共用方式為

教學課程:為您 Azure Stack Edge Pro 2 設定憑證

  • 發行項

本教學課程說明如何使用本機 Web UI 來設定 Azure Stack Edge Pro 2 的憑證。

此步驟所花費的時間會根據您選擇的特定選項,以及如何在您的環境中建立憑證流程而有所不同。

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定待用加密

必要條件

在您設定及安裝 Azure Stack Edge Pro 2 裝置之前,請先確定:

  • 您已依照安裝 Azure Stack Edge Pro 2 中的詳細說明安裝實體裝置。

  • 如果您要攜帶自己的憑證:

    • 您應該備妥適當格式的憑證,包括簽署鏈結憑證。
    • 如果您的裝置部署在 Azure Government 中,而未部署在 Azure 公用雲端中,則需要簽署鏈憑證才能啟動您的裝置。

    如需憑證的詳細資料,請移至準備要上傳至 Azure Stack Edge 裝置上的憑證

設定裝置憑證

  1. 在裝置的本機 Web UI 中開啟憑證頁面。 此頁面將顯示裝置上可用的憑證。 裝置隨附自我簽署憑證,也稱為裝置憑證。 您也可以攜帶您自己的憑證。

  2. 只有在先前設定裝置設定時沒有變更裝置名稱或 DNS 網域,並且不想使用自己的憑證時,才遵循此步驟。

    不需要在此頁面上執行任何設定。 您只需要驗證所有憑證的狀態是否在此頁面上顯示為有效。

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    您已準備好使用現有裝置憑證設定待用加密

  3. 僅當您變更了裝置名稱或裝置的 DNS 網域時,才執行其餘步驟。 在這些情况下,裝置憑證的狀態將無效。 這是因為憑證的 subject namesubject alternative 設定中的裝置名稱和 DNS 網域已過期。

    您可以選取憑證來檢視狀態詳細資料。

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. 如果您變更了裝置名稱或裝置的 DNS 網域,但沒有提供新憑證,則將封鎖裝置的啟用。若要在裝置上使用一組新憑證,請選擇以下選項之一:

    • 產生所有裝置憑證。 如果計劃使用自動產生的裝置憑證並需要產生新裝置憑證,請選取此選項,然後完成產生裝置憑證中的步驟。 您應該只將這些裝置憑證用於測試,而不是用於生產工作負載。

    • 攜帶您自己的憑證。 如要使用自己的簽署端點憑證和相應的簽署鏈,請選取此選項,然後執行攜帶您自己的憑證中的步驟。 建議您一律攜帶自己的憑證以供生產工作負載使用。

    • 您可以選擇攜帶一些自己的憑證,同時產生一些裝置憑證。 產生所有裝置憑證選項僅重新產生裝置憑證。

  5. 當您擁有裝置的全套有效憑證後,請選取 [返回開始]<。 現在,您可以繼續設定待用加密

產生裝置憑證

請依照下列步驟產生裝置憑證。

使用這些步驟來重新產生並下載 Azure Stack Edge Pro 2 裝置憑證:

  1. 在裝置的本機 Web UI 中,移至 [設定 > 憑證]。 選取 [產生憑證]

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. 產生裝置憑證中,選取 [產生]

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    現在系統會產生並套用裝置憑證。 產生並套用憑證需要幾分鐘。

    重要

    正在進行憑證產生作業時,請勿攜帶您自己的憑證,並嘗試透過 [+ 新增憑證]選項來新增。

    作業成功完成時會通知您。 若要避免任何可能的快取問題,請重新啟動瀏覽器。

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. 產生憑證之後:

    • 請確保所有憑證的狀態顯示為 [有效]

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • 您可以選取特定的憑證名稱,並檢視憑證詳細資料。

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • 系統已填入下載資料行。 此資料行包含下載重新產生之憑證的連結。

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. 選取憑證的下載連結,並在出現提示時儲存憑證。

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. 針對您想要下載的所有憑證重複此程序。

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    裝置產生的憑證會儲存為具有下列名稱格式的 DER 憑證:

    <Device name>_<Endpoint name>.cer. 這些憑證包含安裝在裝置上之對應憑證的公開金鑰。

您需要在用來存取 Azure Stack Edge 裝置上端點的用戶端系統上安裝這些憑證。 這些憑證會在用戶端與裝置之間建立信任關係。

若要在用來存取裝置的用戶端上匯入及安裝這些憑證,請遵循在存取您 Azure Stack Edge Pro GPU 裝置的用戶端上匯入憑證中的步驟。

如果使用 Azure 儲存體總管,您將需要以 PEM 格式將憑證安裝在用戶端上,而且需將裝置產生的憑證轉換成 PEM 格式。

重要

  • 只有裝置產生的憑證才會提供下載連結,如果您攜帶自己的憑證,則不會提供。
  • 只要符合其他憑證需求,您就可以決定要混合使用裝置產生的憑證以及攜帶您自己的憑證。 如需詳細資訊,請參閱憑證需求

攜帶您自己的憑證

您可以攜帶您自己的憑證。

請遵循這些步驟來上傳您自己的憑證,包括簽署鏈結。

  1. 若要上傳憑證,請在憑證頁面上,選取 [+ 新增憑證]

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. 如果在以 .pfx 格式匯出憑證時,憑證路徑中包含了所有憑證,則可以跳過此步驟。 如果匯出中沒有包括所有憑證,請上傳簽署鏈,然後選取 [驗證和新增]。 在上傳其他憑證之前,您需要執行此作業。

    在某些情况下,您可能希望將簽署鏈單獨用於其他目的,例如,連線至 Windows Server Update Services (WSUS) 的更新伺服器。

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. 上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您將必須啟動瀏覽器並清除快取。 接著,您將需要連線至裝置的本機 Web UI。

    Local web UI

    您也可以上傳節點憑證。

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    憑證頁面應該會更新,以反映新增的憑證。 您隨時都可以選取憑證並檢視詳細資料,確保這些憑證與您上傳的憑證相符。

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    注意

    除了 Azure 公用雲端以外,在啟用所有雲端設定 (Azure Government 或 Azure Stack) 之前,必須先放入簽署鏈結憑證。

設定待用加密

  1. 安全性圖格上,針對待用加密選取 [設定]

    注意

    這是必要的設定,而且在成功設定此值之前,您無法啟動裝置。

    在中心,一旦裝置經過映像處理,就會啟用磁碟區層級的 BitLocker 加密。 收到裝置之後,您需要設定待用加密。 系統會重新建立儲存集區和磁碟區,而您可以提供 BitLocker 金鑰來啟用待用加密,進而為待用資料建立第二層加密。

  2. 待用加密窗格中,提供 32 個字元的 Base-64 編碼金鑰。 這是一次性設定,此金鑰是用來保護實際的加密金鑰。 您可以選擇自動產生此金鑰。

    Screenshot of the local web UI

    您也可以輸入自己的 Base-64 編碼 ASE-256 位元加密金鑰。

    Screenshot of the local web UI

    在裝置啟用後,金鑰會儲存在雲端詳細資料頁面的金鑰檔案中。

  3. 選取套用。 此作業需要幾分鐘時間,並顯示作業狀態。

    Screenshot of the

  4. 在狀態顯示為 [完成] 後,您的裝置現在就準備好啟動了。 選取 [返回開始]<

下一步

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定待用加密

若要了解如何啟動您的 Azure Stack Edge Pro 2 裝置,請參閱:

啟動 Azure Stack Edge Pro 2 裝置