本教學課程說明如何使用本機 Web UI 為 Azure Stack Edge Mini R 裝置設定憑證、VPN 和待用加密。
此步驟所花費的時間可能會有所不同,具體取決於您選擇的特定選項,以及憑證流程在環境中建立的方式。
在本教學課程中,您會了解:
- 先決條件
- 設定實體裝置的憑證
- 設定 VPN
- 設定待用加密
先決條件
在您設定和設置 Azure Stack Edge Mini R 裝置之前,請確認:
您已安裝實體裝置,如 安裝 Azure Stack Edge Mini R 中所述。
如果您打算自備憑證:
設定裝置的憑證
在 [憑證] 頁面中,設定您的憑證。 根據您是在 [ 裝置 ] 頁面中變更裝置名稱或 DNS 網域,您可以為憑證選擇下列其中一個選項。
如果您尚未在先前的步驟中變更預設裝置名稱或預設 DNS 網域,且不想自備憑證,則可以略過此步驟並繼續下一步。 裝置已自動產生自簽署憑證。
如果您變更了裝置名稱或 DNS 網域,憑證的狀態將顯示為 無效。
選取憑證以檢視狀態的詳細資料。
憑證狀態為 [無效 ],因為憑證未反映更新的裝置名稱和 DNS 網域 (用於主體名稱和主體替代項)。 若要成功啟用裝置,您可以攜帶自己的已簽署端點憑證和對應的簽署鏈結。 您先新增簽署鏈結,然後上傳端點憑證。 如需詳細資訊,請移至 Azure Stack Edge Mini R 裝置上自備憑證。
如果您變更了裝置名稱或 DNS 網域,並且您沒有攜帶自己的憑證,則 啟動將被封鎖。
自備憑證
您已在此裝置上的先前步驟中新增簽署鏈結。 您現在可以上傳端點憑證、節點憑證、本機 UI 憑證和 VPN 憑證。 請遵循下列步驟來新增您自己的憑證。
若要上傳憑證,請在 [憑證] 頁面上,選取 [+ 新增憑證]。
您可以上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 儲存體端點憑證。
您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您必須啟動瀏覽器並清除快取。 然後,您需要連線到裝置本地化網頁介面。
您也可以上傳節點憑證。
最後,您可以上傳 VPN 證書。
您可以隨時選取憑證並檢視詳細資料,以確保這些憑證與您上傳的憑證相符。
憑證頁面應該會更新,以反映新新增的憑證。
備註
除了 Azure 公用雲端之外,所有雲端設定 (Azure Government 或 Azure Stack Hub) 啟用之前,都需要引進簽署鏈結憑證。
設定 VPN
在 [安全性] 磚上,選取 [針對 VPN 設定]。
若要設定 VPN,您必須先確定已在 Azure 中完成所有必要的設定。 如需詳細資訊,請參閱 透過 PowerShell 為您的 Azure Stack Edge Mini R 裝置設定 VPN。 完成此操作後,您可以在本地UI中進行配置。
在 VPN 頁面上,選取 設定。
在 [設定 VPN] 面板中:
- 提供電話簿作為輸入。
- 提供 Azure 資料中心 IP 範圍 JSON 檔案作為輸入。 從以下位置下載此檔案: https://www.microsoft.com/download/details.aspx?id=56519。
- 選取 eastus 作為區域。
- 選取 ,然後套用。
將 IP 位址範圍設定為僅使用 VPN 存取。
- 在 [僅使用 VPN 存取的 IP 位址範圍] 底下,選取 [設定]。
- 輸入您為 Azure 虛擬網路選擇的 VNET IPv4 範圍。
- 選取 ,然後套用。
您的裝置現在已準備好加密。 設定靜態加密。
啟用加密
在 [ 安全性 ] 磚上,選取 [設定 待用加密]。 這是必要的設定,在成功設定之前,您無法啟用裝置。
在工廠內,當設備的成像完成後,磁碟區層級的 BitLocker 加密就會啟用。 收到裝置後,您需要設定靜態加密。 儲存集區和磁碟區會重新建立,而且您可以提供 BitLocker 金鑰來啟用待用加密,從而為待用資料建立第二層加密。
在 [靜態加密] 窗格中,輸入 32 個字元長 (AES-256 位元) Base-64 編碼金鑰。 這是一次性配置,此金鑰用於保護實際的加密金鑰。
您也可以選擇自動產生此金鑰。
選取 ,然後套用。 此作業需要幾分鐘的時間,且作業狀態會顯示在 [安全性 ] 磚上。
狀態顯示為 [已完成] 之後,請返回 [開始使用]。
您的裝置現在已準備好啟動。
後續步驟
在本教學課程中,您會了解:
- 先決條件
- 設定實體裝置的憑證
- 設定 VPN
- 設定待用加密
若要瞭解如何啟用 Azure Stack Edge Mini R 裝置,請參閱: