Бөлісу құралы:

Руководство. Настройка сертификатов для Azure Stack Edge Pro R

  • Мақала

В этом учебнике объясняется, как настроить сертификаты для устройства Azure Stack Edge Pro R, используя локальный пользовательский веб-интерфейс.

Необходимое время на выполнение этого шага зависит от выбранного варианта и существующего потока управления сертификатами в вашей среде.

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства
  • Настройка VPN
  • Настройка шифрования неактивных данных

Необходимые компоненты

Перед настройкой устройства Azure Stack Edge Pro R проверьте следующее:

  • Вы установили физическое устройство, как описано в статье Установка Azure Stack Edge Pro R.
  • Если вы планируете принести собственные сертификаты:
    • эти сертификаты должны быть подготовлены в соответствующем формате, включая сертификат цепочки подписывания. Дополнительные сведения о сертификате см. в статье Управление сертификатами.

Настройка сертификатов для устройства

  1. Сертификаты настраиваются на странице Сертификаты. В зависимости от того, изменялось ли имя устройства или домен DNS на странице Устройство, вам будут доступны для выбора следующие варианты применения сертификатов.

    • Если вы на предыдущем шаге не изменяли имя устройства или домен DNS, просто пропустите этот шаг и переходите к следующему. Для начала работы устройство автоматически создает самозаверяющие сертификаты.

    • Если вы изменили имя устройства или домен DNS, состояние активации здесь будет иметь значение Недопустимо.

      Local web UI

      Выберите сертификат, чтобы просмотреть сведения о его состоянии.

      Local web UI

      Это связано с тем, что сертификаты не учитывают обновленных имен устройства или домена DNS (которые используются в имени субъекта и альтернативном имени субъекта). Для успешной активации устройства можно применить собственные подписанные сертификаты конечной точки и соответствующие цепочки подписывания. Для этого сначала добавьте цепочку подписывания, а затем передайте сертификаты конечной точки. Дополнительные сведения см. в разделе Использование собственных сертификатов.

    • Если вы изменили имя устройства или домен DNS, но не предоставили собственные сертификаты, активация будет невозможна.

Использование собственных сертификатов

Следующая процедура позволяет добавить собственные сертификаты, включая цепочку подписывания.

  1. Чтобы отправить сертификат, выберите на странице Сертификат действие + Добавить сертификат.

    Local web UI

  2. Отправьте нужную цепочку подписывания и щелкните Проверить и добавить.

    Local web UI

  3. Теперь все готово к отправке сертификатов. Например, вы можете отправить сертификаты конечных точек Azure Resource Manager и (или) Хранилища BLOB-объектов.

    Local web UI

    Кроме того, вы можете отправить сертификаты локального пользовательского веб-интерфейса. Когда вы завершите отправку сертификатов, вам будет предложено перезапустить браузер и очистить кэш. После этого войдите в локальный пользовательский веб-интерфейс.

    Local web UI

    Кроме того, вы можете отправить сертификат узла.

    Local web UI

    Затем можно отправить VPN-сертификат.

    Local web UI

    В любое время вы можете выбрать сертификат, просмотреть сведения о нем и убедиться, что они соответствуют отправленному сертификату.

    Теперь на странице "Сертификаты" должны появиться все добавленные вами сертификаты.

    Local web UI

    Примечание.

    Во всех облачных конфигурациях, кроме общедоступного облака Azure (то есть в Azure для государственных организаций или Azure Stack), сертификаты цепочки подписывания нужно предоставить до активации.

  4. Нажмите кнопку < "Вернуться к началу работы".

Настройка VPN

  1. На плитке Безопасность выберите Настроить для VPN.

    Local web UI

    Чтобы настроить VPN, сначала убедитесь, что в Azure выполнены все необходимые настройки. Дополнительные сведения см. в статьях о настройке необходимых компонентов и настройке ресурсов Azure для VPN. После этого можно выполнить настройку в локальном пользовательском интерфейсе.

    1. На странице VPN выберите элемент Configure (Настроить).
    2. В колонке Настройка VPN выполните следующие действия:

    • Включите параметры VPN.

    • Укажите общий секрет VPN. Это общий ключ, предоставленный при создании объекта VPN-подключения Azure.

    • Укажите IP-адрес шлюза VPN. Это IP-адрес шлюза локальной сети Azure.

    • Для параметра PFS group (Группа PFS) выберите значение None (Нет).

    • Для параметра DH group (Группа DH) выберите значение Group2.

    • Для параметра IPsec integrity method (Метод проверки целостности IPsec) выберите значение SHA256.

    • Для параметра IPseccipher transform constants (Константы преобразования IPseccipher) выберите значение GCMAES256.

    • Для параметра IPsec authentication transform constants (Константы преобразования проверки подлинности IPsec) выберите значение GCMAES256.

    • Для параметра IKE encryption method (Метод шифрования IKE) выберите значение AES256.

    • Нажмите Применить.

      Configure local UI 2

    1. Чтобы отправить файл конфигурации VPN-маршрута, выберите Отправить.

      Configure local UI 3

      • Перейдите в JSON-файл конфигурации VPN, загруженный в локальную систему на предыдущем шаге.

      • Выберите регион Azure, связанный с устройством, виртуальной сетью и шлюзами.

      • Нажмите Применить.

        Configure local UI 4

    2. Чтобы добавить клиентские маршруты, настройте диапазоны IP-адресов для доступа только с помощью VPN.

      • В разделе IP address ranges to be accessed using VPN only (Доступ к диапазонам IP-адресов только с помощью VPN), выберите элемент Configure (Настроить).

      • Укажите допустимый диапазон IPv4 и выберите Add (Добавить). Повторите шаги, чтобы добавить другие диапазоны.

      • Нажмите Применить.

        Configure local UI 5

  2. Нажмите кнопку < "Вернуться к началу работы".

Настройка шифрования неактивных данных

  1. На плитке Security (Безопасность) выберите действие Configure (Настроить) для шифрования неактивных данных. Это обязательный параметр. Вы сможете активировать устройство только после правильной настройки этого параметра.

    При производстве после развертывания образа на устройстве активируется шифрование BitLocker на уровне тома. После получения устройства необходимо настроить шифрование неактивных данных. Пул носителей и тома создаются повторно, и вы можете предоставить ключи BitLocker, чтобы включить шифрование неактивных данных и создать второй уровень шифрования для ваших неактивных данных.

  2. В области Encryption-at-rest (Шифрование неактивных данных) укажите ключ в кодировке Base-64 длиной 32 символа. Эта настройка выполняется однократно, а ключ используется для защиты фактического ключа шифрования. Вы можете автоматически создать этот ключ или ввести его.

    Local web UI

    Этот ключ сохраняется в файле ключа на странице Cloud details (Сведения об облаке) после активации устройства.

  3. Нажмите Применить. Эта операция занимает несколько минут, а состояние операции отображается на плитке Security (Безопасность).

    Local web UI

  4. После отображения состояния "Завершено" нажмите кнопку < "Вернуться к началу работы".

Теперь устройство готово к активации.

Следующие шаги

В этом руководстве вы рассмотрите следующее:

  • Необходимые компоненты
  • Настройка сертификатов для физического устройства
  • Настройка VPN
  • Настройка шифрования неактивных данных

Сведения об активировании устройства Azure Stack Edge Pro R см. в следующей статье:

Активация устройства Azure Stack Edge Pro R