要幾分鐘的時間,而且作業的狀態會顯示在安全性圖格上。
當狀態顯示為完成之後,請返回開始使用。
您的裝置現在已準備就緒,可供啟動。
下一步
在本教學課程中,您將了解:
- 必要條件
- 設定實體裝置的憑證
- 設定 VPN
- 設定待用加密
若要了解如何啟動您的 Azure Stack Edge Mini R 裝置,請參閱: