자습서: Azure Stack Edge Pro 2에 대한 인증서 구성
이 자습서에서는 로컬 웹 UI를 사용하여 Azure Stack Edge Pro 2에 대한 인증서를 구성하는 방법을 설명합니다.
이 단계에 소요되는 시간은 선택한 특정 옵션 및 사용자 환경에서 인증서 흐름이 설정된 방법에 따라 달라질 수 있습니다.
이 자습서에서는 다음에 대해 알아봅니다.
- 필수 조건
- 물리적 디바이스에 대한 인증서 구성
- 저장 데이터 암호화 구성
필수 조건
Azure Stack Edge Pro 2 디바이스를 구성하고 설정하기 전에 다음 사항을 확인합니다.
Azure Stack Edge Pro 2 설치에서 설명한 대로 물리적 디바이스가 설치되었습니다.
사용자 고유의 인증서를 가져오려는 경우:
- 서명 체인 인증서를 포함하는 적절한 형식으로 인증서를 준비해야 합니다.
- 디바이스가 Azure Government에 배포되고 Azure 퍼블릭 클라우드에 배포되지 않은 경우 디바이스를 활성화하려면 서명 체인 인증서가 필요합니다.
인증서에 대한 자세한 내용은 Azure Stack Edge 디바이스에서 업로드할 인증서 준비를 참조하세요.
디바이스에 대한 인증서 구성
디바이스의 로컬 웹 UI에서 인증서 페이지를 엽니다. 이 페이지에는 디바이스에서 사용할 수 있는 인증서가 표시됩니다. 디바이스는 디바이스 인증서라고도 하는 자체 서명된 인증서와 함께 배송됩니다. 고유한 인증서를 가져올 수도 있습니다.
이전에 디바이스 설정을 구성할 때 디바이스 이름 또는 DNS 도메인을 변경하지 않았고 사용자 고유의 인증서를 사용하지 않으려는 경우에만 이 단계를 수행합니다.
이 페이지에서 어떤 구성도 수행할 필요가 없습니다. 이 페이지에서 모든 인증서의 상태가 유효한 것으로 표시되는지 확인하기만 하면 됩니다.
기존 디바이스 인증서를 사용하여 미사용 암호화를 구성할 준비가 되었습니다.
디바이스 이름 또는 디바이스의 DNS 도메인을 변경한 경우에만 나머지 단계를 수행합니다. 이러한 경우 디바이스 인증서의 상태는 유효하지 않음입니다. 이는 인증서의
subject name
및subject alternative
설정에 있는 디바이스 이름과 DNS 도메인이 오래되었기 때문입니다.인증서를 선택하여 상태 세부 정보를 볼 수 있습니다.
디바이스 이름 또는 디바이스의 DNS 도메인을 변경했고 새 인증서를 제공하지 않는 경우 디바이스 활성화가 차단됩니다. 디바이스에서 새 인증서 세트를 사용하려면 다음 옵션 중 하나를 선택합니다.
모든 디바이스 인증서를 생성합니다. 자동으로 생성된 디바이스 인증서를 사용하고 새 디바이스 인증서를 생성해야 하는 경우 이 옵션을 선택한 다음, 디바이스 인증서 생성의 단계를 완료합니다. 이러한 디바이스 인증서는 프로덕션 워크로드가 아닌 테스트용으로만 사용해야 합니다.
사용자 고유의 인증서를 가져옵니다. 자체 서명된 엔드포인트 인증서와 해당 서명 체인을 사용하려는 경우 이 옵션을 선택한 다음, 고유한 인증서 가져오기의 단계를 수행합니다. 프로덕션 워크로드에 대한 자체 인증서를 항상 가져오는 것이 좋습니다.
고유한 인증서 중 일부를 가져오고 일부 디바이스 인증서를 생성하도록 선택할 수 있습니다. 모든 디바이스 인증서 생성 옵션은 디바이스 인증서만 다시 생성합니다.
디바이스에 유효한 인증서의 전체 세트가 있으면 < 시작으로 돌아가기를 선택합니다. 이제 미사용 암호화 구성을 진행할 수 있습니다.
디바이스 인증서 생성
디바이스 인증서를 생성하려면 다음 단계를 수행합니다.
다음 단계를 사용하여 Azure Stack Edge Pro 2 디바이스 인증서를 다시 생성하고 다운로드합니다.
디바이스의 로컬 UI에서 구성 > 인증서로 차례로 이동합니다. 인증서 생성을 선택합니다.
디바이스 인증서 생성에서 생성을 선택합니다.
이제 디바이스 인증서가 생성되어 적용됩니다. 인증서를 생성하고 적용하는 데 몇 분 정도 걸립니다.
Important
인증서 생성 작업이 진행되는 동안에는 사용자 고유의 인증서를 가져오거나 + 인증서 추가 옵션을 통해 인증서를 추가하려고 시도하지 마십시오.
작업이 성공적으로 완료되면 알림이 표시됩니다. 잠재적 캐시 문제를 방지하려면 브라우저를 다시 시작합니다.
인증서가 생성된 후:
모든 인증서의 상태가 유효함으로 표시되는지 확인합니다.
특정 인증서 이름을 선택하고 인증서 세부 정보를 볼 수 있습니다.
이제 다운로드 열이 채워집니다. 이 열에는 다시 생성된 인증서를 다운로드할 수 있는 링크가 있습니다.
인증서에 대한 다운로드 링크를 선택하고 메시지가 표시되면 인증서를 저장합니다.
다운로드하려는 모든 인증서에 대해 이 프로세스를 반복합니다.
디바이스에서 생성된 인증서는 다음과 같은 이름 형식의 DER 인증서로 저장됩니다.
<Device name>_<Endpoint name>.cer
. 이러한 인증서에는 디바이스에 설치된 해당 인증서에 대한 공개 키가 포함되어 있습니다.
이러한 인증서는 Azure Stack Edge 디바이스의 엔드포인트에 액세스하는 데 사용하는 클라이언트 시스템에 설치해야 합니다. 이러한 인증서는 클라이언트와 디바이스 간에 트러스트를 설정합니다.
디바이스에 액세스하는 데 사용하는 클라이언트에서 이러한 인증서를 가져와서 설치하려면 Azure Stack Edge Pro GPU 디바이스에 액세스하는 클라이언트에서 인증서 가져오기의 단계를 수행합니다.
Azure Storage Explorer를 사용하는 경우 인증서를 PEM 형식으로 클라이언트에 설치하고 디바이스에서 생성된 인증서를 PEM 형식으로 변환해야 합니다.
Important
- 다운로드 링크는 디바이스에서 생성된 인증서에 대해서만 사용할 수 있으며 사용자 고유의 인증서를 가져오는 경우에는 사용할 수 없습니다.
- 다른 인증서 요구 사항이 충족되는 한 디바이스에서 생성된 인증서를 혼합하고 사용자 고유의 인증서를 가져올 수 있습니다. 자세한 내용은 인증서 요구 사항으로 이동하세요.
사용자 고유의 인증서 가져오기
사용자 고유의 인증서를 가져올 수 있습니다.
- 먼저 Azure Stack Edge 디바이스에서 사용할 수 있는 인증서 유형을 이해합니다.
- 다음으로 각 인증서 유형에 대한 인증서 요구 사항을 검토합니다.
- 그런 다음, Azure PowerShell 통해 인증서를 만들거나 준비 검사기 도구를 통해 인증서를 만들 수 있습니다.
- 마지막으로 디바이스에 업로드할 수 있도록 인증서를 적절한 형식으로 변환합니다.
서명 체인을 포함한 사용자 고유의 인증서를 업로드하려면 다음 단계를 수행합니다.
인증서를 업로드하려면 인증서 페이지에서 + 인증서 추가를 선택합니다.
인증서를 .pfx 형식으로 내보낼 때 모든 인증서를 인증서 경로에 포함한 경우 이 단계를 건너뛸 수 있습니다. 모든 인증서를 내보내기에 포함하지 않은 경우 서명 체인을 업로드한 다음, 유효성 검사 및 추가를 선택합니다. 이 작업은 다른 인증서를 업로드하기 전에 수행해야 합니다.
경우에 따라 다른 용도(예: WSUS(Windows Server Update Services)용 업데이트 서버에 연결)로만 서명 체인을 가져오는 것이 좋습니다.
다른 인증서를 업로드합니다. 예를 들어 Azure Resource Manager 및 Blob Storage 엔드포인트 인증서를 업로드할 수 있습니다.
로컬 웹 UI 인증서를 업로드할 수도 있습니다. 이 인증서가 업로드되면 브라우저를 시작하고 캐시를 지워야 합니다. 그런 다음, 디바이스 로컬 웹 UI에 연결해야 합니다.
노드 인증서를 업로드할 수도 있습니다.
인증서 페이지가 새로 추가된 인증서를 반영하도록 업데이트됩니다. 언제든지 인증서를 선택하고 세부 정보를 검토하여 업로드한 인증서와 일치하는지 확인할 수 있습니다.
참고 항목
Azure 퍼블릭 클라우드를 제외하고, 모든 클라우드 구성(Azure Government 또는 Azure Stack)을 활성화하기 전에 서명 체인 인증서를 가져와야 합니다.
저장 데이터 암호화 구성
보안 타일에서 저장 데이터 암호화에 대한 구성을 선택합니다.
참고 항목
이 설정은 필수이며 성공적으로 구성될 때까지 디바이스를 활성화할 수 없습니다.
공장에서 디바이스를 이미지로 만들면 볼륨 수준 BitLocker 암호화가 사용하도록 설정됩니다. 디바이스를 받은 후에는 저장 데이터 암호화를 구성해야 합니다. 스토리지 풀 및 볼륨이 다시 만들어지고 저장 데이터 암호화를 사용하도록 BitLocker 키를 제공할 수 있으므로 미사용 데이터에 대한 두 번째 암호화 계층을 만들 수 있습니다.
저장 데이터 암호화 창에서 32자 길이의 Base-64 인코딩 키를 제공합니다. 이 구성은 일회성 구성이며 이 키는 실제 암호화 키를 보호하는 데 사용됩니다. 이 키를 자동으로 생성하도록 선택할 수 있습니다.
사용자 고유의 Base-64로 인코딩된 ASE-256비트 암호화 키를 입력할 수도 있습니다.
키는 디바이스가 활성화된 후 클라우드 세부 정보 페이지의 키 파일에 저장됩니다.
적용을 선택합니다. 이 작업은 몇 분 정도 걸리며 작업 상태가 표시됩니다.
상태가 완료됨으로 표시되면 이제 디바이스를 활성화할 준비가 된 것입니다. < 시작으로 돌아가기를 선택합니다.
다음 단계
이 자습서에서는 다음에 대해 알아봅니다.
- 필수 조건
- 물리적 디바이스에 대한 인증서 구성
- 저장 데이터 암호화 구성
Azure Stack Edge Pro 2 디바이스를 활성화하는 방법을 알아보려면 다음을 참조하세요.