你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:为 Azure Stack Edge Pro R 配置证书

本教程介绍如何通过本地 Web UI 为 Azure Stack Edge Pro R 设备配置证书。

此步骤所花费的时间取决于你选择的特定选项,以及在环境中建立证书流的方式。

在本教程中,你将学习:

  • 先决条件
  • 为物理设备配置证书
  • 配置 VPN
  • 配置静态加密

先决条件

配置和设置 Azure Stack Edge Pro R 设备之前,请确保:

  • 已按照安装 Azure Stack Edge Pro R 中详述的内容安装物理设备。
  • 如果计划自带证书:
    • 应该使用适当的格式来准备证书,包括签名链证书。 有关证书的详细信息,请参阅管理证书

为设备配置证书

  1. 在“证书”页中,将配置证书。 根据在“设备”页中更改的是设备名称还是 DNS 域,可以为证书选择以下某个选项。

    • 如果在上一步中没有更改设备名称或 DNS 域,则可以跳过此步骤,继续进行下一步。 设备首先已自动生成自签名证书。

    • 如果更改了设备名称或 DNS 域,会看到证书的状态显示为“无效”。

      Local web UI

      选择证书查看状态详细信息。

      Local web UI

      这是因为证书不反映更新的设备名称和 DNS 域(在使用者名称和使用者备用名称中使用)。 若要成功激活设备,可使用自己的已签名终结点证书和相应的签名链。 先添加签名链,然后上传终结点证书。 有关详细信息,请转到在 Azure Stack Edge Pro R 设备上使用自己的证书

    • 如果更改了设备名称或 DNS 域,但没有使用你自己的证书,那么激活操作将遭到阻止。

使用自己的证书

请按照以下步骤添加自己的证书,包括签名链。

  1. 若要上传证书,请在“证书”页上选择“+ 添加证书” 。

    Local web UI

  2. 首先上传签名链,然后选择“验证和添加”

    Local web UI

  3. 现在,可以上传其他证书。 例如,可以上传 Azure 资源管理器和 Blob 存储终结点证书。

    Local web UI

    还可以上传本地 Web UI 证书。 上传该证书后,需要启动浏览器并清除缓存。 然后需要连接到设备本地 Web UI。

    Local web UI

    还可以上传节点证书。

    Local web UI

    最后,你可上传 VPN 证书。

    Local web UI

    可以随时选择证书并查看详细信息,以确保这些内容与上传的证书匹配。

    证书页面应会更新,显示新添加的证书。

    Local web UI

    注意

    除 Azure 公有云外,需要在激活所有云配置(Azure 政府或 Azure Stack)之前引入签名链证书。

  4. 选择“< 返回到‘开始使用’”。

配置 VPN

  1. 在“安全”磁贴上,为 VPN 选择“配置” 。

    Local web UI

    若要配置 VPN,需要先确保你已在 VPN 上完成所有必要的配置。 有关详细信息,请参阅配置先决条件配置 VPN 的 Azure 资源。 完成此操作后,就可在本地 UI 中进行配置。

    1. 在 VPN 页面上,选择“配置”。
    2. 在“配置 VPN”边栏选项卡中:
    • 启用“VPN 设置”。

    • 提供 VPN 共享机密。 这是你在创建 Azure VPN 连接对象时提供的共享密钥。

    • 提供 VPN 网关 IP 地址。 这是 Azure 本地网络网关 IP 地址。

    • 对于“PFS 组”,选择“无” 。

    • 对于“DH 组”,选择“组 2” 。

    • 对于“IPsec 完整性方法”,选择 SHA256 。

    • 对于“IPseccipher 转换常量”,选择 GCMAES256 。

    • 对于“IPsec 身份验证转换常量”,选择 GCMAES256 。

    • 对于“IKE 加密方法”,选择 AES256 。

    • 选择“应用”。

      Configure local UI 2

    1. 若要上传 VPN 路由配置文件,请选择“上传”。

      Configure local UI 3

      • 浏览上一步骤中在本地系统上下载的 VPN 配置 json 文件。

      • 选择该区域作为与设备、虚拟网络和网关关联的 Azure 区域。

      • 选择“应用”。

        Configure local UI 4

    2. 若要添加特定于客户端的路由,请配置 IP 地址范围,使其仅可通过 VPN 访问。

      • 在“仅使用 VPN 访问的 IP 地址范围”下,选择“配置” 。

      • 提供有效的 IPv4 范围,然后选择“添加”。 重复上述步骤以添加其他范围。

      • 选择“应用”。

        Configure local UI 5

  2. 选择“< 返回到‘开始使用’”。

配置静态加密

  1. 在“安全”磁贴上,为静态加密选择“配置” 。 此设置是必需项;在成功配置该设置后,你才可激活设备。

    出厂时,在设备创建映像后,会启用卷级别的 BitLocker 加密。 你在收到设备后,需要配置静态加密。 这会重新创建存储池和卷,你可提供 BitLocker 密钥来启用静态加密,进而为静态数据创建第二层加密。

  2. 在“静态加密”窗格中,输入 32 个字符、Base-64 编码的密钥。 这是一次性配置,此密钥用于保护实际的加密密钥。 你可选择自动生成此密钥或输入一个密钥。

    Local web UI

    激活设备后,密钥将保存在“云详细信息”页上的密钥文件中。

  3. 选择“应用”。 此操作耗时数分钟,操作状态显示在“安全”磁贴上。

    Local web UI

  4. 在状态显示为“已完成”后,选择“< 返回到‘开始使用’”。

现可激活设备。

后续步骤

在本教程中,你将学习:

  • 先决条件
  • 为物理设备配置证书
  • 配置 VPN
  • 配置静态加密

若要了解如何激活 Azure Stack Edge Pro R 设备,请参阅: