Sdílet prostřednictvím


Kurz: Konfigurace certifikátů pro Azure Stack Edge Pro 2

Tento kurz popisuje, jak nakonfigurovat certifikáty pro azure Stack Edge Pro 2 pomocí místního webového uživatelského rozhraní.

Doba potřebná pro tento krok se může lišit v závislosti na konkrétní možnosti, kterou zvolíte, a způsobu vytvoření toku certifikátu ve vašem prostředí.

V tomto kurzu získáte informace o těchto tématech:

  • Požadavky
  • Konfigurace certifikátů pro fyzické zařízení
  • Konfigurace šifrování neaktivních uložených dat

Požadavky

Než nakonfigurujete a nastavíte zařízení Azure Stack Edge Pro 2, ujistěte se, že:

  • Fyzické zařízení jste nainstalovali podle podrobných informací v části Instalace Azure Stack Edge Pro 2.

  • Pokud plánujete používat vlastní certifikáty:

    • Certifikáty byste měli mít připravené ve vhodném formátu, včetně certifikátu podpisového řetězu.
    • Pokud je vaše zařízení nasazené ve službě Azure Government a není nasazené ve veřejném cloudu Azure, před aktivací zařízení se vyžaduje podpisový certifikát řetězu.

    Podrobnosti o certifikátech najdete v tématu Příprava certifikátů k nahrání na zařízení Azure Stack Edge.

Konfigurace certifikátů pro zařízení

  1. Otevřete stránku Certifikáty v místním webovém uživatelském rozhraní vašeho zařízení. Na této stránce se zobrazí certifikáty dostupné na vašem zařízení. Zařízení se dodává s certifikáty podepsanými svým držitelem, označovanými také jako certifikáty zařízení. Můžete také použít vlastní certifikáty.

  2. Tento krok použijte jenom v případě, že jste při konfiguraci nastavení zařízení nezměnili název zařízení nebo doménu DNS a nechcete používat vlastní certifikáty.

    Na této stránce nemusíte provádět žádnou konfiguraci. Stačí ověřit, že stav všech certifikátů je na této stránce platný.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Jste připraveni nakonfigurovat šifrování neaktivních uložených dat s existujícími certifikáty zařízení.

  3. Postupujte podle zbývajících kroků jenom v případě, že jste změnili název zařízení nebo doménu DNS pro vaše zařízení. V těchto případech nebude stav certifikátů zařízení platný. Je to proto, že název zařízení a doména DNS v certifikátech subject name a subject alternative nastavení jsou zastaralé.

    Pokud chcete zobrazit podrobnosti o stavu, můžete vybrat certifikát.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Pokud jste změnili název zařízení nebo doménu DNS vašeho zařízení a nezadáte nové certifikáty, aktivace zařízení se zablokuje. Pokud chcete na zařízení použít novou sadu certifikátů, zvolte jednu z následujících možností:

    • Vygenerujte všechny certifikáty zařízení. Tuto možnost vyberte a pak proveďte kroky v části Generovat certifikáty zařízení, pokud plánujete používat automaticky generované certifikáty zařízení a potřebujete vygenerovat nové certifikáty zařízení. Tyto certifikáty zařízení byste měli používat jenom k testování, nikoli k produkčním úlohám.

    • Přineste si vlastní certifikáty. Tuto možnost vyberte a pak proveďte kroky v části Přineste si vlastní certifikáty, pokud chcete použít vlastní podepsané certifikáty koncových bodů a odpovídající podpisové řetězce. Doporučujeme vždy používat vlastní certifikáty pro produkční úlohy.

    • Můžete se rozhodnout, že si přinesou některé vlastní certifikáty a vygenerujete některé certifikáty zařízení. Možnost Generovat všechny certifikáty zařízení znovu vygeneruje pouze certifikáty zařízení.

  5. Pokud máte pro zařízení úplnou sadu platných certifikátů, vyberte < Zpět a začněte. Teď můžete pokračovat v konfiguraci šifrování neaktivních uložených dat.

Generování certifikátů zařízení

Pomocí těchto kroků vygenerujte certifikáty zařízení.

Pomocí těchto kroků znovu vygenerujte a stáhněte certifikáty zařízení Azure Stack Edge Pro 2:

  1. V místním uživatelském rozhraní vašeho zařízení přejděte na Konfigurační > certifikáty. Vyberte Generovat certifikáty.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. V okně Generovat certifikáty zařízení vyberte Generovat.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Certifikáty zařízení se teď generují a použijí. Vygenerování a použití certifikátů trvá několik minut.

    Důležité

    Zatímco probíhá operace generování certifikátů, nepřineste vlastní certifikáty a pokuste se je přidat pomocí možnosti + Přidat certifikát .

    Jakmile se operace úspěšně dokončí, budete upozorněni. Pokud se chcete vyhnout potenciálním problémům s mezipamětí, restartujte prohlížeč.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Po vygenerování certifikátů:

    • Ujistěte se, že je stav všech certifikátů zobrazený jako Platný.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Můžete vybrat konkrétní název certifikátu a zobrazit podrobnosti o certifikátu.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Sloupec Stáhnout je teď vyplněný. Tento sloupec obsahuje odkazy ke stažení znovu vygenerovaných certifikátů.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Vyberte odkaz ke stažení certifikátu a po zobrazení výzvy certifikát uložte.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Tento postup opakujte pro všechny certifikáty, které chcete stáhnout.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Vygenerované certifikáty zařízení se ukládají jako certifikáty DER s následujícím formátem názvů:

    <Device name>_<Endpoint name>.cer. Tyto certifikáty obsahují veřejný klíč pro odpovídající certifikáty nainstalované v zařízení.

Tyto certifikáty budete muset nainstalovat do klientského systému, který používáte pro přístup ke koncovým bodům na zařízení Azure Stack Edge. Tyto certifikáty navazují vztah důvěryhodnosti mezi klientem a zařízením.

Pokud chcete importovat a nainstalovat tyto certifikáty do klienta, kterého používáte pro přístup k zařízení, postupujte podle pokynů v tématu Import certifikátů na klientech, kteří přistupují k zařízení Azure Stack Edge Pro GPU.

Pokud používáte Průzkumník služby Azure Storage, budete muset na klienta nainstalovat certifikáty ve formátu PEM a budete muset převést certifikáty generované zařízením do formátu PEM.

Důležité

  • Odkaz ke stažení je k dispozici pouze pro certifikáty generované zařízením, a ne v případě, že používáte vlastní certifikáty.
  • Můžete se rozhodnout, že budete mít kombinaci vygenerovaných certifikátů zařízení a používat vlastní certifikáty, pokud jsou splněné další požadavky na certifikáty. Další informace najdete v části Požadavky na certifikáty.

Používání vlastních certifikátů

Můžete použít vlastní certifikáty.

Pomocí těchto kroků nahrajte vlastní certifikáty, včetně podpisového řetězce.

  1. Pokud chcete nahrát certifikát, na stránce Certifikát vyberte + Přidat certifikát.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Tento krok můžete přeskočit, pokud jste při exportu certifikátů ve formátu .pfx zahrnuli všechny certifikáty do cesty certifikátu. Pokud jste do exportu nezahrnuli všechny certifikáty, nahrajte podpisový řetězec a pak vyberte Ověřit a přidat. Než nahrajete další certifikáty, musíte to udělat.

    V některých případech můžete chtít vytvořit podpisový řetězec sám pro jiné účely – například pro připojení k aktualizačnímu serveru pro službu Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Nahrajte další certifikáty. Můžete například nahrát certifikáty koncového bodu služby Azure Resource Manager a úložiště objektů blob.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Můžete také nahrát místní certifikát webového uživatelského rozhraní. Po nahrání tohoto certifikátu budete muset spustit prohlížeč a vymazat mezipaměť. Pak se budete muset připojit k místnímu webovému uživatelskému rozhraní zařízení.

    Local web UI

    Můžete také nahrát certifikát uzlu.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Stránka certifikátu by se měla aktualizovat tak, aby odrážela nově přidané certifikáty. Kdykoli můžete vybrat certifikát a zobrazit podrobnosti, abyste zajistili, že se shodují s certifikátem, který jste nahráli.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Poznámka:

    S výjimkou veřejného cloudu Azure je potřeba před aktivací převést podpisové řetězové certifikáty pro všechny konfigurace cloudu (Azure Government nebo Azure Stack).

Konfigurace šifrování neaktivních uložených dat

  1. Na dlaždici Zabezpečení vyberte Konfigurovat šifrování neaktivních uložených dat.

    Poznámka:

    Toto nastavení je povinné a dokud se zařízení úspěšně nenakonfiguruje, nemůžete zařízení aktivovat.

    Po vytvoření image zařízení je v továrně povolené šifrování BitLockeru na úrovni svazku. Jakmile zařízení obdržíte, musíte nakonfigurovat šifrování neaktivních uložených dat. Fond úložiště a svazky se znovu vytvoří a můžete zadat klíče BitLockeru pro povolení šifrování neaktivních uložených uložených dat a tím vytvořit druhou vrstvu šifrování neaktivních uložených dat.

  2. V podokně Šifrování neaktivních uložených dat zadejte 32mísítě dlouhý klíč s kódováním Base-64. Jedná se o jednorázovou konfiguraci a tento klíč slouží k ochraně skutečného šifrovacího klíče. Tento klíč můžete vygenerovat automaticky.

    Screenshot of the local web UI

    Můžete také zadat vlastní šifrovací klíč ASE-256bitového šifrování ASE-64 s kódováním Base-64.

    Screenshot of the local web UI

    Klíč se uloží do souboru klíče na stránce podrobností o cloudu po aktivaci zařízení.

  3. Vyberte Použít. Tato operace trvá několik minut a zobrazí se stav operace.

    Screenshot of the

  4. Po zobrazení stavu Dokončeno je teď vaše zařízení připravené k aktivaci. Vyberte < Zpět na Začínáme.

Další kroky

V tomto kurzu získáte informace o těchto tématech:

  • Požadavky
  • Konfigurace certifikátů pro fyzické zařízení
  • Konfigurace šifrování neaktivních uložených dat

Informace o aktivaci zařízení Azure Stack Edge Pro 2 najdete tady: