Tutorial: Configure certificados para o seu Azure Stack Edge Pro 2

Este tutorial descreve como pode configurar certificados para o seu Azure Stack Edge Pro 2 utilizando a UI web local.

O tempo necessário para este passo pode variar dependendo da opção específica que escolher e de como o fluxo de certificado é estabelecido no seu ambiente.

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configure certificados para o dispositivo físico
  • Configurar encriptação em repouso

Pré-requisitos

Antes de configurar e configurar o seu dispositivo Azure Stack Edge Pro 2, certifique-se de que:

  • Instalou o dispositivo físico conforme detalhado na Instalação Azure Stack Edge Pro 2.

  • Se pretender trazer os seus próprios certificados:

    • Deverá ter os seus certificados prontos no formato apropriado, incluindo o certificado de cadeia de assinatura.
    • Se o seu dispositivo for implantado em Azure Government e não implantado na nuvem pública Azure, é necessário um certificado de cadeia de assinatura antes de poder ativar o seu dispositivo.

    Para mais detalhes sobre os certificados, vá a Preparar certificados para fazer o upload no seu dispositivo Azure Stack Edge.

Configure certificados para dispositivo

  1. Abra a página certificados na uI web local do seu dispositivo. Esta página apresentará os certificados disponíveis no seu dispositivo. O dispositivo é enviado com certificados auto-assinados, também referidos como certificados do dispositivo. Também pode trazer os seus próprios certificados.

  2. Siga este passo apenas se não alterar o nome do dispositivo ou o domínio DNS quando configurar as definições do dispositivo anteriormente, e não pretender utilizar os seus próprios certificados.

    Não precisa de realizar nenhuma configuração nesta página. Basta verificar se o estado de todos os certificados é válido nesta página.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Está pronto para configurar a encriptação em repouso com os certificados de dispositivo existentes.

  3. Siga os passos restantes apenas se tiver alterado o nome do dispositivo ou o domínio DNS para o seu dispositivo. Nestes casos, o estado dos certificados do seu dispositivo não será válido. Isto porque o nome do dispositivo e o domínio DNS nos certificados subject name e nas definições estão subject alternative desatualizados.

    Pode selecionar um certificado para visualizar os detalhes do estado.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Se tiver alterado o nome do dispositivo ou o domínio DNS do seu dispositivo e não fornecer novos certificados, a ativação do dispositivo será bloqueada. Para utilizar um novo conjunto de certificados no seu dispositivo, escolha uma das seguintes opções:

    • Gere todos os certificados do dispositivo. Selecione esta opção e, em seguida, complete os passos nos certificados do dispositivo Gerar, se pretender utilizar certificados de dispositivo gerados automaticamente e precisar de gerar novos certificados de dispositivo. Só deve utilizar estes certificados de dispositivo para testes, não com cargas de trabalho de produção.

    • Traga os seus próprios certificados. Selecione esta opção e, em seguida, faça os passos em Trazer os seus próprios certificados, se quiser usar os seus próprios certificados de ponto final assinados e as cadeias de assinatura correspondentes. Recomendamos que traga sempre os seus próprios certificados para cargas de trabalho de produção.

    • Pode optar por trazer alguns dos seus próprios certificados e gerar alguns certificados de dispositivo. A opção Gerar todos os certificados do dispositivo regenera apenas os certificados do dispositivo.

  5. Quando tiver um conjunto completo de certificados válidos para o seu dispositivo, selecione < Voltar para Introdução. Pode agora proceder à configuração da encriptação em repouso.

Gerar certificados de dispositivo

Siga estes passos para gerar certificados de dispositivo.

Utilize estes passos para regenerar e descarregar os certificados de dispositivo Azure Stack Edge Pro 2:

  1. Na UI local do seu dispositivo, aceda aos Certificados de Configuração>. Selecione Gerar certificados.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Nos certificados do dispositivo Gerar, selecione Gerar.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Os certificados do dispositivo são agora gerados e aplicados. Leva alguns minutos para gerar e aplicar os certificados.

    Importante

    Enquanto a operação de geração de certificados estiver em andamento, não traga os seus próprios certificados e tente adicioná-los através da opção + Adicionar certificado .

    É notificado quando a operação estiver concluída com sucesso. Para evitar potenciais problemas de cache, reinicie o seu navegador.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Após a geração dos certificados:

    • Certifique-se de que o estado de todos os certificados é indicado como Válido.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Pode selecionar um nome de certificado específico e ver os dados do certificado.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • A coluna Download está agora povoada. Esta coluna tem links para descarregar os certificados regenerados.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Selecione o link de descarregamento para um certificado e, quando solicitado, guarde o certificado.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Repita este processo para todos os certificados que pretende transferir.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Os certificados gerados pelo dispositivo são guardados como certificados DER com o seguinte formato de nome:

    <Device name>_<Endpoint name>.cer. Estes certificados contêm a chave pública para os certificados correspondentes instalados no dispositivo.

Terá de instalar estes certificados no sistema cliente que está a utilizar para aceder aos pontos finais do dispositivo Azure Stack Edge. Estes certificados estabelecem confiança entre o cliente e o dispositivo.

Para importar e instalar estes certificados no cliente que está a usar para aceder ao dispositivo, siga os passos nos certificados de Importação dos clientes que acedem ao seu dispositivo gpu Azure Stack Edge Pro.

Se utilizar Explorador de Armazenamento do Azure, terá de instalar certificados no seu cliente em formato PEM e terá de converter os certificados gerados pelo dispositivo em formato PEM.

Importante

  • O link de descarregamento só está disponível para os certificados gerados pelo dispositivo e não se você trouxer os seus próprios certificados.
  • Pode decidir ter uma mistura de certificados gerados pelo dispositivo e trazer os seus próprios certificados desde que sejam cumpridos outros requisitos de certificado. Para mais informações, aceda aos requisitos do Certificado.

Traga os seus próprios certificados

Pode trazer os seus próprios certificados.

Siga estes passos para fazer o upload dos seus próprios certificados, incluindo a cadeia de assinaturas.

  1. Para fazer o upload do certificado, na página 'Certificado' , selecione + Adicionar o certificado.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Pode saltar este passo se incluir todos os certificados na rota do certificado quando exportou certificados em formato .pfx. Se não incluiu todos os certificados na sua exportação, faça o upload da cadeia de assinaturas e, em seguida, selecione Validate & add. Tens de fazer isto antes de enviares os teus outros certificados.

    Em alguns casos, poderá querer trazer uma cadeia de assinaturas sozinha para outros fins - por exemplo, para ligar ao seu servidor de atualização para Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Faça upload de outros certificados. Por exemplo, pode carregar os certificados de ponto final de armazenamento Azure Resource Manager e Blob.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Também pode carregar o certificado de UI web local. Depois de fazer o upload deste certificado, terá de iniciar o seu navegador e limpar a cache. Em seguida, terá de se ligar ao dispositivo web uI local.

    Local web UI

    Também pode carregar o certificado de nó.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    A página do certificado deve atualizar para refletir os certificados recém-adicionados. A qualquer momento, pode selecionar um certificado e ver os detalhes para garantir que estes correspondam ao certificado que fez o upload.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Nota

    Com exceção da nuvem pública Azure, os certificados de cadeia de assinatura são necessários para serem trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).

Configurar encriptação em repouso

  1. No azulejo de Segurança , selecione Configure para encriptação em repouso.

    Nota

    Esta é uma definição necessária e até que esta seja configurada com sucesso, não é possível ativar o dispositivo.

    Na fábrica, uma vez que os dispositivos são imagem, a encriptação BitLocker de nível de volume está ativada. Depois de receber o dispositivo, tem de configurar a encriptação em repouso. O pool de armazenamento e volumes são recriados e você pode fornecer teclas BitLocker para ativar a encriptação em repouso e assim criar uma segunda camada de encriptação para os seus dados em repouso.

  2. No painel de encriptação-em-repouso , forneça uma chave codificada Base-64 de 32 caracteres. Esta é uma configuração única e esta chave é usada para proteger a chave de encriptação real. Pode optar por gerar automaticamente esta chave.

    Screenshot of the local web UI

    Também pode introduzir a sua própria chave de encriptação DE BASE-64 codificada ASE-256 bit.

    Screenshot of the local web UI

    A chave é guardada num ficheiro chave na página de detalhes da Cloud após a ativação do dispositivo.

  3. Selecione Aplicar. Esta operação demora vários minutos e o estado de funcionamento é apresentado.

    Screenshot of the

  4. Depois de o estado aparecer como concluído, o seu dispositivo está agora pronto a ser ativado. Selecione < De volta para Introdução.

Passos seguintes

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configure certificados para o dispositivo físico
  • Configurar encriptação em repouso

Para aprender a ativar o seu dispositivo Azure Stack Edge Pro 2, consulte: