Tutorial: Configurar certificados para o Azure Stack Edge Pro 2

  • Artigo

Este tutorial descreve como você pode configurar certificados para seu Azure Stack Edge Pro 2 usando a interface do usuário da Web local.

O tempo necessário para essa etapa pode variar dependendo da opção específica escolhida e de como o fluxo de certificados é estabelecido em seu ambiente.

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar criptografia em repouso

Pré-requisitos

Antes de configurar e configurar seu dispositivo Azure Stack Edge Pro 2, certifique-se de que:

  • Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Pro 2.

  • Se planeia trazer os seus próprios certificados:

    • Você deve ter seus certificados prontos no formato apropriado, incluindo o certificado da cadeia de assinatura.
    • Se o seu dispositivo for implantado no Azure Government e não implantado na nuvem pública do Azure, um certificado de cadeia de assinatura será necessário antes que você possa ativar seu dispositivo.

    Para obter detalhes sobre certificados, vá para Preparar certificados para carregar em seu dispositivo Azure Stack Edge.

Configurar certificados para dispositivo

  1. Abra a página Certificados na interface do usuário da Web local do seu dispositivo. Esta página exibirá os certificados disponíveis no seu dispositivo. O dispositivo é fornecido com certificados autoassinados, também conhecidos como certificados de dispositivo. Você também pode trazer seus próprios certificados.

  2. Siga este passo apenas se não tiver alterado o nome do dispositivo ou o domínio DNS quando definiu as definições do dispositivo anteriormente e não pretender utilizar os seus próprios certificados.

    Você não precisa executar nenhuma configuração nesta página. Você só precisa verificar se o status de todos os certificados mostra como válido nesta página.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Você está pronto para configurar a criptografia em repouso com os certificados de dispositivo existentes.

  3. Siga os passos restantes apenas se tiver alterado o nome do dispositivo ou o domínio DNS do seu dispositivo. Nesses casos, o status dos certificados do dispositivo será Não válido. Isso porque o nome do dispositivo e o domínio DNS nos certificados e subject alternative configurações estão desatualizadossubject name.

    Você pode selecionar um certificado para exibir os detalhes do status.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Se tiver alterado o nome do dispositivo ou o domínio DNS do dispositivo e não fornecer novos certificados, a ativação do dispositivo será bloqueada. Para usar um novo conjunto de certificados no seu dispositivo, escolha uma das seguintes opções:

    • Gere todos os certificados do dispositivo. Selecione essa opção e conclua as etapas em Gerar certificados de dispositivo, se você planeja usar certificados de dispositivo gerados automaticamente e precisa gerar novos certificados de dispositivo. Você só deve usar esses certificados de dispositivo para testes, não com cargas de trabalho de produção.

    • Traga os seus próprios certificados. Selecione essa opção e siga as etapas em Traga seus próprios certificados, se quiser usar seus próprios certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. Recomendamos que você sempre traga seus próprios certificados para cargas de trabalho de produção.

    • Você pode optar por trazer alguns de seus próprios certificados e gerar alguns certificados de dispositivo. A opção Gerar todos os certificados de dispositivo apenas regenera os certificados de dispositivo.

  5. Quando tiver um conjunto completo de certificados válidos para o seu dispositivo, selecione < Voltar para Introdução. Agora você pode continuar a configurar a criptografia em repouso.

Gerar certificados de dispositivo

Siga estas etapas para gerar certificados de dispositivo.

Use estas etapas para regenerar e baixar os certificados de dispositivo do Azure Stack Edge Pro 2:

  1. Na interface do usuário local do seu dispositivo, vá para Certificados de configuração>. Selecione Gerar certificados.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Em Gerar certificados de dispositivo, selecione Gerar.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Os certificados de dispositivo agora são gerados e aplicados. Leva alguns minutos para gerar e aplicar os certificados.

    Importante

    Enquanto a operação de geração de certificados estiver em andamento, não traga seus próprios certificados e tente adicioná-los por meio da opção + Adicionar certificado .

    Você será notificado quando a operação for concluída com êxito. Para evitar possíveis problemas de cache, reinicie o navegador.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Depois que os certificados são gerados:

    • Verifique se o status de todos os certificados é mostrado como Válido.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Você pode selecionar um nome de certificado específico e exibir os detalhes do certificado.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • A coluna Download agora está preenchida. Esta coluna tem links para baixar os certificados regenerados.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Selecione o link de download de um certificado e, quando solicitado, salve o certificado.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Repita este processo para todos os certificados que deseja baixar.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Os certificados gerados pelo dispositivo são salvos como certificados DER com o seguinte formato de nome:

    <Device name>_<Endpoint name>.cer. Esses certificados contêm a chave pública para os certificados correspondentes instalados no dispositivo.

Você precisará instalar esses certificados no sistema cliente que está usando para acessar os pontos de extremidade no dispositivo Azure Stack Edge. Esses certificados estabelecem confiança entre o cliente e o dispositivo.

Para importar e instalar esses certificados no cliente que você está usando para acessar o dispositivo, siga as etapas em Importar certificados nos clientes que acessam seu dispositivo de GPU do Azure Stack Edge Pro.

Se estiver usando o Gerenciador de Armazenamento do Azure, você precisará instalar certificados em seu cliente no formato PEM e converter os certificados gerados pelo dispositivo em formato PEM.

Importante

  • O link de download só está disponível para os certificados gerados pelo dispositivo e não se você trouxer seus próprios certificados.
  • Você pode decidir ter uma combinação de certificados gerados por dispositivo e trazer seus próprios certificados, desde que outros requisitos de certificado sejam atendidos. Para obter mais informações, vá para Requisitos de certificado.

Traga os seus próprios certificados

Pode trazer os seus próprios certificados.

Siga estas etapas para carregar seus próprios certificados, incluindo a cadeia de assinatura.

  1. Para carregar o certificado, na página Certificado , selecione + Adicionar certificado.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Você pode ignorar esta etapa se tiver incluído todos os certificados no caminho do certificado ao exportar certificados no formato .pfx. Se não tiver incluído todos os certificados na sua exportação, carregue a cadeia de assinatura e, em seguida, selecione Validar & adicionar. Você precisa fazer isso antes de carregar seus outros certificados.

    Em alguns casos, talvez você queira trazer uma cadeia de assinatura sozinha para outros fins - por exemplo, para se conectar ao seu servidor de atualizações para o Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Carregue outros certificados. Por exemplo, você pode carregar os certificados de ponto de extremidade do Azure Resource Manager e do Blob storage.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Você também pode carregar o certificado da interface do usuário da Web local. Depois de carregar este certificado, ser-lhe-á pedido que inicie o navegador e limpe a cache. Em seguida, você precisará se conectar à interface do usuário da Web local do dispositivo.

    Local web UI

    Você também pode carregar o certificado do nó.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    A página do certificado deve ser atualizada para refletir os certificados recém-adicionados. A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que eles correspondam ao certificado que você carregou.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Nota

    Exceto para a nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).

Configurar criptografia em repouso

  1. No bloco Segurança, selecione Configurar para criptografia em repouso.

    Nota

    Essa é uma configuração necessária e, até que seja configurada com êxito, você não poderá ativar o dispositivo.

    Na fábrica, assim que os dispositivos são fotografados, a criptografia BitLocker de nível de volume é habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves BitLocker para habilitar a criptografia em repouso e, assim, criar uma segunda camada de criptografia para seus dados em repouso.

  2. No painel Criptografia em repouso, forneça uma chave codificada Base-64 de 32 caracteres. Esta é uma configuração única e essa chave é usada para proteger a chave de criptografia real. Você pode optar por gerar automaticamente essa chave.

    Screenshot of the local web UI

    Também pode introduzir a sua própria chave de encriptação ASE-256 bit codificada em Base-64.

    Screenshot of the local web UI

    A chave é salva em um arquivo de chave na página de detalhes da nuvem depois que o dispositivo é ativado.

  3. Selecione Aplicar. Esta operação leva vários minutos e o status da operação é exibido.

    Screenshot of the

  4. Depois que o status for exibido como Concluído, seu dispositivo estará pronto para ser ativado. Selecione Voltar < para Começar.

Próximos passos

Neste tutorial, ficará a saber mais sobre:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar criptografia em repouso

Para saber como ativar seu dispositivo Azure Stack Edge Pro 2, consulte:

Ativar o dispositivo Azure Stack Edge Pro 2