Tutorial: Configurar certificados, VPN e criptografia para o Azure Stack Edge Mini R

Artigo
06/01/2023

Este tutorial descreve como configurar certificados, VPN e criptografia em repouso para o dispositivo Azure Stack Edge Mini R usando a IU da Web local.

O tempo que essa etapa levará varia dependendo da opção específica que você escolher e de como o fluxo de certificado é estabelecido em seu ambiente.

Neste tutorial, você aprenderá a:

Pré-requisitos
Configurar certificados para o dispositivo físico
Configurar a VPN
Configurar a criptografia em repouso

Pré-requisitos

Antes de configurar seu dispositivo Azure Stack Edge Mini R, verifique o seguinte:

Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Mini R.
Se você planeja trazer seus certificados:
- Você deve manter seus certificados preparados no formato apropriado, incluindo o certificado de cadeia de assinatura. Para obter detalhes sobre o certificado, acesse Gerenciar certificados
- Se o dispositivo estiver implantado na nuvem Azure Government, Azure Government Secret ou Azure Government Top Secret e não estiver implantado na nuvem pública do Azure, um certificado de cadeia de assinatura será necessário para ativar o dispositivo. Para obter detalhes sobre o certificado, acesse Gerenciar certificados.

Configurar certificados para o dispositivo

Na página Certificados, você vai configurar seus certificados. Dependendo de você ter ou não alterado o nome do dispositivo ou o domínio DNS na página Dispositivo, você poderá escolher uma das opções a seguir para seus certificados.
- Se você não alterou o nome do dispositivo padrão nem o domínio DNS padrão na etapa anterior e não deseja trazer seus certificados, pode ignorar esta etapa e prosseguir para a próxima. Para começar, o dispositivo gerou automaticamente certificados autoassinados.
- Se você alterou o nome do dispositivo ou o domínio DNS, verá que o status dos certificados será exibido como Não válido.
  
  Selecione um certificado para exibir os detalhes do status.
  
  O status do certificado é Não válido porque os certificados não refletem o nome e o domínio DNS do dispositivo atualizado (que são usados no nome da entidade e na alternativa da entidade). Para ativar com êxito seu dispositivo, você pode colocar seus certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. Primeiro, você adiciona a cadeia de assinatura e carrega os certificados de ponto de extremidade. Para obter mais informações, acesse Traga seus certificados em seu dispositivo Azure Stack Edge Mini R.
- Se você tiver alterado o nome do dispositivo ou o domínio DNS e não trouxer seus certificados, a ativação será bloqueada.

Trazer seus certificados

Você já adicionou a cadeia de assinatura em uma etapa anterior no dispositivo. Agora, você pode carregar os certificados de ponto de extremidade, o certificado de nó, o certificado de IU local e o certificado de VPN. Siga estas etapas para adicionar seus certificados.

Para carregar o certificado, na página Certificado, selecione + Adicionar certificado.
É possível carregar outros certificados. Por exemplo, é possível carregar os certificados de ponto de extremidade do Armazenamento de Blobs e do Azure Resource Manager.
Também é possível carregar o certificado da IU da Web local. Depois de carregar esse certificado, será necessário iniciar o navegador e limpar o cache. Em seguida, será necessário conectar-se à IU da Web local do dispositivo.
Também é possível carregar o certificado de nó.
Por fim, você pode carregar o certificado VPN.
A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que correspondam ao certificado que você carregou.

A página de certificados será atualizada para refletir os certificados recém-adicionados.

Observação

Exceto pela nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack Hub).

Configurar a VPN

No bloco Segurança, selecione Configurar para VPN.

Para configurar a VPN, primeiro você precisará verificar se tem toda a configuração necessária feita no Azure. Para ver os detalhes, confira Configurar a VPN por meio do PowerShell para o dispositivo Azure Stack Edge Mini R. Após a conclusão, você poderá fazer a configuração na IU local.
1. Na página VPN, selecione Configurar.
2. Na folha Configurar VPN:
  1. Forneça a agenda de telefones como entrada.
  2. Forneça o arquivo JSON de intervalo de IP do Data Center do Azure como entrada. Baixe este arquivo de: https://www.microsoft.com/download/details.aspx?id=56519.
  3. Selecione eastus como região.
  4. Selecione Aplicar.
3. Configure os intervalos de endereços IP a serem acessados usando somente a VPN.
  - Em Intervalos de endereços IP a serem acessados usando somente a VPN, selecione Configurar.
  - Insira o intervalo de IPv4 da VNET que você escolheu para sua Rede Virtual do Azure.
  - Selecione Aplicar.

Agora, o dispositivo está pronto para ser criptografado. Configurar a criptografia em repouso.

Habilitar criptografia

No bloco Segurança, selecione Configurar para criptografia em repouso. Essa é uma configuração necessária e até que isso seja configurado com êxito, você não poderá ativar o dispositivo.

No alocador, após a imagem dos dispositivos, a criptografia BitLocker no nível de volume está habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves do BitLocker para habilitar a criptografia em repouso e, portanto, criar uma segunda camada de criptografia para seus dados em repouso.
No painel Criptografia em repouso, insira uma chave codificada em Base 64 (AES de 256 bits) com 32 caracteres. Essa é uma configuração única e essa chave é usada para proteger a chave de criptografia real.

Você também pode optar por gerar essa chave automaticamente.
Selecione Aplicar. Essa operação leva vários minutos e o status dela é exibido no bloco Segurança.
Depois que o status aparecer como Concluído, volte para Introdução.