Condividi tramite

Esercitazione: Configurare i certificati per Azure Stack Edge Pro 2

  • Articolo

Questa esercitazione descrive come configurare i certificati per Azure Stack Edge Pro 2 usando l'interfaccia utente Web locale.

Il tempo impiegato per questo passaggio può variare in base all'opzione specifica scelta e al modo in cui il flusso del certificato viene stabilito nell'ambiente in uso.

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la crittografia dei dati inattivi

Prerequisiti

Prima di configurare e configurare il dispositivo Azure Stack Edge Pro 2, assicurarsi che:

  • Il dispositivo fisico è stato installato come descritto in Installare Azure Stack Edge Pro 2.

  • Se si prevede di usare certificati propri:

    • È necessario che i certificati siano pronti nel formato appropriato, incluso il certificato della catena di firma.
    • Se il dispositivo viene distribuito in Azure per enti pubblici e non distribuito nel cloud pubblico di Azure, è necessario un certificato della catena di firma prima di poter attivare il dispositivo.

    Per informazioni dettagliate sui certificati, vedere Preparare i certificati da caricare nel dispositivo Azure Stack Edge.

Configurare i certificati per il dispositivo

  1. Aprire la pagina Certificati nell'interfaccia utente Web locale del dispositivo. In questa pagina verranno visualizzati i certificati disponibili nel dispositivo. Il dispositivo viene fornito con certificati autofirmati, detti anche certificati del dispositivo. È anche possibile usare certificati personalizzati.

  2. Seguire questo passaggio solo se non è stato modificato il nome del dispositivo o il dominio DNS quando sono state configurate le impostazioni del dispositivo in precedenza e non si vogliono usare i propri certificati.

    Non è necessario eseguire alcuna configurazione in questa pagina. È sufficiente verificare che lo stato di tutti i certificati sia valido in questa pagina.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    È possibile configurare la crittografia dei dati inattivi con i certificati del dispositivo esistenti.

  3. Seguire i passaggi rimanenti solo se è stato modificato il nome del dispositivo o il dominio DNS per il dispositivo. In questi casi, lo stato dei certificati del dispositivo non sarà valido. Ciò è dovuto al fatto che il nome del dispositivo e il dominio DNS nei certificati e subject name subject alternative le impostazioni non sono aggiornati.

    È possibile selezionare un certificato per visualizzare i dettagli dello stato.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Se è stato modificato il nome del dispositivo o il dominio DNS del dispositivo e non si forniscono nuovi certificati, l'attivazione del dispositivo verrà bloccata. Per usare un nuovo set di certificati nel dispositivo, scegliere una delle opzioni seguenti:

    • Generare tutti i certificati del dispositivo. Selezionare questa opzione e quindi completare i passaggi descritti in Generare i certificati del dispositivo, se si prevede di usare i certificati dispositivo generati automaticamente ed è necessario generare nuovi certificati del dispositivo. È consigliabile usare questi certificati del dispositivo solo per i test, non con i carichi di lavoro di produzione.

    • Caricare certificati personali. Selezionare questa opzione e quindi eseguire i passaggi descritti in Bring your own certificates (Bring your own certificates), se si vogliono usare i certificati dell'endpoint firmati e le catene di firma corrispondenti. È consigliabile caricare sempre i certificati personali per i carichi di lavoro di produzione.

    • È possibile scegliere di portare alcuni certificati personalizzati e generare alcuni certificati del dispositivo. L'opzione Genera tutti i certificati del dispositivo rigenera solo i certificati del dispositivo.

  5. Quando si dispone di un set completo di certificati validi per il dispositivo, selezionare < Torna a Attività iniziali. È ora possibile procedere con la configurazione della crittografia dei dati inattivi.

Generare i certificati del dispositivo

Per generare i certificati del dispositivo, seguire questa procedura.

Usare questi passaggi per rigenerare e scaricare i certificati del dispositivo Azure Stack Edge Pro 2:

  1. Nell'interfaccia utente locale del dispositivo passare a Certificati di configurazione>. Selezionare Genera certificati.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. In Genera certificati selezionare Genera.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    I certificati del dispositivo vengono ora generati e applicati. Sono necessari alcuni minuti per generare e applicare i certificati.

    Importante

    Mentre è in corso l'operazione di generazione dei certificati, non caricare i certificati personali o provare ad aggiungerli tramite l'opzione + Aggiungi certificato.

    Si riceve una notifica quando l'operazione è stata completata correttamente. Per evitare potenziali problemi di cache, riavviare il browser.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Dopo la generazione dei certificati:

    • Assicurarsi che lo stato di tutti i certificati sia visualizzato come Valido.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • È possibile selezionare un nome di certificato specifico e visualizzare i dettagli del certificato.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • La colonna relativa al download è ora popolata. Questa colonna contiene collegamenti per scaricare i certificati generati nuovamente.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Selezionare il collegamento per il download di un certificato e, quando richiesto, salvare il certificato.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Ripetere questo processo per tutti i certificati che si desidera scaricare.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    I certificati generati dal dispositivo vengono salvati come certificati DER con il formato del nome seguente:

    <Device name>_<Endpoint name>.cer. Questi certificati contengono la chiave pubblica per i certificati corrispondenti installati nel dispositivo.

È necessario installare questi certificati nel sistema client usato per accedere agli endpoint nel dispositivo Azure Stack Edge. Questi certificati stabiliscono una relazione di trust tra il client e il dispositivo.

Per importare e installare questi certificati nel client usato per accedere al dispositivo, seguire la procedura descritta in Importare i certificati nei client che accedono al dispositivo AZURE Stack Edge Pro GPU.

Se si usa Archiviazione di Azure Explorer, è necessario installare i certificati nel client in formato PEM e sarà necessario convertire i certificati generati dal dispositivo in formato PEM.

Importante

  • Il collegamento per il download è disponibile solo per i certificati generati dal dispositivo e non per i certificati personali.
  • È possibile decidere di usare una combinazione di certificati generati dal dispositivo e certificati personali, purché vengano soddisfatti altri requisiti per i certificati. Per altre informazioni, vedere Requisiti per i certificati.

Caricare i certificati personali

È possibile usare certificati personalizzati.

Seguire questa procedura per caricare i propri certificati, inclusa la catena di firma.

  1. Per caricare il certificato, nella pagina Certificati selezionare + Aggiungi certificato.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. È possibile ignorare questo passaggio se sono stati inclusi tutti i certificati nel percorso del certificato quando sono stati esportati certificati in formato pfx. Se non sono stati inclusi tutti i certificati nell'esportazione, caricare la catena di firma e quindi selezionare Convalida e aggiungi. È necessario eseguire questa operazione prima di caricare gli altri certificati.

    In alcuni casi, può essere necessario portare una catena di firma da sola per altri scopi, ad esempio per connettersi al server di aggiornamento per Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Caricare altri certificati. Ad esempio, è possibile caricare i certificati di Azure Resource Manager e dell'endpoint di archiviazione BLOB.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    È anche possibile caricare il certificato dell'interfaccia utente Web locale. Dopo aver caricato questo certificato, sarà necessario avviare il browser e cancellare la cache. Sarà quindi necessario connettersi all'interfaccia utente Web locale del dispositivo.

    Local web UI

    È anche possibile caricare il certificato del nodo.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    La pagina Certificati viene aggiornata per riflettere i nuovi certificati aggiunti. In qualsiasi momento, è possibile selezionare un certificato e visualizzare i dettagli per verificare che corrispondano al certificato caricato.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Nota

    Ad eccezione del cloud pubblico di Azure, i certificati della catena di firma devono essere caricati prima dell'attivazione per tutte le configurazioni del cloud (Azure per enti pubblici o Azure Stack).

Configurare la crittografia dei dati inattivi

  1. Nel riquadro Sicurezza selezionare Configura per la crittografia dei dati inattivi.

    Nota

    Si tratta di un'impostazione obbligatoria e, finché non viene configurata correttamente, non è possibile attivare il dispositivo.

    In fase di produzione del dispositivo, dopo la creazione delle immagini dei dispositivi, la crittografia BitLocker a livello di volume è abilitata. Dopo aver ricevuto il dispositivo, è necessario configurare la crittografia dei dati inattivi. Il pool di archiviazione e i relativi volumi vengono ricreati ed è possibile fornire le chiavi BitLocker per abilitare la crittografia dei dati inattivi, creando così un secondo livello di crittografia per i dati inattivi.

  2. Nel riquadro Crittografia dati inattivi specificare una chiave con codifica Base 64 di 32 caratteri. Questa configurazione viene eseguita una volta sola e questa chiave viene usata per proteggere la chiave di crittografia effettiva. È possibile scegliere di generare automaticamente questa chiave.

    Screenshot of the local web UI

    È anche possibile immettere la propria chiave di crittografia A edizione Standard a 256 bit con codifica Base 64.

    Screenshot of the local web UI

    La chiave viene salvata in un file nella pagina Dettagli cloud dopo l'attivazione del dispositivo.

  3. Selezionare Applica. Questa operazione richiede alcuni minuti e viene visualizzato lo stato dell'operazione.

    Screenshot of the

  4. Dopo che lo stato è Completato, il dispositivo è ora pronto per l'attivazione. Selezionare < Torna a Attività iniziali.

Passaggi successivi

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la crittografia dei dati inattivi

Per informazioni su come attivare il dispositivo Azure Stack Edge Pro 2, vedere:

Attivare il dispositivo Azure Stack Edge Pro 2