Tutorial: Configuración de certificados para un dispositivo Azure Stack Edge Pro 2

  • Artículo

En este tutorial se describe cómo configurar certificados para el dispositivo Azure Stack Edge Pro 2 mediante la interfaz de usuario web local.

El tiempo necesario para este paso puede variar en función de la opción específica que elija y de cómo se establezca el flujo de certificados en su entorno.

En este tutorial, obtendrá información sobre lo siguiente:

  • Requisitos previos
  • Configuración de certificados para el dispositivo físico
  • Configuración del cifrado en reposo

Requisitos previos

Antes de configurar e instalar el dispositivo Azure Stack Edge Pro 2, asegúrese de lo siguiente:

Configuración de certificados para el dispositivo

  1. Abra la página Certificados en la interfaz de usuario web local del dispositivo. En esta página aparecerán los certificados disponibles en el dispositivo. El dispositivo se envía con certificados autofirmados, también denominados certificados de dispositivo. También puede aportar sus propios certificados.

  2. Siga este paso exclusivamente si no cambió el nombre del dispositivo o el dominio DNS cuando estableció la configuración del dispositivo anteriormente y no quiere usar sus propios certificados.

    No es necesario realizar ninguna configuración en esta página. Solo tiene que comprobar que el estado de todos los certificados aparece como válido en esta página.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Ya está listo para configurar el cifrado en reposo con los certificados de dispositivo existentes.

  3. Siga los restantes pasos solo si ha cambiado el nombre o el dominio DNS del dispositivo. En estos casos, el estado de los certificados del dispositivo será No válido. Esto se debe a que el nombre del dispositivo y el dominio DNS de los valores subject name y subject alternative de los certificados no están actualizados.

    Puede seleccionar un certificado para ver los detalles de estado.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Si ha cambiado el nombre del dispositivo o el dominio DNS del dispositivo y no proporciona nuevos certificados, se bloqueará la activación del dispositivo. Para usar un nuevo conjunto de certificados en el dispositivo, elija una de las siguientes opciones:

    • Generación de todos los certificados del dispositivo. Seleccione esta opción y realice los pasos que se indican en Generación de certificados de dispositivo si tiene previsto usar certificados de dispositivo generados automáticamente y necesita generar nuevos certificados de dispositivo. Solo debe usar estos certificados de dispositivo para pruebas, no con cargas de trabajo de producción.

    • Aportación de sus propios certificados. Seleccione esta opción y realice los pasos que se indican en Aportación de sus propios certificados, si desea usar sus propios certificados de punto de conexión firmados y las cadenas de firma correspondientes. Se recomienda que siempre aporte sus propios certificados para cargas de trabajo de producción.

    • Puede optar por aportar algunos de sus propios certificados y generar algunos certificados de dispositivo. La opción Generar todos los certificados del dispositivo solo regenera los certificados de dispositivo.

  5. Cuando tenga un conjunto completo de certificados válidos para el dispositivo, seleccione <Back to Get started (Volver a empezar). Ya puede pasar a configurar el cifrado en reposo.

Generación de certificados de dispositivo

Siga estos pasos para generar certificados de dispositivo.

Siga estos pasos para volver a generar y descargar los certificados de dispositivo de Azure Stack Edge Pro 2:

  1. En la interfaz de usuario local del dispositivo, vaya a Configuración > Certificados. Seleccione Generar certificados.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. En Generar certificados del dispositivo, seleccione Generar.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Se generan y aplican los certificados de dispositivo. La generación y aplicación de los certificados tarda unos minutos.

    Importante

    Mientras la operación de generación de certificados está en curso, no aporte sus propios certificados e intente agregarlos a través de la opción + Agregar certificado.

    Recibirá una notificación cuando la operación se completa correctamente. Para evitar posibles problemas de caché, reinicie el explorador.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Una vez generados los certificados:

    • Asegúrese de que el estado de todos los certificados se muestra como Válido.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Puede seleccionar un nombre de certificado específico y ver los detalles de dicho certificado.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Ya está rellenada la columna Descarga. Esta columna contiene vínculos para descargar los certificados regenerados.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Seleccione el vínculo de descarga de un certificado y, cuando se le pida, guarde el certificado.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Repita este proceso para todos los certificados que desee descargar.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Los certificados generados por el dispositivo se guardan como certificados DER con el siguiente formato de nombre:

    <Device name>_<Endpoint name>.cer. Estos certificados contienen la clave pública para los certificados correspondientes instalados en el dispositivo.

Deberá instalar estos certificados en el sistema cliente que usa para acceder a los puntos de conexión en el dispositivo Azure Stack Edge. Estos certificados establecen confianza entre el cliente y el dispositivo.

Para importar e instalar estos certificados en el cliente que usa para acceder al dispositivo, siga los pasos descritos en Importación de certificados en los clientes que tienen acceso al dispositivo de Azure Stack Edge Pro con GPU.

Si usa el Explorador de Azure Storage, tendrá que instalar los certificados en el cliente en formato PEM y convertir los certificados generados por el dispositivo a formato PEM.

Importante

  • El vínculo de descarga solo está disponible para los certificados generados por el dispositivo y no si aporta sus propios certificados.
  • Puede optar por una combinación de certificados generados por el dispositivo y sus propios certificados, siempre y cuando se cumplan otros requisitos de certificado. Para más información, vaya a Requisitos de certificado.

Aportación de sus propios certificados

Puede aportar sus propios certificados.

Siga estos pasos para cargar sus propios certificados, incluida la cadena de firma.

  1. Para cargar el certificado, en la página Certificado, seleccione + Agregar certificado.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Puede omitir este paso si incluyó todos los certificados en la ruta de acceso del certificado cuando exportó los certificados en formato .pfx. Si no incluyó todos los certificados en la exportación, cargue la cadena de firma y, a continuación, seleccione Validar y agregar. Debe hacerlo antes de cargar los demás certificados.

    En algunos casos, es posible que quiera traer una cadena de firma por sí sola para otros fines, por ejemplo, para conectarse al servidor de actualización para Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Cargue otros certificados. Por ejemplo, puede cargar los certificados de punto de conexión de Blob Storage y Azure Resource Manager.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    También puede cargar el certificado de la interfaz de usuario web local. Después de cargar este certificado, se le pedirá que inicie el explorador y borre la caché. A continuación, tendrá que conectarse a la interfaz de usuario web local del dispositivo.

    Local web UI

    También puede cargar el certificado de nodo.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    La página del certificado debe actualizarse para reflejar los certificados recién agregados. En cualquier momento, puede seleccionar un certificado y ver sus detalles para asegurarse de que coinciden con el certificado que ha cargado.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Nota:

    A excepción de la nube pública de Azure, es necesario que los certificados de la cadena de firma se agreguen antes de la activación de todas las configuraciones de nube (Azure Government o Azure Stack).

Configuración del cifrado en reposo

  1. En el icono Security (Seguridad), seleccione Configure (Configurar) para el cifrado en reposo.

    Nota

    Esta configuración es obligatoria y no podrá activar el dispositivo hasta que la configuración sea correcta.

    En la fábrica, una vez que se ha creado la imagen de los dispositivos, se habilita el cifrado de BitLocker de nivel de volumen. Después de recibir el dispositivo, tiene que configurar el cifrado en reposo. Se volverán a crear el bloque de almacenamiento y los volúmenes, y es posible proporcionar claves de BitLocker para habilitar el cifrado en reposo y, de este modo, crear una segunda capa de cifrado para los datos en reposo.

  2. En el panel Encryption-at-rest (Cifrado en reposo), proporcione una clave codificada en Base 64 de 32 caracteres de longitud. Se trata de una configuración que solo se realiza una vez y esta clave se usa para proteger la clave de cifrado real. Puede optar por generar automáticamente la clave.

    Screenshot of the local web UI

    También puede escribir su propia clave de cifrado ASE-256 bits codificada en Base-64.

    Screenshot of the local web UI

    La clave se guarda en un archivo de claves en la página Cloud details (Detalles de la nube) después de que el dispositivo esté activado.

  3. Seleccione Aplicar. Esta operación tarda varios minutos y el estado de la operación se muestra.

    Screenshot of the

  4. En cuanto el estado se muestre como Completado, el dispositivo estará listo para activarse. Seleccione < Volver a Introducción.

Pasos siguientes

En este tutorial, obtendrá información sobre lo siguiente:

  • Requisitos previos
  • Configuración de certificados para el dispositivo físico
  • Configuración del cifrado en reposo

Para obtener información sobre cómo activar el dispositivo Azure Stack Edge Pro 2, consulte:

Activación del dispositivo Azure Stack Edge Pro 2