Używanie własnych certyfikatów z urządzeniami Data Box i Data Box Heavy

  • Artykuł

Podczas przetwarzania zamówień certyfikaty z podpisem własnym są generowane na potrzeby uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i magazynu obiektów blob dla urządzenia Data Box lub Data Box Heavy. Jeśli wolisz komunikować się z urządzeniem za pośrednictwem zaufanego kanału, możesz użyć własnych certyfikatów.

W tym artykule opisano sposób instalowania własnych certyfikatów i przywracania domyślnych certyfikatów przed zwróceniem urządzenia do centrum danych. Zawiera również podsumowanie wymagań dotyczących certyfikatów.

Informacje o certyfikatach

Certyfikat zapewnia połączenie między kluczem publicznym a jednostką (taką jak nazwa domeny), która została podpisana (zweryfikowana) przez zaufaną firmę trzecią, taką jak urząd certyfikacji. Certyfikat zapewnia wygodny sposób dystrybucji zaufanych publicznych kluczy szyfrowania. W ten sposób certyfikaty zapewniają, że komunikacja jest zaufana i wysyłasz zaszyfrowane informacje do odpowiedniego serwera.

Po początkowym skonfigurowaniu urządzenia Data Box certyfikaty z podpisem własnym są generowane automatycznie. Opcjonalnie możesz przynieść własne certyfikaty. Istnieją wskazówki, które należy przestrzegać, jeśli planujesz przynieść własne certyfikaty.

Uwaga

Automatycznie wygenerowane certyfikaty z podpisem własnym wygasają po upływie 12 miesięcy, a urządzenie nie może być już używane. Otrzymasz powiadomienie 3 miesiące przed wygaśnięciem certyfikatów. Aby uniknąć utraty danych, należy zwrócić urządzenie co najmniej 1 miesiąc przed wygaśnięciem certyfikatu, aby wszystkie dane mogły zostać pozyskane w centrum danych przed wygaśnięciem certyfikatów.

Na urządzeniu Data Box lub Data Box Heavy są używane dwa typy certyfikatów punktów końcowych:

  • Certyfikat usługi Blob Storage
  • Lokalny certyfikat interfejsu użytkownika

Wymagania dotyczące certyfikatu

Certyfikaty muszą spełniać następujące wymagania:

  • Certyfikat punktu końcowego musi być w .pfx formacie z kluczem prywatnym, który można wyeksportować.

  • Można użyć pojedynczego certyfikatu dla każdego punktu końcowego, certyfikatu wielodomenowego dla wielu punktów końcowych lub certyfikatu punktu końcowego z symbolami wieloznacznymi.

  • Właściwości certyfikatu punktu końcowego są podobne do właściwości typowego certyfikatu SSL.

  • Odpowiedni certyfikat w formacie DER (.cer rozszerzenie nazwy pliku) jest wymagany na komputerze klienckim.

  • Po przekazaniu lokalnego certyfikatu interfejsu użytkownika należy ponownie uruchomić przeglądarkę i wyczyścić pamięć podręczną. Zapoznaj się z konkretnymi instrukcjami dotyczącymi przeglądarki.

  • Certyfikaty należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.

  • Podczas tworzenia certyfikatów punktów końcowych użyj poniższej tabeli:

    Typ Nazwa podmiotu (SN) Alternatywna nazwa podmiotu (SAN) Przykład nazwy podmiotu
    Lokalny interfejs użytkownika <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Blob storage *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Pojedynczy certyfikat z wieloma sieciami SAN <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.

Dodawanie certyfikatów do urządzenia

Do uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i uzyskiwania dostępu do usługi Blob Storage można użyć własnych certyfikatów.

Ważne

Jeśli nazwa urządzenia lub domena DNS zostanie zmieniona, należy utworzyć nowe certyfikaty. Następnie certyfikaty klienta i certyfikaty urządzenia powinny zostać zaktualizowane przy użyciu nowej nazwy urządzenia i domeny DNS.

Aby dodać własny certyfikat do urządzenia, wykonaj następujące kroki:

  1. Przejdź do pozycji Zarządzaj certyfikatami>.

    Nazwa zawiera nazwę urządzenia. Domena DNS zawiera nazwę domeny dla serwera DNS.

    W dolnej części ekranu są wyświetlane aktualnie używane certyfikaty. W przypadku nowego urządzenia zobaczysz certyfikaty z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówień.

    Certificates page for a Data Box device

  2. Jeśli musisz zmienić nazwę (nazwę urządzenia) lub domenę DNS (domenę serwera DNS dla urządzenia), przed dodaniem certyfikatu. Następnie wybierz pozycję Zastosuj.

    Certyfikat należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.

    Apply a new device name and DNS domain for a Data Box

  3. Aby dodać certyfikat, wybierz pozycję Dodaj certyfikat , aby otworzyć panel Dodawanie certyfikatu . Następnie wybierz typ certyfikatu — magazyn obiektów blob lub lokalny internetowy interfejs użytkownika.

    Add certificates panel on the Certificates page for a Data Box device

  4. Wybierz plik certyfikatu (w .pfx formacie) i wprowadź hasło ustawione podczas eksportowania certyfikatu. Następnie wybierz pozycję Weryfikuj i dodaj.

    Settings for adding a Blob endpoint certificate to a Data Box

    Po pomyślnym dodaniu certyfikatu na ekranie Certyfikaty zostanie wyświetlony odcisk palca nowego certyfikatu. Stan certyfikatu jest prawidłowy.

    A valid new certificate that's been successfully added

  5. Aby wyświetlić szczegóły certyfikatu, wybierz i kliknij nazwę certyfikatu. Certyfikat wygaśnie po roku.

    View certificate details for a Data Box device

  6. Jeśli zmieniono certyfikat dla lokalnego internetowego interfejsu użytkownika, musisz ponownie uruchomić przeglądarkę, a następnie lokalny internetowy interfejs użytkownika. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.

  1. Zainstaluj nowy certyfikat na komputerze klienckim, którego używasz do uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika. Aby uzyskać instrukcje, zobacz Importowanie certyfikatów do klienta poniżej.

Importowanie certyfikatów do klienta

Po dodaniu certyfikatu do urządzenia Data Box należy zaimportować certyfikat na komputer kliencki używany do uzyskania dostępu do urządzenia. Zaimportujesz certyfikat do magazynu zaufanego głównego urzędu certyfikacji dla komputera lokalnego.

Aby zaimportować certyfikat na kliencie systemu Windows, wykonaj następujące kroki:

  1. W Eksplorator plików kliknij prawym przyciskiem myszy plik certyfikatu (z formatem.cer) i wybierz polecenie Zainstaluj certyfikat. Ta akcja powoduje uruchomienie Kreatora importu certyfikatów.

    Import certificate 1

  2. W polu Lokalizacja magazynu wybierz pozycję Komputer lokalny, a następnie wybierz przycisk Dalej.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie, wybierz pozycję Zaufany główny urząd certyfikacji, a następnie wybierz przycisk Dalej.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Przejrzyj ustawienia i wybierz pozycję Zakończ. Zostanie wyświetlony komunikat informujący o pomyślnym zaimportowaniu.

    Review your certificate settings, and finish the Certificate Import Wizard

Przywracanie do domyślnych certyfikatów

Przed zwróceniem urządzenia do centrum danych platformy Azure należy przywrócić oryginalne certyfikaty, które zostały wygenerowane podczas przetwarzania zamówienia.

Aby przywrócić certyfikaty wygenerowane podczas przetwarzania zamówienia, wykonaj następujące kroki:

  1. Przejdź do pozycji Zarządzaj certyfikatami> i wybierz pozycję Przywróć certyfikaty.

    Przywracanie certyfikatów powraca do używania certyfikatów z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówienia. Twoje własne certyfikaty są usuwane z urządzenia.

    Revert certificates option in Manage Certificates for a Data Box device

  2. Po pomyślnym zakończeniu ponownego przejścia certyfikatu przejdź do pozycji Zamknij lub uruchom ponownie, a następnie wybierz pozycję Uruchom ponownie. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Poczekaj kilka minut, a następnie zaloguj się ponownie do lokalnego internetowego interfejsu użytkownika.