Condividi tramite

Esercitazione: Configurare i certificati, la VPN e la crittografia per Azure Stack Edge Mini R

  • Articolo

Questa esercitazione illustra come configurare i certificati, la VPN e la crittografia dei dati inattivi per il dispositivo Azure Stack Edge Mini R usando l'interfaccia utente Web locale.

Il tempo impiegato per questo passaggio può variare in base all'opzione specifica scelta e al modo in cui il flusso del certificato viene stabilito nell'ambiente in uso.

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la VPN
  • Configurare la crittografia dei dati inattivi

Prerequisiti

Prima di configurare il dispositivo Azure Stack Edge Mini R, assicurarsi di:

  • Aver installato il dispositivo fisico come descritto in Installare Azure Stack Edge Mini R.

  • Se si prevede di usare certificati propri:

    • È necessario che i certificati siano pronti nel formato appropriato, incluso il certificato della catena di firma. Per informazioni dettagliate sul certificato, vedere Gestire i certificati

    • Se il dispositivo è distribuito nel cloud di Azure per enti pubblici o Azure Secret per enti pubblici o Azure Top Secret per enti pubblici e non è distribuito nel cloud pubblico di Azure, è necessario un certificato della catena di firma per attivare il dispositivo. Per informazioni dettagliate sul certificato, vedere Gestire i certificati.

Configurare i certificati per il dispositivo

  1. I certificati possono essere configurati nella pagina Certificati. A seconda che sia stato modificato il nome del dispositivo o il dominio DNS nella pagina Dispositivo, è possibile scegliere una delle opzioni seguenti per i certificati.

    • Se il nome dispositivo predefinito o il dominio DNS predefinito non è stato modificato nel passaggio precedente e non si vogliono caricare certificati personali, è possibile ignorare questo passaggio e procedere con il passaggio successivo. Il dispositivo ha generato automaticamente certificati autofirmati per iniziare.

    • Se è stato modificato il nome del dispositivo o il dominio DNS, si noterà che lo stato dei certificati viene visualizzato come Non valido.

      Pagina

      Selezionare un certificato per visualizzare i dettagli dello stato.

      Lo stato del certificato è Non valido perché i certificati non riflettono il nome dispositivo e il dominio DNS aggiornati (usati nel nome del soggetto e nel nome alternativo del soggetto). Per attivare correttamente il dispositivo, è possibile caricare certificati di endpoint firmati personali e le catene di firma corrispondenti. È necessario prima di tutto aggiungere la catena di firma e quindi caricare i certificati degli endpoint. Per altre informazioni, vedere Caricare i certificati personali.

    • Se è stato modificato il nome dispositivo o il dominio DNS e non si caricano i certificati personali, l'attivazione verrà bloccata.

Caricare i certificati personali

La catena di firma è già stata aggiunta in questo dispositivo in un passaggio precedente. È ora possibile caricare i certificati di endpoint, il certificato del nodo, il certificato dell'interfaccia utente locale e il certificato della VPN. Seguire questa procedura per aggiungere i certificati personali.

  1. Per caricare il certificato, nella pagina Certificati selezionare + Aggiungi certificato.

    Pagina

  2. A questo punto si possono caricare altri certificati. Ad esempio, è possibile caricare i certificati di Azure Resource Manager e dell'endpoint di archiviazione BLOB.

    Pagina

  3. È anche possibile caricare il certificato dell'interfaccia utente Web locale. Dopo aver caricato questo certificato, verrà richiesto di riavviare il browser e cancellare la cache. Sarà quindi necessario connettersi all'interfaccia utente Web locale del dispositivo.

    Pagina

  4. È anche possibile caricare il certificato del nodo.

    Pagina

  5. Infine, è possibile caricare il certificato della VPN.

    Pagina

  6. In qualsiasi momento, è possibile selezionare un certificato e visualizzare i dettagli per verificare che corrispondano al certificato caricato.

    Pagina

    La pagina Certificati viene aggiornata per riflettere i nuovi certificati aggiunti.

    Pagina

    Nota

    Ad eccezione del cloud pubblico di Azure, i certificati della catena di firma devono essere caricati prima dell'attivazione per tutte le configurazioni cloud (Azure per enti pubblici o hub di Azure Stack).

Configurare la VPN

  1. Nel riquadro Sicurezza selezionare Configura per la VPN.

    Per configurare la VPN, occorre prima verificare che siano state eseguite tutte le operazioni di configurazione necessarie in Azure. Per informazioni dettagliate, vedere Configurare la VPN tramite PowerShell per il dispositivo Azure Stack Edge Mini R. Al termine, è possibile eseguire la configurazione nell'interfaccia utente locale.

    1. Nella pagina della VPN selezionare Configura. Configurare l'interfaccia utente locale VPN 1

    2. Nel pannello Configura VPN:

      1. Specificare la rubrica telefonica come input.
      2. Specificare il file JSON dell'intervallo IP del data center di Azure come input. Scaricare questo file da https://www.microsoft.com/download/details.aspx?id=56519.
      3. Selezionare eastus come area.
      4. Selezionare Applica.

      Configurazione della VPN nell'interfaccia utente locale - 2

    3. Configurare gli intervalli di indirizzi IP a cui accedere solo tramite VPN.

      • In Intervalli di indirizzi IP accessibili solo tramite VPN selezionare Configura.
      • Immettere l'intervallo IPv4 della VNET scelto per la rete virtuale di Azure.
      • Selezionare Applica.

      Configurazione della VPN nell'interfaccia utente locale - 3

Il dispositivo è ora pronto per essere crittografato. Configurare la crittografia dei dati inattivi.

Abilitare la crittografia

  1. Nel riquadro Sicurezza selezionare Configura per la crittografia dei dati inattivi. Si tratta di un'impostazione obbligatoria e, finché non viene configurata correttamente, non è possibile attivare il dispositivo.

    Pagina

    In fase di produzione del dispositivo, dopo la creazione delle immagini dei dispositivi, la crittografia BitLocker a livello di volume è abilitata. Dopo aver ricevuto il dispositivo, è necessario configurare la crittografia dei dati inattivi. Il pool di archiviazione e i relativi volumi vengono ricreati ed è possibile fornire le chiavi BitLocker per abilitare la crittografia dei dati inattivi, creando così un secondo livello di crittografia per i dati inattivi.

  2. Nel riquadro Crittografia dati inattivi immettere una chiave con codifica Base 64 (AES a 256 bit) di 32 caratteri. Questa configurazione viene eseguita una volta sola e questa chiave viene usata per proteggere la chiave di crittografia effettiva.

    Pagina

    È anche possibile scegliere di generare automaticamente questa chiave.

    Pagina

  3. Selezionare Applica. Questa operazione richiede diversi minuti e il relativo stato viene visualizzato nel riquadro Sicurezza.

    Pagina

  4. Quando lo stato diventa Completato, tornare a Attività iniziali.

Il dispositivo è ora pronto per essere attivato.

Passaggi successivi

Questa esercitazione descrive quanto segue:

  • Prerequisiti
  • Configurare i certificati per il dispositivo fisico
  • Configurare la VPN
  • Configurare la crittografia dei dati inattivi

Per informazioni su come attivare il dispositivo Azure Stack Edge Mini R, vedere:

Attivare il dispositivo Azure Stack Edge Mini R