共用方式為

教學課程:為您 Azure Stack Edge Pro R 設定憑證

  • 發行項

本教學課程說明如何使用本機 Web UI 來設定 Azure Stack Edge Pro R 裝置憑證。

此步驟所花費的時間會根據您選擇的特定選項,以及如何在您的環境中建立憑證流程而有所不同。

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定 VPN
  • 設定待用加密

必要條件

在您設定及安裝 Azure Stack Edge Pro R 裝置之前,請先確定:

  • 您已依照安裝 Azure Stack Edge Pro R 中的詳細說明安裝實體裝置。
  • 如果您要攜帶自己的憑證:
    • 您應該備妥適當格式的憑證,包括簽署鏈結憑證。 如需憑證的詳細資訊,請移至管理憑證

設定裝置憑證

  1. 您會在憑證頁面上設定憑證。 根據您是否已在裝置頁面中變更裝置名稱或 DNS 網域,可以為憑證選擇下列其中一個選項。

    • 如果您在先前的步驟中未變更裝置名稱或 DNS 網域,則可以略過此步驟,並繼續進行下一個步驟。 裝置已自動產生自我簽署憑證,可以開始使用。

    • 如果您變更了裝置名稱或 DNS 網域,就會看到憑證的狀態顯示為無效

      Local web UI

      選取憑證以檢視狀態的詳細資料。

      Local web UI

      這是因為憑證不會反映更新的裝置名稱和 DNS 網域 (用於主體名稱和主體替代項目)。 若要成功啟用裝置,您可以攜帶自己的已簽署端點憑證和對應的簽署鏈結。 您必須先新增簽署鏈結,才能上傳端點憑證。 如需詳細資訊,請移至攜帶您自己的憑證以供 Azure Stack Edge Pro R 裝置使用

    • 如果您變更了裝置名稱或 DNS 網域,且並未攜帶您自己的憑證,則會封鎖啟用

攜帶您自己的憑證

請遵循這些步驟來新增您自己的憑證,包括簽署鏈結。

  1. 若要上傳憑證,請在憑證頁面上,選取 [+ 新增憑證]

    Local web UI

  2. 先上傳簽署鏈結,然後選取 [驗證和新增]

    Local web UI

  3. 現在您可以上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。

    Local web UI

    您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您必須開啟瀏覽器並清除快取。 接著,您必須連線到裝置的本機 Web UI。

    Local web UI

    您也可以上傳節點憑證。

    Local web UI

    最後,您可以上傳 VPN 憑證。

    Local web UI

    您隨時都可以選取憑證並檢視詳細資料,確保這些憑證與您上傳的憑證相符。

    憑證頁面應該會更新,以反映新增的憑證。

    Local web UI

    注意

    除了 Azure 公用雲端以外,在啟用所有雲端設定 (Azure Government 或 Azure Stack) 之前,必須先放入簽署鏈結憑證。

  4. 選取 [< 返回開始使用]

設定 VPN

  1. 安全性圖格上,針對 VPN 選取 [設定]

    Local web UI

    若要設定 VPN,您需要先確定已在 Azure 中完成所有必要設定。 如需詳細資訊,請參閱設定必要條件設定 VPN 的 Azure 資源。 完成後,您就可以在本機 UI 中設定。

    1. 在 VPN 頁面上,選取 [設定]
    2. 在 [設定 VPN ] 刀鋒視窗中︰

    • 啟用 VPN 設定

    • 提供 VPN 共用密碼。 這是您在建立 Azure VPN 連線物件時所提供的共用金鑰。

    • 提供 VPN 閘道 IP 位址。 這是 Azure 本機網路閘道 IP 位址。

    • 針對 PFS 群組,請選取 [無]

    • 針對 H 群組,請選取 [群組 2]

    • 針對 IPsec 完整性方法,請選取 [SHA256]

    • 針對 IPseccipher 轉換常數,請選取 [GCMAES256]

    • 針對 IPsec 驗證常數,請選取 [GCMAES256]

    • 針對 IKE 加密方法,請選取 [AES256]

    • 選取套用

      Configure local UI 2

    1. 若要上傳 VPN 路由組態檔,請選取 [上傳]

      Configure local UI 3

      • 瀏覽至您在上一個步驟中下載到本機系統上的 VPN 組態 json 檔案。

      • 選取區域作為與裝置、虛擬網路和閘道相關聯的 Azure 區域。

      • 選取套用

        Configure local UI 4

    2. 若要新增用戶端特定路由,請將 IP 位址範圍設定為僅使用 VPN 存取。

      • 僅限使用 VPN 存取的 IP 位址範圍下,選取 [設定]

      • 請提供有效的 IPv4 範圍,然後選取 [新增]。 重複步驟來新增其他範圍。

      • 選取套用

        Configure local UI 5

  2. 選取 [< 返回開始使用]

設定待用加密

  1. 安全性圖格上,針對待用加密選取 [設定]。 這是必要的設定,而且在成功設定此值之前,您無法啟動裝置。

    在中心,一旦裝置經過映像處理,就會啟用磁碟區層級的 BitLocker 加密。 收到裝置之後,您需要設定待用加密。 系統會重新建立儲存集區和磁碟區,而您可以提供 BitLocker 金鑰來啟用待用加密,進而為待用資料建立第二層加密。

  2. 待用加密窗格中,提供 32 個字元的 Base-64 編碼金鑰。 這是一次性設定,此金鑰是用來保護實際的加密金鑰。 您可以選擇自動產生此金鑰,或輸入金鑰。

    Local web UI

    在裝置啟用後,金鑰會儲存在雲端詳細資料頁面的金鑰檔案中。

  3. 選取套用。 這項作業需要幾分鐘的時間,而且作業的狀態會顯示在安全性圖格上。

    Local web UI

  4. 當狀態顯示為完成之後,請選取 [< 返回開始使用]

您的裝置現在已準備就緒,可供啟動。

下一步

在本教學課程中,您將了解:

  • 必要條件
  • 設定實體裝置的憑證
  • 設定 VPN
  • 設定待用加密

若要了解如何啟動您的 Azure Stack Edge Pro R 裝置,請參閱:

啟動 Azure Stack Edge Pro R 裝置