Tutorial: Konfigurieren von Zertifikaten für Ihr Azure Stack Edge Pro 2-Gerät

In diesem Tutorial erfahren Sie, wie Sie Zertifikate für Ihr Azure Stack Edge Pro 2-Gerät über die lokale Webbenutzeroberfläche konfigurieren.

Die für diesen Schritt benötigte Zeit kann je nach der von Ihnen gewählten Option und der Einrichtung des Zertifikatflows in Ihrer Umgebung variieren.

In diesem Tutorial lernen Sie Folgendes kennen:

  • Voraussetzungen
  • Konfigurieren von Zertifikaten für ein physisches Gerät
  • Konfigurieren der Verschlüsselung ruhender Daten

Voraussetzungen

Vergewissern Sie sich, dass folgende Voraussetzungen erfüllt sind, bevor Sie ein Azure Stack Edge Pro 2-Gerät konfigurieren und einrichten:

  • Sie haben das physische Gerät gemäß der Anleitung unter Installieren von Azure Stack Edge Pro 2 installiert.

  • Wenn Sie beabsichtigen, eigene Zertifikate zu nutzen:

    • Sie müssen Ihre Zertifikate im entsprechenden Format einschließlich des Signaturkettenzertifikats bereithalten.
    • Falls Ihr Gerät nicht in der öffentlichen Azure-Cloud, sondern in Azure Government bereitgestellt wird, ist für die Aktivierung des Geräts ein Signaturkettenzertifikat erforderlich.

    Ausführliche Informationen zu Zertifikaten finden Sie unter Vorbereiten von Zertifikaten für das Hochladen auf Ihr Azure Stack Edge-Gerät.

Konfigurieren von Zertifikaten für ein Gerät

  1. Öffnen Sie auf der lokalen Webbenutzeroberfläche Ihres Geräts die Seite Zertifikate. Auf dieser Seite werden die auf Ihrem Gerät verfügbaren Zertifikate angezeigt. Das Gerät wird mit selbstsignieren Zertifikaten ausgeliefert, die auch als Gerätezertifikate bezeichnet werden. Sie können auch Ihre eigenen Zertifikate bereitstellen.

  2. Führen Sie diesen Schritt nur aus, wenn Sie den Gerätenamen oder die DNS-Domäne beim Konfigurieren der Geräteeinstellungen nicht geändert haben und keine eigenen Zertifikate verwenden möchten.

    Sie müssen auf dieser Seite keine Konfiguration vornehmen. Sie müssen lediglich überprüfen, ob der Status aller Zertifikate auf dieser Seite als gültig angezeigt wird.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Sie können die Verschlüsselung ruhender Daten mit den vorhandenen Gerätezertifikaten konfigurieren.

  3. Führen Sie die übrigen Schritte nur aus, wenn Sie den Gerätenamen oder die DNS-Domäne für Ihr Gerät geändert haben. In diesen Fällen lautet der Status Ihrer Gerätezertifikate Ungültig. Der Grund dafür ist, dass der Gerätename und die DNS-Domäne in den Einstellungen subject name und subject alternative der Zertifikate veraltet sind.

    Sie können ein Zertifikat auswählen, um die Statusdetails anzuzeigen.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Wenn Sie den Gerätenamen oder die DNS-Domäne Ihres Geräts geändert haben und keine neuen Zertifikate bereitstellen, wird die Aktivierung des Geräts blockiert. Um einen neuen Satz von Zertifikaten auf Ihrem Gerät zu verwenden, wählen Sie eine der folgenden Optionen aus:

    • Generieren aller Gerätezertifikate. Wählen Sie diese Option aus, und führen Sie dann die Schritte unter Generieren von Gerätezertifikaten aus, wenn Sie automatisch generierte Gerätezertifikate verwenden möchten und neue Gerätezertifikate generieren müssen. Sie sollten diese Gerätezertifikate nur für Tests verwenden und nicht für Produktionsworkloads.

    • Bereitstellen eines eigenen Zertifikats. Wählen Sie diese Option aus, und führen Sie dann die Schritte unter Bereitstellen eigener Zertifikate aus, wenn Sie Ihre eigenen signierten Endpunktzertifikate und die entsprechenden Signaturketten verwenden möchten. Wir empfehlen, dass Sie für Produktionsworkloads immer Ihre eigenen Zertifikate bereitstellen.

    • Sie können einige Ihrer eigenen Zertifikate bereitstellen und einige Gerätezertifikate generieren. Mit der Option zum Generieren aller Gerätezertifikate werden nur die Gerätezertifikate neu generiert.

  5. Wenn Sie über einen vollständigen Satz gültiger Zertifikate für Ihr Gerät verfügen, wählen Sie < Zurück zu „Erste Schritte“ aus. Sie können nun mit dem Konfigurieren der Verschlüsselung ruhender Daten fortfahren.

Generieren von Gerätezertifikaten

Befolgen Sie diese Schritte, um Gerätezertifikate zu generieren.

Führen Sie diese Schritte aus, um die Azure Stack Edge Pro 2-Gerätezertifikate neu zu generieren und herunterzuladen:

  1. Navigieren Sie auf der lokalen Benutzeroberfläche Ihres Geräts zu Konfiguration > Zertifikate. Wählen Sie Zertifikate generieren aus.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Wählen Sie im Abschnitt Gerätezertifikate generieren die Option Generieren aus.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Die Gerätezertifikate werden nun generiert und zugewiesen. Der Vorgang zum Generieren und Anwenden der Zertifikate dauert einige Minuten.

    Wichtig

    Während der Vorgang zum Generieren von Zertifikaten läuft, dürfen Sie keine eigenen Zertifikate bereitstellen. Versuchen Sie, diese über die Option + Zertifikat hinzufügen hinzuzufügen.

    Sie werden benachrichtigt, sobald der Vorgang erfolgreich abgeschlossen wurde. Starten Sie Ihren Browser neu, um potenzielle Cacheprobleme zu vermeiden.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Nach der Zertifikatgenerierung:

    • Stellen Sie sicher, dass der Status aller Zertifikate als Gültig angezeigt wird.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Sie können einen bestimmten Zertifikatnamen auswählen und die Zertifikatdetails anzeigen.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Die Spalte Download ist jetzt gefüllt. Diese Spalte enthält Links zum Herunterladen der neu generierten Zertifikate.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Wählen Sie den Downloadlink für ein Zertifikat aus, und speichern Sie das Zertifikat bei Aufforderung.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Wiederholen Sie diesen Vorgang für alle Zertifikate, die Sie herunterladen möchten.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Die vom Gerät generierten Zertifikate werden als DER-Zertifikate im folgendem Namensformat gespeichert:

    <Device name>_<Endpoint name>.cer. Diese Zertifikate enthalten den öffentlichen Schlüssel für die entsprechenden auf dem Gerät installierten Zertifikate.

Sie müssen diese Zertifikate auf dem Clientsystem installieren, das Sie für den Zugriff auf die Endpunkte auf dem Azure Stack Edge-Gerät verwenden. Diese Zertifikate schaffen ein Vertrauensverhältnis zwischen Client und Gerät.

Zum Importieren und Installieren dieser Zertifikate auf dem Client, den Sie für den Zugriff auf das Gerät verwenden, folgen Sie den Schritten unter Importieren von Zertifikaten auf Clients, die auf Ihr Azure Stack Edge Pro GPU-Gerät zugreifen.

Wenn Sie Azure Storage-Explorer verwenden, müssen Sie Zertifikate im PEM-Format auf Ihrem Client installieren und die vom Gerät generierten Zertifikate in das PEM-Format konvertieren.

Wichtig

  • Der Downloadlink ist nur für die vom Gerät generierten Zertifikate verfügbar und nicht, wenn Sie Ihre eigenen Zertifikate bereitstellen.
  • Sie können sich für eine Kombination aus vom Gerät generierten Zertifikaten entscheiden und Ihre eigenen Zertifikate bereitstellen, solange andere Zertifikatsanforderungen erfüllt sind. Weitere Informationen finden Sie unter Zertifikatanforderungen.

Bereitstellen eigener Zertifikate

Sie können Ihre eigenen Zertifikate bereitstellen.

Befolgen Sie diese Schritte, um Ihre eigenen Zertifikate einschließlich Signaturkette hinzuzufügen.

  1. Um ein Zertifikat hochzuladen, wählen Sie auf der Seite Zertifikat die Option + Zertifikat hinzufügen aus.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Sie können diesen Schritt überspringen, wenn Sie beim Exportieren von Zertifikaten im PFX-Format alle Zertifikate in den Zertifikatpfad eingeschlossen haben. Wenn Sie nicht alle Zertifikate in den Export eingeschlossen haben, laden Sie die Signaturkette hoch, und wählen Sie dann Überprüfen und hinzufügen aus. Sie müssen diesen Schritt ausführen, bevor Sie Ihre anderen Zertifikate hochladen.

    In einigen Fällen empfiehlt es sich, eine Signierungskette allein für andere Zwecke zu verwenden, z. B. um eine Verbindung mit Ihrem Updateserver für Windows Server Update Services (WSUS) herzustellen.

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Laden Sie andere Zertifikate hoch. Sie können z. B. die Zertifikate für Azure Resource Manager- und Blob Storage-Endpunkte hochladen.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Sie können auch das Zertifikat der lokalen Webbenutzeroberfläche hochladen. Nachdem Sie dieses Zertifikat hochgeladen haben, müssen Sie den Browser starten und den Cache leeren. Sie müssen dann eine Verbindung mit der lokalen Webbenutzeroberfläche des Geräts herstellen.

    Local web UI

    Sie können auch das Knotenzertifikat hochladen.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Die Seite „Zertifikate“ muss aktualisiert werden, um die neu hinzugefügten Zertifikate widerzuspiegeln. Sie können jederzeit ein Zertifikat auswählen und die Details anzeigen, um sicherzustellen, dass die Informationen mit Ihrem hochgeladenen Zertifikat übereinstimmen.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Hinweis

    Mit Ausnahme der öffentlichen Azure-Cloud sind für alle Cloudkonfigurationen (Azure Government oder Azure Stack) Signaturkettenzertifikate erforderlich, die vor der Aktivierung bereitgestellt werden müssen.

Konfigurieren der Verschlüsselung ruhender Daten

  1. Wählen Sie auf der Kachel Sicherheit für die Verschlüsselung ruhender Daten die Option Konfigurieren aus.

    Hinweis

    Dies ist eine erforderliche Einstellung. Das Gerät kann erst aktiviert werden, wenn diese Einstellung erfolgreich konfiguriert wurde.

    Im Werk wird die BitLocker-Verschlüsselung auf Volumeebene aktiviert, nachdem die Geräte mit einem Image versehen wurden. Nachdem Sie das Gerät erhalten haben, müssen Sie die Verschlüsselung ruhender Daten konfigurieren. Speicherpool und Volumes werden neu erstellt, und Sie können BitLocker-Schlüssel angeben, um die Verschlüsselung ruhender Daten zu aktivieren und so eine zweite Verschlüsselungsebene für Ihre ruhenden Daten zu erhalten.

  2. Geben Sie im Bereich Verschlüsselung ruhender Daten einen 32-stelligen Schlüssel mit Base-64-Verschlüsselung an. Dieser Konfigurationsschritt muss nur einmal ausgeführt werden. Der Schlüssel dient zum Schutz des eigentlichen Verschlüsselungsschlüssels. Sie können auswählen, dass dieser Schlüssel automatisch generiert werden soll.

    Screenshot of the local web UI

    Sie können auch Ihren eigenen Base64-codierten ASE-256-Bit-Verschlüsselungsschlüssel eingeben.

    Screenshot of the local web UI

    Der Schlüssel wird in einer Schlüsseldatei auf der Seite Clouddetails gespeichert, nachdem das Gerät aktiviert wurde.

  3. Wählen Sie Übernehmen. Dieser Vorgang dauert einige Minuten, und der Status des Vorgangs wird angezeigt.

    Screenshot of the

  4. Wenn der Status Abgeschlossen angezeigt wird, kann Ihr Gerät aktiviert werden. Wählen Sie < Zurück zu „Erste Schritte“ aus.

Nächste Schritte

In diesem Tutorial lernen Sie Folgendes kennen:

  • Voraussetzungen
  • Konfigurieren von Zertifikaten für ein physisches Gerät
  • Konfigurieren der Verschlüsselung ruhender Daten

Informationen zum Aktivieren Ihres Azure Stack Edge Pro 2-Geräts finden Sie hier: