教學課程:設定 Azure Stack Edge Pro 2 的憑證
本教學課程說明如何使用本機 Web UI 來設定 Azure Stack Edge Pro 2 的憑證。
此步驟所花費的時間可能會根據您選擇的特定選項,以及憑證流程在環境中建立的方式而有所不同。
在本教學課程中,您將了解:
- 必要條件
- 設定實體裝置的憑證
- 設定待用加密
必要條件
在設定及設定 Azure Stack Edge Pro 2 裝置之前,請確定:
您已如安裝 Azure Stack Edge Pro 2 中所述安裝實體裝置。
如果您打算攜帶自己的憑證:
- 您應該已使用適當的格式備妥憑證,包括簽署鏈結憑證。
- 如果您的裝置部署在 Azure Government 中,且未部署在 Azure 公用雲端中,則必須先簽署鏈結憑證,才能啟用您的裝置。
如需憑證的詳細資訊,請移至 準備憑證以在 Azure Stack Edge 裝置上上傳。
設定裝置的憑證
在裝置的本機 Web UI 中開啟 [ 憑證 ] 頁面。 此頁面會顯示您的裝置上可用的憑證。 裝置隨附自我簽署憑證,也稱為裝置憑證。 您也可以攜帶自己的憑證。
只有在您稍早設定裝置設定,且不想使用自己的憑證時,才遵循此步驟。
您不需要在此頁面上執行任何設定。 您只需要確認所有憑證的狀態在此頁面上顯示為有效。
您已準備好使用現有的裝置憑證來設定 待 用加密。
只有在您已變更裝置名稱或 DNS 網域時,才遵循其餘步驟。 在這些情況下,裝置憑證的狀態將會 是無效的。 這是因為憑證和
subject name
subject alternative
設定中的裝置名稱和 DNS 網域已過期。您可以選取憑證來檢視狀態詳細數據。
如果您已變更裝置的裝置名稱或 DNS 網域,但未提供新的憑證, 將會封鎖裝置的啟用。若要在裝置上使用一組新的憑證,請選擇下列其中一個選項:
當您有一組完整的裝置有效憑證時,請選取 < [回到開始使用]。 您現在可以繼續設定 待用加密。
產生裝置憑證
請遵循下列步驟來產生裝置憑證。
使用下列步驟來重新產生和下載 Azure Stack Edge Pro 2 裝置憑證:
在裝置的本機 UI 中,移至 [ 設定 > 憑證]。 選取 [ 產生憑證]。
在 [ 產生裝置憑證] 中,選取 [ 產生]。
裝置憑證現在會產生並套用。 產生並套用憑證需要幾分鐘的時間。
重要
當憑證產生作業正在進行中時,請勿攜帶您自己的憑證,並嘗試透過 [+ 新增憑證] 選項新增這些憑證 。
作業成功完成時,您會收到通知。 若要避免任何潛在的快取問題,請重新啟動瀏覽器。
產生憑證之後:
請確定所有憑證的狀態顯示為 [有效]。
您可以選取特定的憑證名稱,並檢視憑證詳細數據。
[下載] 資料行現在已填入。 此數據行有下載重新產生憑證的連結。
選取憑證的下載連結,並在出現提示時儲存憑證。
針對您想要下載的所有憑證重複此程式。
裝置產生的憑證會以下列名稱格式儲存為 DER 憑證:
<Device name>_<Endpoint name>.cer
. 這些憑證包含裝置上安裝之對應憑證的公鑰。
您必須在用來存取 Azure Stack Edge 裝置端點的客戶端系統上安裝這些憑證。 這些憑證會建立客戶端與裝置之間的信任。
若要在用來存取裝置的用戶端上匯入並安裝這些憑證,請遵循在存取 Azure Stack Edge Pro GPU 裝置的用戶端上匯入憑證中的步驟。
如果使用 Azure 儲存體 Explorer,您必須以 PEM 格式在用戶端上安裝憑證,而且您必須將裝置產生的憑證轉換成 PEM 格式。
重要
- 下載連結僅適用於裝置產生的憑證,如果您攜帶自己的憑證,則無法使用。
- 您可以決定混合使用裝置產生的憑證,並攜帶您自己的憑證,只要符合其他憑證需求。 如需詳細資訊,請移至 憑證需求。
攜帶您自己的憑證
您可以攜帶自己的憑證。
- 首先,瞭解 可與 Azure Stack Edge 裝置搭配使用的憑證類型。
- 接下來,檢閱 每種憑證類型的憑證需求。
- 然後 ,您可以透過 Azure PowerShell 建立憑證,或 透過整備檢查工具建立憑證。
- 最後, 將憑證轉換成適當的格式 ,使其準備好上傳至您的裝置。
請遵循下列步驟來上傳您自己的憑證,包括簽署鏈結。
若要上傳憑證,請在 [憑證 ] 頁面上,選取 [+ 新增憑證]。
如果您以 .pfx 格式匯出憑證時,在憑證路徑中包含所有憑證,則可以略過此步驟。 如果您未在匯出中包含所有憑證,請上傳簽署鏈結,然後選取 [ 驗證和新增]。 您必須先執行此動作,才能上傳其他憑證。
在某些情況下,您可能想要將簽署鏈結單獨用於其他用途 ,例如,連線到 Windows Server Update Services 的更新伺服器 (WSUS)。
上傳其他憑證。 例如,您可以上傳 Azure Resource Manager 和 Blob 記憶體端點憑證。
您也可以上傳本機 Web UI 憑證。 上傳此憑證之後,您必須啟動瀏覽器並清除快取。 接著,您必須連線到裝置本機 Web UI。
您也可以上傳節點憑證。
憑證頁面應該會更新以反映新新增的憑證。 您可以隨時選取憑證並檢視詳細數據,以確保這些符合您上傳的憑證。
注意
除了 Azure 公用雲端,簽署鏈結憑證必須在啟用所有雲端組態之前傳入(Azure Government 或 Azure Stack)。
設定待用加密
在 [安全性] 圖格上,選取 [設定待用加密]。
注意
這是必要的設定,在成功設定之前,您無法啟用裝置。
在處理站中,一旦裝置映射化,磁碟區層級 BitLocker 加密就會啟用。 收到裝置之後,您必須設定待用加密。 儲存集區和磁碟區會重新建立,而且您可以提供 BitLocker 密鑰來啟用待用加密,從而為待用數據建立第二層加密。
在 [ 待用 加密] 窗格中,提供 32 個字元長的 Base-64 編碼密鑰。 這是一次性設定,而此金鑰是用來保護實際加密金鑰。 您可以選擇自動產生此金鑰。
您也可以輸入自己的Base-64編碼 ASE-256 位加密金鑰。
金鑰會在裝置啟用之後儲存在 [雲端詳細資料] 頁面上的金鑰檔案中。
選取套用。 此作業需要幾分鐘的時間,並顯示作業的狀態。
狀態顯示為 [已完成] 之後,您的裝置現在已準備好啟動。 選取 < [上一頁] 以開始使用。
下一步
在本教學課程中,您將了解:
- 必要條件
- 設定實體裝置的憑證
- 設定待用加密
若要瞭解如何啟用 Azure Stack Edge Pro 2 裝置,請參閱: