Samouczek: konfigurowanie certyfikatów dla usługi Azure Stack Edge Pro R

  • Artykuł

W tym samouczku opisano sposób konfigurowania certyfikatów dla urządzenia Azure Stack Edge Pro R przy użyciu lokalnego internetowego interfejsu użytkownika.

Czas potrzebny na ten krok może się różnić w zależności od wybranej opcji i sposobu ustanowienia przepływu certyfikatów w danym środowisku.

Ten samouczek zawiera informacje dotyczące:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie sieci VPN
  • Konfigurowanie szyfrowania magazynowanych

Wymagania wstępne

Przed skonfigurowaniem i skonfigurowaniem urządzenia Azure Stack Edge Pro R upewnij się, że:

  • Urządzenie fizyczne zostało zainstalowane zgodnie z opisem w temacie Instalowanie usługi Azure Stack Edge Pro R.
  • Jeśli planujesz przynieść własne certyfikaty:
    • Certyfikaty powinny być gotowe w odpowiednim formacie, w tym certyfikat łańcucha podpisywania. Aby uzyskać szczegółowe informacje na temat certyfikatu, przejdź do tematu Zarządzanie certyfikatami

Konfigurowanie certyfikatów dla urządzenia

  1. Na stronie Certyfikaty skonfigurujesz certyfikaty. W zależności od tego, czy zmieniono nazwę urządzenia, czy domenę DNS na stronie Urządzenie , możesz wybrać jedną z następujących opcji dla certyfikatów.

    • Jeśli nazwa urządzenia lub domena DNS nie została zmieniona we wcześniejszym kroku, możesz pominąć ten krok i przejść do następnego kroku. Urządzenie automatycznie wygenerowało certyfikaty z podpisem własnym, aby rozpocząć od.

    • Jeśli zmieniono nazwę urządzenia lub domenę DNS, zobaczysz, że stan certyfikatów będzie wyświetlany jako Nieprawidłowy.

      Local web UI

      Wybierz certyfikat, aby wyświetlić szczegóły stanu.

      Local web UI

      Jest to spowodowane tym, że certyfikaty nie odzwierciedlają zaktualizowanej nazwy urządzenia i domeny DNS (używanej w alternatywie nazwy podmiotu i podmiotu). Aby pomyślnie aktywować urządzenie, możesz przenieść własne podpisane certyfikaty punktu końcowego i odpowiednie łańcuchy podpisywania. Najpierw należy dodać łańcuch podpisywania, a następnie przekazać certyfikaty punktu końcowego. Aby uzyskać więcej informacji, zobacz Bring your own certificates on your Azure Stack Edge Pro R device (Używanie własnych certyfikatów na urządzeniu Azure Stack Edge Pro R).

    • Jeśli zmieniono nazwę urządzenia lub domenę DNS i nie wprowadzisz własnych certyfikatów, aktywacja zostanie zablokowana.

Korzystanie z własnego certyfikatu

Wykonaj następujące kroki, aby dodać własne certyfikaty, w tym łańcuch podpisywania.

  1. Aby przekazać certyfikat, na stronie Certyfikat wybierz pozycję + Dodaj certyfikat.

    Local web UI

  2. Najpierw przekaż łańcuch podpisywania i wybierz pozycję Weryfikuj i dodaj.

    Local web UI

  3. Teraz możesz przekazać inne certyfikaty. Można na przykład przekazać certyfikaty punktów końcowych usługi Azure Resource Manager i usługi Blob Storage.

    Local web UI

    Możesz również przekazać lokalny certyfikat internetowego interfejsu użytkownika. Po przekazaniu tego certyfikatu konieczne będzie uruchomienie przeglądarki i wyczyszczenie pamięci podręcznej. Następnie należy nawiązać połączenie z lokalnym internetowym interfejsem użytkownika urządzenia.

    Local web UI

    Możesz również przekazać certyfikat węzła.

    Local web UI

    Na koniec możesz przekazać certyfikat sieci VPN.

    Local web UI

    W dowolnym momencie możesz wybrać certyfikat i wyświetlić szczegóły, aby upewnić się, że są one zgodne z przekazanym certyfikatem.

    Strona certyfikatu powinna zostać zaktualizowana w celu odzwierciedlenia nowo dodanych certyfikatów.

    Local web UI

    Uwaga

    Z wyjątkiem chmury publicznej platformy Azure certyfikaty łańcucha podpisywania muszą zostać wprowadzone przed aktywacją dla wszystkich konfiguracji chmury (Azure Government lub Azure Stack).

  4. Wybierz pozycję < Wstecz, aby rozpocząć.

Konfigurowanie sieci VPN

  1. Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla sieci VPN.

    Local web UI

    Aby skonfigurować sieć VPN, najpierw musisz upewnić się, że masz całą niezbędną konfigurację wykonaną na platformie Azure. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie wymagań wstępnych i Konfigurowanie zasobów platformy Azure dla sieci VPN. Po zakończeniu tej czynności możesz wykonać konfigurację w lokalnym interfejsie użytkownika.

    1. Na stronie Sieć VPN wybierz pozycję Konfiguruj.
    2. W bloku Konfigurowanie sieci VPN :

    • Włącz ustawienia sieci VPN.

    • Podaj wspólny klucz tajny sieci VPN. Jest to klucz wspólny podany podczas tworzenia obiektu połączenia sieci VPN platformy Azure.

    • Podaj adres IP bramy sieci VPN. Jest to adres IP bramy sieci lokalnej platformy Azure.

    • W obszarze Grupa PFS wybierz pozycję Brak.

    • W obszarze Grupa DH wybierz pozycję Grupa2.

    • W przypadku metody integralności protokołu IPsec wybierz pozycję SHA256.

    • W przypadku stałych przekształcania IPseccipher wybierz pozycję GCMAES256.

    • W przypadku stałych przekształcania uwierzytelniania IPsec wybierz pozycję GCMAES256.

    • W polu Metoda szyfrowania IKE wybierz pozycję AES256.

    • Wybierz Zastosuj.

      Configure local UI 2

    1. Aby przekazać plik konfiguracji trasy sieci VPN, wybierz pozycję Przekaż.

      Configure local UI 3

      • Przejdź do pliku json konfiguracji sieci VPN pobranego w systemie lokalnym w poprzednim kroku.

      • Wybierz region jako region świadczenia usługi Azure skojarzony z urządzeniem, siecią wirtualną i bramami.

      • Wybierz Zastosuj.

        Configure local UI 4

    2. Aby dodać trasy specyficzne dla klienta, skonfiguruj zakresy adresów IP, które mają być dostępne tylko przy użyciu sieci VPN.

      • W obszarze Zakresy adresów IP, które mają być dostępne tylko przy użyciu sieci VPN, wybierz pozycję Konfiguruj.

      • Podaj prawidłowy zakres IPv4 i wybierz pozycję Dodaj. Powtórz kroki, aby dodać inne zakresy.

      • Wybierz Zastosuj.

        Configure local UI 5

  2. Wybierz pozycję < Wstecz, aby rozpocząć.

Konfigurowanie szyfrowania magazynowanych

  1. Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla szyfrowania danych magazynowanych. Jest to wymagane ustawienie i dopóki nie zostanie pomyślnie skonfigurowane, nie będzie można aktywować urządzenia.

    W fabryce po obrazie urządzeń szyfrowanie funkcji BitLocker na poziomie woluminu jest włączone. Po otrzymaniu urządzenia należy skonfigurować szyfrowanie magazynowane. Pula magazynów i woluminy są tworzone ponownie i można podać klucze funkcji BitLocker, aby włączyć szyfrowanie magazynowane, a tym samym utworzyć drugą warstwę szyfrowania dla danych magazynowanych.

  2. W okienku Szyfrowanie w spoczynku podaj 32-znakowy klucz zakodowany w formacie Base-64. Jest to jednorazowa konfiguracja i ten klucz jest używany do ochrony rzeczywistego klucza szyfrowania. Możesz automatycznie wygenerować ten klucz lub wprowadzić go.

    Local web UI

    Klucz jest zapisywany w pliku klucza na stronie Szczegółów chmury po aktywowaniu urządzenia.

  3. Wybierz Zastosuj. Ta operacja trwa kilka minut, a stan operacji jest wyświetlany na kafelku Zabezpieczenia .

    Local web UI

  4. Gdy stan będzie wyświetlany jako Ukończono, wybierz pozycję < Wstecz, aby rozpocząć.

Urządzenie jest teraz gotowe do aktywowania.

Następne kroki

Ten samouczek zawiera informacje dotyczące:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie sieci VPN
  • Konfigurowanie szyfrowania magazynowanych

Aby dowiedzieć się, jak aktywować urządzenie Azure Stack Edge Pro R, zobacz:

Aktywowanie urządzenia Azure Stack Edge Pro R