你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
维护本地管理控制台(旧版)
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有的 IT 基础结构进行集中监视和传感器管理,并计划于 2025 年 1 月 1 日停用本地管理控制台。
有关详细信息,请参阅 部署混合或空隙 OT 传感器管理。
本文介绍了可能在大型部署流程之外额外执行的本地管理控制台活动。
注意
客户配置仅支持 OT 网络传感器和本地管理控制台上记录的配置参数。 不要更改任何未记录的配置参数或系统属性,因为更改可能会导致意外行为和系统故障。
未经 Microsoft 批准从传感器中移除包可能会导致意外结果。 传感器上安装的所有包都是正确的传感器功能所必需的。
先决条件
在执行本文中的过程之前,请确保你有:
能以管理员用户身份访问本地管理控制台。 若要访问所选过程和 CLI,你还需要是特权用户。 有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
如果需要更新传感器的证书,请准备好 SSL/TLS 证书。
如果要添加辅助 NIC,则需要以特权用户身份访问 CLI。
下载本地管理控制台的软件
如果要在自己的设备上安装 Defender for IoT 软件或更新软件版本,则可能需要下载本地管理控制台软件。
在 Azure 门户的 Defender for IoT 中,使用以下选项之一:
对于新的安装或独立更新,请选择“开始”>“本地管理控制台”。
- 对于新的安装,在“购买设备并安装软件”区域中选择一个版本,然后选择“下载”。
- 对于更新,请在“本地管理控制台”区域中选择更新方案,然后选择“下载”。
如果要将本地管理控制台与连接的 OT 传感器一起更新,请使用“站点和传感器”页面>“传感器更新(预览版)”菜单中的选项。
在安装后添加辅助 NIC
通过添加辅助 NIC 提高本地管理控制台的安全性,该辅助 NIC 专用于某个 IP 地址范围内的已连接的传感器。 使用辅助 NIC 时,第一个专用于最终用户,辅助 NIC 支持为路由网络配置网关。
此过程介绍如何在安装本地管理控制台后添加辅助 NIC。
若要添加辅助 NIC,请执行以下操作:
通过 SSH 登录到本地管理控制台以访问 CLI,然后运行:
sudo cyberx-management-network-reconfigure输入以下问题的以下响应:
参数 要输入的响应 管理网络 IP 地址 N子网掩码 NDNS N默认网关 IP 地址 N传感器监视接口
可选。 当传感器位于不同网段上时相关。Y,并选择一个可能的值传感器监视接口的 IP 地址 Y,并输入可供传感器访问的 IP 地址传感器监视接口的子网掩码 Y,并输入可供传感器访问的 IP 地址主机名 输入主机名 查看所有选项,并输入
Y以接受更改。 系统将重新启动。
上传新的激活文件
已在部署过程中激活本地管理控制台。
在维护过程中(例如,如果受监视设备的总数超过得到许可的设备数),可能需要重新激活本地管理控制台。
若要将新的激活文件上传到本地管理控制台,请执行以下操作:
在 Azure 门户上的 Defender for IoT 中,选择“计划和定价”。
选择你的计划,然后选择“下载本地管理控制台激活文件”。
将下载的文件保存到可从本地管理控制台访问的位置。
从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。
登录到你的本地管理控制台,选择“系统设置”>“激活”。
在“激活”对话框中,选择“选择文件”并浏览到之前下载的激活文件。
选择“关闭”以保存更改。
管理 SSL/TLS 证书
如果使用生产环境,则已在本地管理控制台部署过程中部署了 CA 签名的 SSL/TLS 证书。 建议仅在测试时使用自签名证书。
以下过程介绍如何部署更新的 SSL/TLS 证书,例如证书已过期时。
若要部署 CA 签名的证书,请执行以下操作:
登录到本地管理控制台,选择“系统设置”>“SSL/TLS 证书”。
在“SSL/TLS 证书”对话框中,选择“+ 添加证书”并输入以下值:
参数 说明 证书名称 输入证书名称。 密码 - 可选 输入通行短语。 私钥(密钥文件) 上传私钥(密钥文件)。 证书(CRT 文件) 上传证书(CRT 文件)。 证书链(PEM 文件) - 可选 上传证书链(PEM 文件)。 例如:
如果上传失败,请联系安全或 IT 管理员。 有关详细信息,请参阅本地资源的 SSL/TLS 证书要求以及为 OT 设备创建 SSL/TLS 证书。
选择“启用证书验证”选项,以使用颁发的证书颁发机构和证书吊销列表为 SSL/TLS 证书启用系统范围内的验证。
如果该选项已启用,但验证失败,则相关组件之间的通信将会停止,并在传感器中显示验证错误。 有关详细信息,请参阅 CRT 文件要求。
选择“保存” 以保存更改。
“不安全”警报,然后选择警告消息“你与此网站的连接不安全”旁边的 > 图标。 例如:
“显示证书”图标以查看该网站的安全证书。排查证书上传错误
如果证书未正确创建或无效,你将无法将证书上传到 OT 传感器或本地管理控制台。 如果证书上传失败并显示错误消息,请使用下表了解如何采取措施:
| 证书验证错误 | 建议 |
|---|---|
| 密码与密钥不匹配 | 确保你有正确的密码。 如果问题持续出现,请尝试使用正确的密码重新创建证书。 有关详细信息,请参阅密钥和通行短语支持的字符。 |
| 无法验证信任链。 提供的证书和根 CA 不匹配。 | 确保 .pem 文件与 .crt 文件相关联。 如果问题仍然存在,请尝试使用 .pem 文件定义的正确信任链重新创建证书。 |
| 此 SSL 证书已过期,被视为无效。 | 创建具有有效日期的新证书。 |
| 此证书已被 CRL 吊销,因此在安全连接中不可信 | 创建新的未吊销证书。 |
| 无法访问 CRL(证书吊销列表)位置。 验证是否可以从此设备访问 URL | 确保网络配置允许传感器或本地管理控制台访问证书中定义的 CRL 服务器。 有关详细信息,请参阅 验证 CRL 服务器访问。 |
| 证书验证失败 | 这表示设备中出现常规错误。 请联系 Microsoft 支持部门。 |
更改本地管理控制台的名称
本地管理控制台的默认名称是“管理控制台”,它显示在本地管理控制台 GUI 和故障排除日志中。
若要更改本地管理控制台的名称,请执行以下操作:
登录到本地管理控制台并选择左下角版本号正上方的名称。
在“编辑管理控制台配置”对话框中,输入新名称。 名称不能超过 25 个字符。 例如:
选择保存以保存您所做的更改。
恢复特权用户密码
如果以特权用户身份不再有权访问本地管理控制台,请通过 Azure 门户恢复访问权限。
若要恢复特权用户访问权限,请执行以下步骤:
转到本地管理控制台的登录页面,然后选择“密码恢复”。
选择要恢复其访问权限的用户,即“支持”或“CyberX”用户。
将“密码恢复”对话框中显示的标识符复制到安全位置。
转到 Azure 门户中的 Defender for IoT,并确保查看用于加入当前连接到本地管理控制台的 OT 传感器的订阅。
选择“站点和传感器”>“更多操作”>“恢复本地管理控制台密码”。
输入之前从本地管理控制台复制的机密标识符,然后选择“恢复”。
从浏览器下载
password_recovery.zip文件。从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。
在本地管理控制台的“密码恢复”对话框中,选择“上传”,然后选择已下载的
password_recovery.zip文件。
随即将显示新凭据。
编辑主机名
本地管理控制台的主机名必须与组织 DNS 服务器中配置的主机名一致。
若要编辑保存在本地管理控制台的主机名,请执行以下操作:
登录到本地管理控制台,然后选择“系统设置”。
在“管理控制台网络”区域中,选择“网络”。
输入新主机名,然后选择“保存”以保存更改。
定义 VLAN 名称
VLAN 名称在 OT 传感器和本地管理控制台之间未同步。 如果在 OT 传感器上定义了 VLAN 名称,则建议在本地管理控制台上定义相同的 VLAN 名称。
若要定义 VLAN 名称,请执行以下操作:
登录到本地管理控制台,然后选择“系统设置”。
在“管理控制台网络”区域中,选择“VLAN”。
在“编辑 VLAN 配置”对话框中,选择“添加 VLAN”,然后一次输入一个 VLAN ID 和名称。
选择“保存”以保存更改。
配置 SMTP 邮件服务器设置
在本地管理控制台定义 SMTP 邮件服务器设置,以便配置本地管理控制台,以将数据发送到其他服务器和合作伙伴服务。
例如,需要配置一个 SMTP 邮件服务器来设置邮件转发和配置转发警报规则。
先决条件:
确保可以从本地管理控制台访问 SMTP 服务器。
若要在本地管理控制台配置 SMTP 服务器,请执行以下操作:
通过 SSH/Telnet 以特权用户身份登录到本地管理控制台。
运行:
nano /var/cyberx/properties/remote-interfaces.properties根据提示输入以下 SMTP 服务器详细信息:
mail.smtp_servermail.port。 默认端口为25。mail.sender
后续步骤
有关详细信息,请参阅: