你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：为 Azure Stack Edge Pro 2 配置证书

本教程介绍如何通过本地 Web UI 为 Azure Stack Edge Pro 2 配置证书。

此步骤所花费的时间取决于你选择的特定选项，以及在环境中建立证书流的方式。

在本教程中，你将学习：

• 先决条件
• 为物理设备配置证书
• 配置静态加密

先决条件

在配置和设置 Azure Stack Edge Pro 2 设备之前，请确保：

• 已根据安装 Azure Stack Edge Pro 2 中详述的内容安装了物理设备。

• 如果你计划使用自己的证书：

  • 应该使用适当的格式来准备证书，包括签名链证书。
  • 如果你的设备已在 Azure 政府中部署，但未在 Azure 公有云中部署，则需具备签名链证书，然后才能激活该设备。

  有关证书的详细信息，请转到准备证书以上传到 Azure Stack Edge 设备。

为设备配置证书

1. 在设备的本地 Web UI 中打开“证书”页。 此页将显示设备上可用的证书。 设备随附自签名证书，也称为设备证书。 你也可以自带证书。

2. 仅当你在之前配置设备设置时没有更改设备名或 DNS 域，并且不想使用自己的证书时，才执行此步骤。

   不需要在此页面中执行任何配置。 只需验证所有证书的状态是否在此页上显示为有效。

   

   你已准备好使用现有设备证书配置静态加密。

3. 只有在更改了设备的设备名或 DNS 域时，才执行剩余步骤。 在这些情况下，设备证书的状态将为“无效”。 这是因为证书的 subject name 和 subject alternative 设置中的设备名和 DNS 域已过期。

   可以选择证书以查看状态详细信息。

   

4. 如果已更改了设备的设备名或 DNS 域，并且没有提供新证书，则将阻止激活设备。若要在设备上使用一组新证书，请选择以下选项之一：

   • 生成所有设备证书。 如果打算使用自动生成的设备证书并且需要生成新的设备证书，请选择此选项，然后完成生成设备证书中的步骤。 应将这些设备证书仅用于测试，而不用于生产工作负载。

   • 使用自己的证书。 如果要使用自己的签名终结点证书和相应的签名链，请选择此选项，然后执行自带证书中的步骤。 建议始终将自己的证书用于生产工作负载。

   • 可以选择自带一些证书并生成一些设备证书。 “生成所有设备证书”选项仅重新生成设备证书。

5. 如果设备有一组完整的有效证书，请选择“<返回到‘开始使用’”。 现在可以继续配置静态加密。

生成设备证书

按照以下步骤操作，以生成设备证书。

使用以下步骤重新生成并下载 Azure Stack Edge Pro 2 设备证书：

1. 在设备的本地 Web UI 中，转到“配置”>“证书”。 选择“生成证书”。

   

2. 在“生成设备证书”中，选择“生成” 。

   

   现在已生成并应用设备证书。 生成并应用证书需要几分钟时间。

   重要

   正在执行证书生成操作时，请勿使用自己的证书并尝试通过“+ 添加证书”选项添加证书。

   操作成功完成后，系统会发出通知。 若要避免任何潜在的缓存问题，请重启浏览器。

   

3. 生成证书后：

   • 请确保所有证书的状态均显示为“有效”。

     

   • 可以选择特定证书名称，并查看证书详细信息。

     

   • “下载”列现已填充。 此列包含用于下载重新生成的证书的链接。

     

4. 选择证书的下载链接，并在系统出现提示时保存证书。

   

5. 对要下载的所有证书重复此过程。

   

   设备生成的证书按以下名称格式保存为 DER 证书：

   <Device name>_<Endpoint name>.cer。 这些证书包含设备上安装的相应证书的公钥。

需要在所用客户端系统上安装这些证书，才能在 Azure Stack Edge 设备上访问终结点。 这些证书在客户端和设备之间建立信任关系。

若要在所用客户端上导入并安装这些证书以访问设备，请按照在访问 Azure Stack Edge Pro GPU 设备的客户端上导入证书中的步骤操作。

如果使用 Azure 存储资源管理器，需要在客户端上以 PEM 格式安装证书，并且需要将设备生成的证书转换为 PEM 格式。

重要

• 下载链接仅适用于设备生成的证书，并不适用于使用自己的证书。
• 可以决定搭配使用设备生成的证书和自己的证书，只要满足其他证书要求即可。 有关详细信息，请转到证书要求。

使用自己的证书

你可以使用自己的证书。

• 首先了解可与 Azure Stack Edge 设备一起使用的证书类型。
• 接下来，查看每种类型的证书的证书要求。
• 然后，可以通过 Azure PowerShell 创建证书或通过就绪检查器工具创建证书。
• 最后，将证书转换成正确的格式，这样它们就可以上传到你的设备。

请按照以下步骤上传自己的证书，包括签名链。

1. 若要上传证书，请在“证书”页上选择“+ 添加证书” 。

   

2. 如果在导出 .pfx 格式的证书时，在证书路径中包含了所有证书，则可以跳过此步骤。 如果导出中不包含所有证书，请上传签名链，然后选择“ 验证并添加”。 需要在上传其他证书之前执行此操作。

   在某些情况下，建议单独将签名链用于其他目的 - 例如，连接到 Windows Server Update Services (WSUS) 的更新服务器。

   

3. 上传其他证书。 例如，可以上传 Azure 资源管理器和 Blob 存储终结点证书。

   

   还可以上传本地 Web UI 证书。 上传该证书后，需要启动浏览器并清除缓存。 然后需要连接到设备本地 Web UI。

   

   还可以上传节点证书。

   

   证书页面应会更新，显示新添加的证书。 可以随时选择证书并查看详细信息，以确保这些内容与上传的证书匹配。

   

   注意

   除 Azure 公有云外，需要在激活所有云配置（Azure 政府或 Azure Stack）之前引入签名链证书。

配置静态加密

1. 在“安全”磁贴上，为静态加密选择“配置” 。

   注意

   此设置是必需项；在成功配置该设置后，你才可激活设备。

   出厂时，在设备创建映像后，会启用卷级别的 BitLocker 加密。 你在收到设备后，需要配置静态加密。 这会重新创建存储池和卷，你可提供 BitLocker 密钥来启用静态加密，进而为静态数据创建第二层加密。

2. 在“静态加密”窗格中，输入 32 个字符、Base-64 编码的密钥。 这是一次性配置，此密钥用于保护实际的加密密钥。 可以选择自动生成此密钥。

   

   还可以输入自己的 Base-64 编码的 ASE-256 位加密密钥。

   

   激活设备后，密钥将保存在“云详细信息”页上的密钥文件中。

3. 选择“应用”。 此操作耗时数分钟，并且会显示操作状态。

   

4. 在状态显示为“已完成”后，就可以激活设备了。 选择“< 返回到‘开始使用’”。

后续步骤

在本教程中，你将学习：

• 先决条件
• 为物理设备配置证书
• 配置静态加密

若要了解如何激活 Azure Stack Edge Pro 2 设备，请参阅：

激活 Azure Stack Edge Pro 2 设备