共用方式為

將資料箱和 Data Box Heavy 裝置搭配使用您自己的憑證

  • 發行項

在訂單處理期間會產生自我簽署憑證,以存取資料箱或 Data Box Heavy 裝置的本機 Web UI 和 Blob 儲存體。 如果您想要透過受信任的通道與裝置通訊,您可以使用自己的憑證。

本文說明如何安裝您自己的憑證,以及如何在將裝置傳回資料中心之前還原為預設憑證。 本文也提供憑證需求的摘要。

關於憑證

憑證提供公開金鑰和實體 (例如網域名稱) 間的連結,此實體已由受信任的第三方進行簽署 (驗證),例如憑證授權單位。 憑證提供方便的方式來散發受信任的公開加密金鑰。 如此一來,憑證可確保您的通訊受到信任,而且您會將加密的資訊傳送至正確的伺服器。

一開始設定資料箱裝置時,會自動產生自我簽署憑證。 您可以選擇性地攜帶自己的憑證。 如果您打算攜帶自己的憑證,則需要遵循指導方針。

注意

自動產生的自我簽署憑證會在 12 個月之後到期,且無法再使用裝置。 您會在憑證到期前 3 個月收到通知。 若要避免資料遺失,請在憑證到期前至少 1 個月傳回裝置,讓所有資料可以在憑證到期之前內嵌在資料中心。

在資料箱或 Data Box Heavy 裝置上,會使用兩種類型的端點憑證:

  • Blob 儲存體憑證
  • 本機 UI 憑證

憑證需求

憑證必須符合下列需求:

  • 端點憑證的格式必須是可匯出私密金鑰的 .pfx 格式。

  • 您可以針對每個端點使用個別憑證、針對多個端點使用多域憑證,或萬用字元端點憑證。

  • 端點憑證的屬性與一般 SSL 憑證的屬性相似。

  • 用戶端電腦上需要 DER 格式 (.cer 副檔名) 的對應憑證。

  • 上傳本機 UI 憑證之後,您必須重新開啟瀏覽器並清除快取。 請參閱瀏覽器的特定指示。

  • 如果裝置名稱或 DNS 網域名稱已變更,則必須變更憑證。

  • 建立端點憑證時,請使用下表:

    類型 主體名稱 (SN) 主體別名 (SAN) 主體名稱範例
    本機 UI <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Blob 儲存體 *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    多 SAN 單一憑證 <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

如需詳細資訊,請參閱憑證要求

將憑證新增至裝置

您可以使用自己的憑證來存取本機 Web UI 和存取 Blob 儲存體。

重要

如果裝置名稱或 DNS 網域已變更,則必須建立新的憑證。 然後,應該以新的裝置名稱和 DNS 網域來更新用戶端憑證和裝置憑證。

若要將自己憑證新增至裝置,請遵循下列步驟:

  1. 移至 [管理]>[憑證]

    [名稱] 會顯示裝置名稱。 [DNS 網域] 顯示 DNS 伺服器的網域名稱。

    畫面底部會顯示目前使用的憑證。 針對新的裝置,您會看到訂單處理期間產生的自我簽署憑證。

    資料箱裝置的憑證頁面

  2. 如果您需要變更 [名稱] (裝置名稱) 或 [DNS 網域](裝置的 DNS 伺服器網域),請在新增憑證之前立即執行此動作。 接著選取套用

    如果裝置名稱或 DNS 網域名稱已變更,則必須變更憑證。

    為資料箱套用新的裝置名稱和 DNS 網域

  3. 若要新增憑證,請選取 [新增憑證] 以開啟 [新增憑證] 面板。 然後選取 [憑證類型],可選取 [Blob 儲存體] 或 [本機 Web UI]

    在資料箱裝置的 [憑證] 頁面上新增憑證面板

  4. 選擇憑證檔案 (以 .pfx 格式),並輸入憑證匯出時所設定的密碼。 然後選取 [驗證與新增]

    將 Blob 端點憑證新增至資料箱的設定

    成功新增憑證之後,[憑證] 畫面會顯示新憑證的指紋。 憑證的狀態為 [有效]

    已成功新增的有效新憑證

  5. 若要查看憑證詳細資料,請選取並按一下憑證名稱。 憑證將在一年之後到期。

    檢視資料箱裝置的憑證詳細資料

  6. 如果您變更本機 Web UI 的憑證,則需要重新開啟瀏覽器,然後重新開啟本機 Web UI。 需要此步驟,以避免發生任何 SSL 快取問題。

  1. 在您用來存取本機 Web UI 的用戶端電腦上安裝新的憑證。 如需指示,請參閱下方的將憑證匯入用戶端

將憑證匯入用戶端

將憑證新增至資料箱裝置之後,您必須將憑證匯入您用來存取裝置的用戶端電腦。 您會將憑證匯入本機電腦的受信任的根憑證授權單位存放區。

若要在 Windows 用戶端上匯入憑證,請遵循下列步驟:

  1. 在檔案總管中,以滑鼠右鍵按一下憑證檔案 (以 .cer 格式) 然後選取 [安裝憑證]。 這個動作會啟動 [憑證匯入精靈]。

    匯入憑證 1

  2. 對於 [存放位置],選取 [本機電腦],然後選取 [下一步]

    在 [憑證匯入精靈] 中,選取 [本機電腦] 作為存放區位置

  3. 選取 [將所有憑證放入以下的存放區]、選擇 [受信任的根憑證授權單位],然後再選取 [下一步]

    在 [憑證匯入精靈] 中選取 [信任的根憑證授權單位] 儲存區

  4. 檢閱設定並選取 [完成]。 訊息會告訴您已成功匯入。

    檢閱您的憑證設定,並完成 [憑證匯入精靈]

還原為預設憑證

將裝置返回 Azure 資料中心之前,您應該還原為訂單處理期間產生的原始憑證。

若要還原回訂單處理期間產生的憑證,請遵循下列步驟:

  1. 移至 [管理][憑證]>,然後選取 [還原憑證]

    還原憑證會返回使用訂單處理期間產生的自我簽署憑證。 您自己的憑證會從裝置中移除。

    在管理資料箱裝置的憑證中還原憑證選項

  2. 憑證重新轉換成功完成之後,請移至 [關閉或重新啟動],再選取 [重新啟動]。 需要此步驟,以避免發生任何 SSL 快取問題。

    在還原資料箱裝置上的憑證之後,關閉或重新啟動本機 Web UI

    請稍候幾分鐘,然後再次登入本機 Web UI。