Kurz: Konfigurace certifikátů, SÍTĚ VPN a šifrování pro Azure Stack Edge Mini R

Článek
06/01/2023

Tento kurz popisuje, jak nakonfigurovat certifikáty, síť VPN a šifrování v klidovém stavu pro zařízení Azure Stack Edge Mini R pomocí místního webového uživatelského rozhraní.

Doba potřebná k tomuto kroku se může lišit v závislosti na konkrétní možnosti, kterou zvolíte, a na způsobu vytvoření toku certifikátů ve vašem prostředí.

V tomto kurzu získáte informace o těchto tématech:

Požadavky
Konfigurace certifikátů pro fyzické zařízení
Konfigurace sítě VPN
Konfigurace šifrování neaktivních uložených dat

Požadavky

Před konfigurací a nastavením zařízení Azure Stack Edge Mini R se ujistěte, že:

Nainstalovali jste fyzické zařízení, jak je podrobně popsáno v tématu Instalace Azure Stack Edge Mini R.
Pokud plánujete používat vlastní certifikáty:
- Certifikáty byste měli mít připravené v odpovídajícím formátu, včetně certifikátu řetězu podpisů. Podrobnosti o certifikátu najdete v tématu Správa certifikátů.
- Pokud je vaše zařízení nasazené v Azure Government, Azure Government tajný klíč nebo Azure Government cloudu s nejvyšším tajným kódem a není nasazené ve veřejném cloudu Azure, před aktivací zařízení se vyžaduje certifikát řetězu podpisů. Podrobnosti o certifikátu najdete v tématu Správa certifikátů.

Konfigurace certifikátů pro zařízení

Na stránce Certifikáty nakonfigurujete certifikáty. V závislosti na tom, jestli jste na stránce Zařízení změnili název zařízení nebo doménu DNS, můžete pro certifikáty zvolit jednu z následujících možností.
- Pokud jste v předchozím kroku nezměnili výchozí název zařízení nebo výchozí doménu DNS a nechcete používat vlastní certifikáty, můžete tento krok přeskočit a přejít k dalšímu kroku. Zařízení na začátku automaticky vygenerovalo certifikáty podepsané svým držitelem.
- Pokud jste změnili název zařízení nebo doménu DNS, zobrazí se stav certifikátů jako Neplatný.
  
  Výběrem certifikátu zobrazíte podrobnosti o stavu.
  
  Stav certifikátu je Neplatný , protože certifikáty neodráží aktualizovaný název zařízení a doménu DNS (které se používají v názvu subjektu a alternativním subjektu). Pokud chcete zařízení úspěšně aktivovat, můžete použít vlastní podepsané certifikáty koncových bodů a odpovídající řetězy podepisování. Nejdřív přidáte řetěz podepisování a pak nahrajete certifikáty koncových bodů. Další informace najdete v tématu Používání vlastních certifikátů na zařízení Azure Stack Edge Mini R.
- Pokud jste změnili název zařízení nebo doménu DNS a nepřinesete vlastní certifikáty, aktivace se zablokuje.

Používání vlastních certifikátů

Na tomto zařízení jste už přidali řetěz podepisování v předchozím kroku. Teď můžete nahrát certifikáty koncových bodů, certifikát uzlu, certifikát místního uživatelského rozhraní a certifikát VPN. Pokud chcete přidat vlastní certifikáty, postupujte podle těchto kroků.

Certifikát nahrajete tak, že na stránce Certifikátvyberete + Přidat certifikát.
Můžete nahrát další certifikáty. Můžete například nahrát certifikáty azure Resource Manager a koncového bodu úložiště objektů blob.
Můžete také nahrát certifikát místního webového uživatelského rozhraní. Po nahrání tohoto certifikátu budete muset spustit prohlížeč a vymazat mezipaměť. Pak se budete muset připojit k místnímu webovému uživatelskému rozhraní zařízení.
Můžete také nahrát certifikát uzlu.
Nakonec můžete nahrát certifikát VPN.
Kdykoli můžete vybrat certifikát a zobrazit podrobnosti, abyste měli jistotu, že se shodují s certifikátem, který jste nahráli.

Stránka certifikátu by se měla aktualizovat tak, aby odrážela nově přidané certifikáty.

Poznámka

S výjimkou veřejného cloudu Azure se certifikáty řetězu podpisů vyžadují před aktivací pro všechny cloudové konfigurace (Azure Government nebo Azure Stack Hub).

Konfigurace sítě VPN

Na dlaždici Zabezpečení vyberte Konfigurovat pro síť VPN.

Pokud chcete nakonfigurovat síť VPN, musíte se nejprve ujistit, že máte v Azure provedenou veškerou potřebnou konfiguraci. Podrobnosti najdete v tématu Konfigurace sítě VPN přes PowerShell pro zařízení Azure Stack Edge Mini R. Po dokončení můžete konfiguraci provést v místním uživatelském rozhraní.
1. Na stránce VPN vyberte Konfigurovat.
2. V okně Konfigurace sítě VPN :
  1. Jako vstup zadejte telefonní seznam.
  2. Jako vstup zadejte soubor JSON rozsahu IP adres datového centra Azure. Stáhněte si tento soubor z: https://www.microsoft.com/download/details.aspx?id=56519.
  3. Jako oblast vyberte eastus .
  4. Vyberte Použít.
3. Nakonfigurujte rozsahy IP adres pro přístup pouze pomocí sítě VPN.
  - V části Rozsahy IP adres pro přístup pouze pomocí sítě VPN vyberte Konfigurovat.
  - Zadejte rozsah IPv4 virtuální sítě, který jste zvolili pro Virtual Network Azure.
  - Vyberte Použít.

Vaše zařízení je teď připravené k šifrování. Konfigurace šifrování neaktivních uložených dat

Povolit šifrování

Na dlaždici Zabezpečení vyberte Konfigurovat pro šifrování neaktivních uložených dat. Toto nastavení je povinné a dokud se úspěšně nenakonfiguruje, nemůžete zařízení aktivovat.

V továrně je po imagi zařízení povoleno šifrování nástrojem BitLocker na úrovni svazku. Jakmile zařízení obdržíte, musíte nakonfigurovat šifrování neaktivních uložených dat. Fond úložiště a svazky se znovu vytvoří a můžete zadat klíče nástroje BitLocker, které povolí šifrování neaktivních uložených dat, a tím vytvoří druhou vrstvu šifrování neaktivních uložených dat.
V podokně Šifrování neaktivních uložených dat zadejte klíč s kódováním Base-64 o délce 32 znaků (256 bitů AES). Jedná se o jednorázovou konfiguraci a tento klíč se používá k ochraně skutečného šifrovacího klíče.

Tento klíč můžete vygenerovat také automaticky.
Vyberte Použít. Tato operace trvá několik minut a stav operace se zobrazí na dlaždici Zabezpečení .
Jakmile se stav zobrazí jako Dokončeno, vraťte se k části Začínáme.