Use seus próprios certificados com os dispositivos Data Box e Data Box Heavy

  • Artigo

Durante o processamento do pedido, os certificados autoassinados são gerados para acessar a IU da Web local e o armazenamento de Blobs para um dispositivo Data Box ou Data Box Heavy. Se você preferir se comunicar com seu dispositivo por meio de um canal confiável, poderá usar seus próprios certificados.

O artigo descreve como instalar seus próprios certificados e como reverter para os certificados padrão antes de retornar o dispositivo para o datacenter. Ele também fornece um resumo dos requisitos do certificado.

Sobre certificados

Um certificado fornece um link entre uma chave pública e uma entidade (como o nome de domínio) que foi assinada (verificada) por um terceiro confiável como uma autoridade certificadora. Um certificado proporciona uma forma conveniente de distribuir chaves de criptografia pública confiáveis. Desta forma, os certificados garantem que sua comunicação é confiável e que você está enviando informações criptografadas para o servidor correto.

Quando seu dispositivo Data Box é inicialmente configurado, os certificados autoassinados são gerados automaticamente. Opcionalmente você pode colocar seus próprios certificados. Existem diretrizes que você precisa seguir se planeja usar seus próprios certificados.

Observação

Os certificados autoassinados gerados automaticamente expiram após 12 meses, e o dispositivo não pode mais ser usado. Você será notificado três meses antes que os certificados expirem. Para evitar a perda de dados, devolva o dispositivo pelo menos um mês antes da expiração do certificado para que todos os dados possam ser ingeridos no datacenter antes que os certificados expirem.

Em um dispositivo Data Box ou Data Box Heavy, dois tipos de certificados de ponto de extremidade são usados:

  • Certificado de armazenamento de Blobs
  • Certificados de IU local

Requisitos de certificado

Os certificados devem atender aos seguintes requisitos:

  • O certificado de ponto de extremidade precisa estar no formato .pfx com uma chave privada que possa ser exportada.

  • Você pode usar um certificado individual para cada ponto de extremidade, um certificado de multidomínio para vários pontos de extremidade ou um certificado de ponto de extremidade curinga.

  • As propriedades de um certificado de ponto de extremidade são semelhantes às propriedades de um certificado SSL típico.

  • Um certificado correspondente no formato DER (.cer extensão do nome de arquivo) é necessário no computador cliente.

  • Depois de carregar o certificado de IU local, é necessário reiniciar o navegador e limpar o cache. Consulte as instruções específicas do seu navegador.

  • Estes certificados devem ser alterados se o nome do dispositivo ou o nome de domínio DNS forem alterados.

  • Use a tabela a seguir ao criar certificados de ponto de extremidade:

    Tipo Nome da entidade (SN) Nome alternativo da entidade (SAN) Exemplo de nome da entidade
    IU local <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Armazenamento de Blobs *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Certificado único de várias SANs <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

Para obter mais informações, consulte Requisitos de certificado.

Adicionar certificados ao dispositivo

Você pode usar seus próprios certificados para acessar a IU da Web local e para acessar o armazenamento de Blobs.

Importante

Se o nome do dispositivo ou o domínio DNS forem alterados, novos certificados devem ser criados. Os certificados de cliente e os certificados de dispositivo devem ser atualizados com o novo nome de dispositivo e domínio DNS.

Para adicionar seu próprio certificado ao seu dispositivo, siga estas etapas:

  1. Acesse Gerenciar>Certificados.

    Nome mostra o nome do dispositivo. Domínio DNS mostra o nome de domínio para o servidor DNS.

    A parte inferior da tela mostra os certificados em uso no momento. Para um novo dispositivo, você verá os certificados autoassinados que foram gerados durante o processamento do pedido.

    Certificates page for a Data Box device

  2. Se você precisar alterar o Nome (nome do dispositivo) ou o Domínio DNS (o domínio do servidor DNS para o dispositivo), faça isso agora, antes de adicionar o certificado. Em seguida, selecione Aplicar.

    Este certificado deve ser alterado se o nome do dispositivo ou o nome de domínio DNS forem alterados.

    Apply a new device name and DNS domain for a Data Box

  3. Para adicionar um certificado, selecione Adicionar certificado para abrir o painel Adicionar certificado. Em seguida, selecione o Tipo de certificado - Armazenamento de Blobs ou IU da Web local.

    Add certificates panel on the Certificates page for a Data Box device

  4. Escolha o arquivo de certificado (no formato .pfx) e insira essa senha que foi definida quando o certificado foi exportado. Em seguida, selecione Validar e Adicionar.

    Settings for adding a Blob endpoint certificate to a Data Box

    Depois que o certificado for adicionado com êxito, a tela Certificados mostrará a impressão digital para o novo certificado. O status do certificado é Válido.

    A valid new certificate that's been successfully added

  5. Para ver os detalhes do certificado, selecione e clique no nome do certificado. O certificado expirará após um ano.

    View certificate details for a Data Box device

  6. Se você alterou o certificado para a IU da Web local, você precisará reiniciar o navegador e, em seguida, a IU da Web local. Essa etapa é necessária para evitar quaisquer problemas de cache de SSL.

  1. Instale o novo certificado no computador cliente que você está usando para acessar a IU da Web local. Para obter instruções, consulte Importar certificados para o cliente, abaixo.

Importar certificados para o cliente

Depois de adicionar um certificado ao seu dispositivo Data Box, você precisará importar o certificado para o computador cliente que você usa para acessar o dispositivo. Você importará o certificado para o repositório da Autoridade de Certificação de Raiz Confiável no Computador Local.

Para importar um certificado em um cliente do Windows, siga estas etapas:

  1. No Explorador de Arquivos, clique com o botão direito do mouse no arquivo de certificado (com o formato .cer) e selecione Instalar certificado. Essa ação inicia o Assistente para Importação de Certificados.

    Import certificate 1

  2. Em Localização do repositório, selecione Computador Local e depois clique em Avançar.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Selecione Colocar todos os certificados no seguinte repositório, selecione Autoridade de Certificação de Raiz Confiável e, em seguida, selecione Próximo.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Revise suas configurações e selecione Finalizar. Uma mensagem informará que a importação foi bem-sucedida.

    Review your certificate settings, and finish the Certificate Import Wizard

Reverter para certificados padrão

Antes de retornar o dispositivo para o datacenter do Azure, você deve reverter para os certificados originais que foram gerados durante o processamento do pedido.

Para reverter para os certificados gerados durante o processamento do pedido, siga estas etapas:

  1. Acesse Gerenciar>Certificadose selecione Reverter certificados.

    A reversão de certificados retorna ao uso de certificados autoassinados que foram gerados durante o processamento do pedido. Seus próprios certificados são removidos do dispositivo.

    Revert certificates option in Manage Certificates for a Data Box device

  2. Depois que a reversão do certificado for concluída com êxito, acesse Desligar ou reiniciare selecione Reiniciar. Essa etapa é necessária para evitar quaisquer problemas de cache de SSL.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Aguarde alguns minutos e, em seguida, entre novamente na IU da Web local.