Руководство по настройке сертификатов для Azure Stack Edge Pro 2

В этом руководстве описывается, как настроить сертификаты для Azure Stack Edge Pro 2 с помощью локального пользовательского веб-интерфейса.

Необходимое время на выполнение этого шага зависит от выбранного варианта и существующего потока управления сертификатами в вашей среде.

В этом руководстве вы рассмотрите следующее:

  • Предварительные требования
  • Настройка сертификатов для физического устройства
  • Настройка шифрования неактивных данных

Предварительные требования

Перед настройкой и настройкой устройства Azure Stack Edge Pro 2 убедитесь, что:

  • Вы установили физическое устройство, как описано в разделе "Установка Azure Stack Edge Pro 2".

  • Если вы планируете применить собственные сертификаты:

    • эти сертификаты должны быть подготовлены в соответствующем формате, включая сертификат цепочки подписывания.
    • Если ваше устройство развернуто в Azure для государственных организаций, а не в общедоступном облаке Azure, то перед активацией устройства необходимо получить сертификат цепочки подписывания.

    Дополнительные сведения о сертификатах см. в статье "Подготовка сертификатов для отправки на устройство Azure Stack Edge".

Настройка сертификатов для устройства

  1. Откройте страницу "Сертификаты" в локальном веб-интерфейсе устройства. На этой странице будут отображаться сертификаты, доступные на устройстве. Устройство поставляется с самозаверяющей подписью сертификатов, которые также называются сертификатами устройств. Вы также можете использовать собственные сертификаты.

  2. Выполните этот шаг, только если вы не изменили имя устройства или домен DNS, если вы настроили параметры устройства ранее и не хотите использовать собственные сертификаты.

    Вам не нужно настраивать конфигурацию на этой странице. Необходимо убедиться, что состояние всех сертификатов отображается как допустимое на этой странице.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Вы готовы настроить шифрование неактивных данных с помощью существующих сертификатов устройств.

  3. Выполните остальные действия, только если вы изменили имя устройства или домен DNS для устройства. В этих случаях состояние сертификатов устройства будет недопустимым. Это связано с тем, что имя устройства и домен DNS в сертификатах и subject namesubject alternative параметры устарели.

    Вы можете выбрать сертификат для просмотра сведений о состоянии.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Если вы изменили имя устройства или домен DNS устройства и не предоставляете новые сертификаты, активация устройства будет заблокирована. Чтобы использовать новый набор сертификатов на устройстве, выберите один из следующих вариантов:

    • Создание всех сертификатов устройства. Выберите этот параметр, а затем выполните действия, описанные в разделе "Создание сертификатов устройств", если планируется использовать автоматически созданные сертификаты устройств и необходимо создать новые сертификаты устройств. Эти сертификаты устройств следует использовать только для тестирования, а не для рабочих нагрузок.

    • Использование собственных сертификатов. Выберите этот параметр, а затем выполните действия, описанные в разделе "Перенос собственных сертификатов", если вы хотите использовать собственные подписанные сертификаты конечной точки и соответствующие цепочки подписывания. Мы рекомендуем всегда использовать для рабочих нагрузок собственные сертификаты.

    • Вы можете использовать некоторые собственные сертификаты и создавать сертификаты устройств. Параметр "Создать все сертификаты устройства" повторно создает только сертификаты устройств.

  5. Если у вас есть полный набор действительных сертификатов для устройства, нажмите кнопку< "Назад", чтобы начало работы. Теперь можно продолжить настройку шифрования неактивных данных.

Создание сертификатов устройства

Выполните описанные ниже действия, чтобы создать сертификаты устройства.

Выполните следующие действия, чтобы повторно создать и скачать сертификаты устройств Azure Stack Edge Pro 2.

  1. В локальном пользовательском интерфейсе устройства перейдите к сертификатам конфигурации>. Выберите действие Создать сертификаты.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. В разделе Создание сертификатов устройства выберите элемент Создать.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    При выполнении этого действия будут созданы и применены сертификаты устройства. Создание и применение сертификатов занимает несколько минут.

    Важно!

    Пока выполняется операция создания сертификатов, не начинайте передачу собственных сертификатов или добавление с помощью действия + Добавить сертификат.

    После успешного завершения операции вы получите уведомление. Чтобы избежать возможных проблем с кэшем, перезапустите браузер.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. После создания сертификатов происходят следующие изменения:

    • Убедитесь, что состояние всех сертификатов отображается как допустимое.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Вы можете выбрать конкретное имя сертификата и просмотреть сведения о сертификате.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Столбец Скачивания теперь заполнен. Этот столбец содержит ссылки для скачивания повторно созданных сертификатов.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Щелкните ссылку, чтобы скачать нужный сертификат, и подтвердите его сохранение в соответствующем запросе.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Повторите этот процесс для всех нужных сертификатов.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Созданные устройством сертификаты сохраняются в формате DER с именами следующего вида:

    <Device name>_<Endpoint name>.cer. Эти сертификаты содержат открытый ключ сертификатов, закрытая часть которых установлена на устройстве.

Эти сертификаты необходимо установить в клиентской системе, которую вы используете для доступа к конечным точкам на устройстве Azure Stack Edge. Эти сертификаты позволяют создать отношения доверия между клиентом и устройством.

Чтобы импортировать и установить эти сертификаты на клиенте, который вы используете для доступа к устройству, выполните действия, описанные в разделе "Импорт сертификатов" на клиентах, обращающийся к устройству Azure Stack Edge Pro GPU.

При использовании Обозреватель службы хранилища Azure необходимо установить сертификаты на клиенте в формате PEM и преобразовать созданные устройства сертификаты в формат PEM.

Важно!

  • Ссылка для скачивания предоставляется только для созданных устройством сертификатов, но не для предоставленных вами собственных сертификатов.
  • Вы можете произвольным образом сочетать созданные устройством сертификаты и собственные сертификаты, если соблюдаются все остальные требования к сертификатам. Дополнительные сведения о требованиях к сертификатам см. здесь.

Использование собственных сертификатов

Вы можете использовать собственные сертификаты.

Следующая процедура позволяет передать собственные сертификаты, включая цепочку подписывания.

  1. Чтобы отправить сертификат, выберите на странице Сертификат действие + Добавить сертификат.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Этот шаг можно пропустить, если вы включили все сертификаты в путь к сертификату при экспорте сертификатов в формате PFX. Если вы не включили все сертификаты в экспорт, отправьте цепочку подписей и нажмите кнопку "Проверить & добавить". Это необходимо сделать перед отправкой других сертификатов.

    В некоторых случаях может потребоваться использовать цепочку подписывания в других целях, например, для подключения к серверу обновления для Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Upload другие сертификаты. Например, вы можете отправить сертификаты конечных точек Azure Resource Manager и (или) Хранилища BLOB-объектов.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Кроме того, вы можете отправить сертификаты локального пользовательского веб-интерфейса. После отправки этого сертификата вам потребуется запустить браузер и очистить кэш. Затем необходимо подключиться к локальному веб-интерфейсу устройства.

    Local web UI

    Кроме того, вы можете отправить сертификат узла.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Теперь на странице "Сертификаты" должны появиться все добавленные вами сертификаты. В любое время вы можете выбрать сертификат, просмотреть сведения о нем и убедиться, что они соответствуют отправленному сертификату.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Примечание

    Во всех облачных конфигурациях, кроме общедоступного облака Azure (то есть в Azure для государственных организаций или Azure Stack), сертификаты цепочки подписывания нужно предоставить до активации.

Настройка шифрования неактивных данных

  1. На плитке Безопасность выберите действие Настроить для шифрования неактивных данных.

    Примечание

    Это обязательный параметр. Вы сможете активировать устройство только после правильной настройки этого параметра.

    При производстве после развертывания образа на устройстве активируется шифрование BitLocker на уровне тома. После получения устройства необходимо настроить шифрование неактивных данных. Пул носителей и тома создаются повторно, и вы можете предоставить ключи BitLocker, чтобы включить шифрование неактивных данных и создать второй уровень шифрования для ваших неактивных данных.

  2. В области Encryption-at-rest (Шифрование неактивных данных) укажите ключ в кодировке Base-64 длиной 32 символа. Это одноразовая конфигурация, а этот ключ используется для защиты фактического ключа шифрования. Вы можете автоматически создать этот ключ.

    Screenshot of the local web UI

    Вы также можете ввести собственный ключ шифрования ASE-256 в кодировке Base-64.

    Screenshot of the local web UI

    Этот ключ сохраняется в файле ключа на странице Cloud details (Сведения об облаке) после активации устройства.

  3. Нажмите кнопку Применить. Эта операция занимает несколько минут, и отображается состояние операции.

    Screenshot of the

  4. После отображения состояния " Завершено" устройство теперь готово к активации. Нажмите кнопку "<Назад", чтобы начало работы.

Дальнейшие действия

В этом руководстве вы рассмотрите следующее:

  • Предварительные требования
  • Настройка сертификатов для физического устройства
  • Настройка шифрования неактивных данных

Сведения о том, как активировать устройство Azure Stack Edge Pro 2, см. в статье: