Używanie własnych certyfikatów z urządzeniami Data Box i Data Box Heavy

Podczas przetwarzania zamówień certyfikaty z podpisem własnym są generowane na potrzeby uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i magazynu obiektów blob dla urządzenia Data Box lub Data Box Heavy. Jeśli chcesz komunikować się z urządzeniem za pośrednictwem zaufanego kanału, możesz użyć własnych certyfikatów.

W tym artykule opisano sposób instalowania własnych certyfikatów i przywracania domyślnych certyfikatów przed zwróceniem urządzenia do centrum danych. Zawiera również podsumowanie wymagań dotyczących certyfikatów.

Informacje o certyfikatach

Certyfikat zapewnia połączenie między kluczem publicznym a jednostką (taką jak nazwa domeny), która została podpisana (zweryfikowana) przez zaufaną osobę trzecią, taką jak urząd certyfikacji. Certyfikat zapewnia wygodny sposób dystrybucji zaufanych kluczy szyfrowania publicznego. W ten sposób certyfikaty zapewniają, że komunikacja jest zaufana i wysyłasz zaszyfrowane informacje do odpowiedniego serwera.

Po początkowym skonfigurowaniu urządzenia Data Box certyfikaty z podpisem własnym są generowane automatycznie. Opcjonalnie możesz przynieść własne certyfikaty. Istnieją wytyczne, które należy wykonać, jeśli planujesz przywieźć własne certyfikaty.

Uwaga

Automatycznie wygenerowane certyfikaty z podpisem własnym wygasają po upływie 12 miesięcy, a urządzenie nie może być już używane. Otrzymasz powiadomienie o upływie 3 miesięcy przed wygaśnięciem certyfikatów. Aby uniknąć utraty danych, należy zwrócić urządzenie co najmniej 1 miesiąc przed wygaśnięciem certyfikatu, aby wszystkie dane mogły zostać pozyskane w centrum danych przed wygaśnięciem certyfikatów.

Na urządzeniu Data Box lub Data Box Heavy są używane dwa typy certyfikatów punktów końcowych:

  • Certyfikat usługi Blob Storage
  • Lokalny certyfikat interfejsu użytkownika

Wymagania certyfikatu

Certyfikaty muszą spełniać następujące wymagania:

  • Certyfikat punktu końcowego musi być w .pfx formacie z kluczem prywatnym, który można wyeksportować.

  • Dla każdego punktu końcowego można użyć pojedynczego certyfikatu, certyfikatu wielodomenowego dla wielu punktów końcowych lub certyfikatu punktu końcowego z symbolami wieloznacznymi.

  • Właściwości certyfikatu punktu końcowego są podobne do właściwości typowego certyfikatu SSL.

  • Odpowiedni certyfikat w formacie DER (.cer rozszerzenie nazwy pliku) jest wymagany na komputerze klienckim.

  • Po przekazaniu lokalnego certyfikatu interfejsu użytkownika należy ponownie uruchomić przeglądarkę i wyczyścić pamięć podręczną. Zapoznaj się z konkretnymi instrukcjami dotyczącymi przeglądarki.

  • Certyfikaty należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.

  • Podczas tworzenia certyfikatów punktów końcowych użyj poniższej tabeli:

    Typ Nazwa podmiotu (SN) Alternatywna nazwa podmiotu (SAN) Przykład nazwy podmiotu
    Lokalny interfejs użytkownika <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Blob Storage *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Pojedynczy certyfikat z wieloma sieciami SAN <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>
    mydevice1.microsoftdatabox.com

Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.

Dodawanie certyfikatów do urządzenia

Możesz użyć własnych certyfikatów na potrzeby uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika i uzyskiwania dostępu do usługi Blob Storage.

Ważne

Jeśli nazwa urządzenia lub domena DNS zostanie zmieniona, należy utworzyć nowe certyfikaty. Certyfikaty klienta i certyfikaty urządzeń należy następnie zaktualizować przy użyciu nowej nazwy urządzenia i domeny DNS.

Aby dodać własny certyfikat do urządzenia, wykonaj następujące kroki:

  1. Przejdź do pozycjiZarządzajCertyfikaty>.

    Nazwa zawiera nazwę urządzenia. Domena DNS zawiera nazwę domeny serwera DNS.

    W dolnej części ekranu wyświetlane są obecnie używane certyfikaty. W przypadku nowego urządzenia zobaczysz certyfikaty z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówień.

    Certificates page for a Data Box device

  2. Jeśli musisz zmienić nazwę (nazwę urządzenia) lub domenę DNS (domenę serwera DNS dla urządzenia), przed dodaniem certyfikatu. Następnie wybierz przycisk Zastosuj.

    Certyfikat należy zmienić, jeśli nazwa urządzenia lub nazwa domeny DNS ulegnie zmianie.

    Apply a new device name and DNS domain for a Data Box

  3. Aby dodać certyfikat, wybierz pozycję Dodaj certyfikat , aby otworzyć panel Dodawanie certyfikatu . Następnie wybierz typ certyfikatumagazyn obiektów blob lub lokalny internetowy interfejs użytkownika.

    Add certificates panel on the Certificates page for a Data Box device

  4. Wybierz plik certyfikatu (w .pfx formacie) i wprowadź hasło ustawione podczas eksportowania certyfikatu. Następnie wybierz pozycję Weryfikuj & dodaj.

    Settings for adding a Blob endpoint certificate to a Data Box

    Po pomyślnym dodaniu certyfikatu na ekranie Certyfikaty zostanie wyświetlony odcisk palca nowego certyfikatu. Stan certyfikatu jest prawidłowy.

    A valid new certificate that's been successfully added

  5. Aby wyświetlić szczegóły certyfikatu, wybierz i kliknij nazwę certyfikatu. Certyfikat wygaśnie po roku.

    View certificate details for a Data Box device

  6. Jeśli certyfikat został zmieniony dla lokalnego internetowego interfejsu użytkownika, musisz ponownie uruchomić przeglądarkę, a następnie lokalny internetowy interfejs użytkownika. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.

  1. Zainstaluj nowy certyfikat na komputerze klienckim używanym do uzyskiwania dostępu do lokalnego internetowego interfejsu użytkownika. Aby uzyskać instrukcje, zobacz Importowanie certyfikatów do klienta poniżej.

Importowanie certyfikatów do klienta

Po dodaniu certyfikatu do urządzenia Data Box należy zaimportować certyfikat na komputer kliencki używany do uzyskania dostępu do urządzenia. Zaimportujesz certyfikat do magazynu zaufanego głównego urzędu certyfikacji dla komputera lokalnego.

Aby zaimportować certyfikat na kliencie Windows, wykonaj następujące kroki:

  1. W Eksplorator plików kliknij prawym przyciskiem myszy plik certyfikatu (z formatem.cer), a następnie wybierz pozycję Zainstaluj certyfikat. Ta akcja uruchamia Kreatora importu certyfikatów.

    Import certificate 1

  2. W polu Lokalizacja sklepu wybierz pozycję Maszyna lokalna, a następnie wybierz przycisk Dalej.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie, wybierz pozycję Zaufany główny urząd certyfikacji, a następnie wybierz pozycję Dalej.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Przejrzyj ustawienia i wybierz pozycję Zakończ. Zostanie wyświetlony komunikat informujący o pomyślnym zaimportowaniu.

    Review your certificate settings, and finish the Certificate Import Wizard

Przywróć domyślne certyfikaty

Przed zwróceniem urządzenia do centrum danych platformy Azure należy przywrócić oryginalne certyfikaty wygenerowane podczas przetwarzania zamówień.

Aby przywrócić certyfikaty wygenerowane podczas przetwarzania zamówienia, wykonaj następujące kroki:

  1. Przejdź do pozycjiZarządzajCertyfikaty> i wybierz pozycję Przywróć certyfikaty.

    Przywracanie certyfikatów powraca do używania certyfikatów z podpisem własnym, które zostały wygenerowane podczas przetwarzania zamówień. Własne certyfikaty są usuwane z urządzenia.

    Revert certificates option in Manage Certificates for a Data Box device

  2. Po pomyślnym zakończeniu przekierowania certyfikatu przejdź do pozycji Zamknij lub uruchom ponownie, a następnie wybierz pozycję Uruchom ponownie. Ten krok jest wymagany, aby uniknąć problemów z pamięcią podręczną SSL.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Poczekaj kilka minut, a następnie ponownie zaloguj się do lokalnego internetowego interfejsu użytkownika.