Delen via


Zelfstudie: Certificaten configureren voor uw Azure Stack Edge Pro 2

In deze zelfstudie wordt beschreven hoe u certificaten voor uw Azure Stack Edge Pro 2 kunt configureren met behulp van de lokale webgebruikersinterface.

De tijd die nodig is voor deze stap kan variëren afhankelijk van de specifieke optie die u kiest en hoe de certificaatstroom is opgezet in uw omgeving.

In deze zelfstudie komen deze onderwerpen aan bod:

  • Vereisten
  • Certificaten voor het fysieke apparaat configureren
  • Configureer versleuteling 'at rest'

Vereisten

Voordat u uw Azure Stack Edge Pro 2-apparaat configureert en instelt, moet u ervoor zorgen dat:

  • U hebt het fysieke apparaat geïnstalleerd zoals beschreven in Azure Stack Edge Pro 2 installeren.

  • Als u van plan bent uw eigen certificaten te gebruiken:

    • Zorg ervoor dat uw certificaten bij de hand hebt in de juiste indeling, inclusief het certificaat van de ondertekeningsketen.
    • Als uw apparaat is geïmplementeerd in Azure Government en niet is geïmplementeerd in de openbare Azure-cloud, is een certificaat voor ondertekeningsketen vereist voordat u uw apparaat kunt activeren.

    Voor meer informatie over certificaten gaat u naar Certificaten voorbereiden om te uploaden op uw Azure Stack Edge-apparaat.

Certificaten configureren voor apparaat

  1. Open de pagina Certificaten in de lokale webgebruikersinterface van uw apparaat. Op deze pagina worden de certificaten weergegeven die beschikbaar zijn op uw apparaat. Het apparaat wordt geleverd met zelfondertekende certificaten, ook wel de apparaatcertificaten genoemd. U kunt ook uw eigen certificaten meenemen.

  2. Volg deze stap alleen als u de apparaatnaam of het DNS-domein niet hebt gewijzigd toen u eerder apparaatinstellingen hebt geconfigureerd en u uw eigen certificaten niet wilt gebruiken.

    U hoeft geen configuratie uit te voeren op deze pagina. U hoeft alleen te controleren of de status van alle certificaten wordt weergegeven als geldig op deze pagina.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    U kunt Versleuteling-at-rest configureren met de bestaande apparaatcertificaten.

  3. Volg de resterende stappen alleen als u de apparaatnaam of het DNS-domein voor uw apparaat hebt gewijzigd. In deze gevallen is de status van uw apparaatcertificaten niet geldig. Dat komt doordat de apparaatnaam en het DNS-domein in de certificaten subject name en subject alternative instellingen verouderd zijn.

    U kunt een certificaat selecteren om statusdetails weer te geven.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Als u de apparaatnaam of het DNS-domein van uw apparaat hebt gewijzigd en u geen nieuwe certificaten opgeeft, wordt de activering van het apparaat geblokkeerd. Als u een nieuwe set certificaten op uw apparaat wilt gebruiken, kiest u een van de volgende opties:

    • Alle apparaatcertificaten genereren. Selecteer deze optie en voer vervolgens de stappen in Apparaatcertificaten genereren uit als u van plan bent automatisch gegenereerde apparaatcertificaten te gebruiken en nieuwe apparaatcertificaten moet genereren. U moet deze apparaatcertificaten alleen gebruiken voor testen, niet voor productieworkloads.

    • Uw eigen certificaten gebruiken. Selecteer deze optie en voer vervolgens de stappen uit in Bring Your Own Certificates als u uw eigen ondertekende eindpuntcertificaten en de bijbehorende ondertekeningsketens wilt gebruiken. U wordt aangeraden altijd uw eigen certificaten te maken voor productieworkloads.

    • U kunt ervoor kiezen om enkele van uw eigen certificaten mee te nemen en enkele apparaatcertificaten te genereren. Met de optie Alle apparaatcertificaten genereren worden alleen de apparaatcertificaten opnieuw gegenereerd.

  5. Wanneer u een volledige set geldige certificaten voor uw apparaat hebt, selecteert u < Terug om aan de slag te gaan. U kunt nu doorgaan met het configureren van versleuteling-at-rest.

Apparaatcertificaten genereren

Volg deze stappen om apparaatcertificaten te genereren.

Gebruik deze stappen om de Azure Stack Edge Pro 2-apparaatcertificaten opnieuw te genereren en te downloaden:

  1. Ga in de lokale gebruikersinterface van uw apparaat naar Configuratiecertificaten>. Selecteer Certificaten genereren.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Selecteer Genereren bij Apparaatcertificaten genereren.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    De apparaatcertificaten worden nu gegenereerd en toegepast. Het duurt enkele minuten om de certificaten te genereren en toe te passen.

    Belangrijk

    Terwijl de bewerking voor het genereren van het certificaat wordt uitgevoerd, moet u uw eigen certificaten niet gebruiken, en probeer deze toe te voegen met de optie + Certificaat toevoegen.

    U ontvangt een melding wanneer de bewerking is voltooid. Als u mogelijke cacheproblemen wilt voorkomen, start u de browser opnieuw.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Nadat de certificaten zijn gegenereerd:

    • Zorg ervoor dat de status van alle certificaten wordt weergegeven als Geldig.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • U kunt een specifieke certificaatnaam selecteren en de certificaatgegevens weergeven.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • De kolom Downloaden is nu ingevuld. Deze kolom bevat koppelingen voor het downloaden van de opnieuw gegenereerde certificaten.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Selecteer de downloadkoppeling voor een certificaat en sla het certificaat op wanneer dit wordt gevraagd.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Herhaal dit proces voor alle certificaten die u wilt downloaden.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    De door het apparaat gegenereerde certificaten worden opgeslagen als DER-certificaten met de volgende naamindeling:

    <Device name>_<Endpoint name>.cer. Deze certificaten bevatten de openbare sleutel voor de bijbehorende certificaten op het apparaat.

U moet deze certificaten installeren op het clientsysteem dat u gebruikt voor toegang tot de eindpunten op het Azure Stack Edge-apparaat. Met deze certificaten wordt een vertrouwensrelatie tussen de client en het apparaat tot stand gebracht.

Als u deze certificaten wilt importeren en installeren op de client die u gebruikt om toegang te krijgen tot het apparaat, volgt u de stappen in Certificaten importeren op de clients die toegang hebben tot uw Azure Stack Edge Pro GPU-apparaat.

Als u Azure Storage Explorer gebruikt, moet u certificaten installeren op uw client in PEM-indeling en moet u de door het apparaat gegenereerde certificaten converteren naar PEM-indeling.

Belangrijk

  • De downloadkoppeling is alleen beschikbaar voor de door het apparaat gegenereerde certificaten en niet als u uw eigen certificaten gebruikt.
  • U kunt ervoor kiezen om een combinatie van door apparaten gegenereerde certificaten te hebben en uw eigen certificaten te gebruiken, zolang er maar aan andere certificaatvereisten wordt voldaan. Ga naar Certificaatvereisten voor meer informatie.

Uw eigen certificaten gebruiken

U kunt uw eigen certificaten meenemen.

Volg deze stappen om uw eigen certificaten te uploaden, inclusief de ondertekeningsketen.

  1. Als u een certificaat wilt uploaden, selecteert u op de pagina Certificaat de optie + Certificaat toevoegen.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. U kunt deze stap overslaan als u alle certificaten in het certificaatpad hebt opgenomen bij het exporteren van certificaten in PFX-indeling. Als u niet alle certificaten in uw export hebt opgenomen, uploadt u de ondertekeningsketen en selecteert u Valideren en toevoegen. U moet dit doen voordat u uw andere certificaten uploadt.

    In sommige gevallen wilt u mogelijk alleen een ondertekeningsketen gebruiken voor andere doeleinden, bijvoorbeeld om verbinding te maken met uw updateserver voor Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Andere certificaten uploaden. U kunt bijvoorbeeld de Azure Resource Manager- en Blob Storage-eindpuntcertificaten uploaden.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    U kunt ook het lokale webinterfacecertificaat uploaden. Nadat u dit certificaat hebt geüpload, moet u de browser starten en de cache wissen. Vervolgens moet u verbinding maken met de lokale webgebruikersinterface van het apparaat.

    Local web UI

    U kunt ook het knooppuntcertificaat uploaden.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    De certificaatpagina zou moeten worden bijgewerkt en de zojuist toegevoegde certificaten weergeven. U kunt op elk gewenst moment een certificaat selecteren en de details weergeven om ervoor te zorgen dat deze overeenkomen met het certificaat dat u hebt geüpload.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Notitie

    Met uitzondering van de openbare Azure-cloud moeten ondertekeningsketencertificaten worden ingesteld voordat alle cloudconfiguraties worden geactiveerd (Azure Government of Azure Stack).

Configureer versleuteling 'at rest'

  1. Selecteer Configureren voor versleuteling 'at rest' op de tegel Beveiliging.

    Notitie

    Dit is een vereiste instelling en totdat deze is geconfigureerd, kunt u het apparaat niet activeren.

    In de fabriek wordt BitLocker-versleuteling op volumeniveau ingeschakeld zodra er een installatiekopie op de apparaten is geplaatst. Nadat u het apparaat hebt ontvangen, moet u de versleuteling 'at rest' configureren. De opslaggroep en -volumes worden opnieuw gemaakt en u kunt BitLocker-sleutels opgeven om versleuteling in te schakelen en daarmee een tweede laag met versleuteling maken voor uw data-at-rest.

  2. Voer in het deelvenster Versleuteling 'at rest' een met Base-64 gecodeerde sleutel van 32 tekens in. Dit is een eenmalige configuratie en deze sleutel wordt gebruikt om de daadwerkelijke versleutelingssleutel te beveiligen. U kunt ervoor kiezen om deze sleutel automatisch te genereren.

    Screenshot of the local web UI

    U kunt ook uw eigen met Base-64 gecodeerde ASE-256-bits versleutelingssleutel invoeren.

    Screenshot of the local web UI

    De sleutel wordt opgeslagen in een sleutelbestand op de pagina Cloudgegevens nadat het apparaat is geactiveerd.

  3. Selecteer Toepassen. Deze bewerking duurt enkele minuten en de status van de bewerking wordt weergegeven.

    Screenshot of the

  4. Nadat de status is weergegeven als Voltooid, is uw apparaat nu klaar om te worden geactiveerd. Selecteer < Terug om aan de slag te gaan.

Volgende stappen

In deze zelfstudie komen deze onderwerpen aan bod:

  • Vereisten
  • Certificaten voor het fysieke apparaat configureren
  • Configureer versleuteling 'at rest'

Zie voor meer informatie over het activeren van uw Azure Stack Edge Pro 2-apparaat: