Kurz: Konfigurace certifikátů pro azure Stack Edge Pro R

Článek
01/10/2024

Tento kurz popisuje, jak nakonfigurovat certifikáty pro zařízení Azure Stack Edge Pro R pomocí místního webového uživatelského rozhraní.

Doba potřebná pro tento krok se může lišit v závislosti na konkrétní možnosti, kterou zvolíte, a způsobu vytvoření toku certifikátu ve vašem prostředí.

V tomto kurzu získáte informace o těchto tématech:

Požadavky
Konfigurace certifikátů pro fyzické zařízení
Konfigurace sítě VPN
Konfigurace šifrování neaktivních uložených dat

Požadavky

Než nakonfigurujete a nastavíte zařízení Azure Stack Edge Pro R, ujistěte se, že:

Fyzické zařízení jste nainstalovali podle podrobných informací v části Instalace Azure Stack Edge Pro R.
Pokud plánujete používat vlastní certifikáty:
- Certifikáty byste měli mít připravené ve vhodném formátu, včetně certifikátu podpisového řetězu. Podrobnosti o certifikátu najdete v části Správa certifikátů.

Konfigurace certifikátů pro zařízení

Na stránce Certifikáty nakonfigurujete certifikáty. V závislosti na tom, jestli jste na stránce Zařízení změnili název zařízení nebo doménu DNS, můžete pro certifikáty zvolit jednu z následujících možností.
- Pokud jste v předchozím kroku nezměnili název zařízení nebo doménu DNS, můžete tento krok přeskočit a přejít k dalšímu kroku. Zařízení automaticky vygenerovalo certifikáty podepsané svým držitelem, aby začínalo.
- Pokud jste změnili název zařízení nebo doménu DNS, uvidíte, že stav certifikátů se zobrazí jako neplatný.
  
  Výběrem certifikátu zobrazíte podrobnosti o stavu.
  
  Důvodem je, že certifikáty neodráží aktualizovaný název zařízení a doménu DNS (které se používají v názvu subjektu a alternativním subjektu). K úspěšné aktivaci zařízení můžete použít vlastní podepsané certifikáty koncových bodů a odpovídající podpisové řetězce. Nejdřív přidáte podpisový řetězec a pak nahrajete certifikáty koncových bodů. Další informace najdete v tématu Používání vlastních certifikátů na zařízení Azure Stack Edge Pro R.
- Pokud jste změnili název zařízení nebo doménu DNS a nepřinášíte vlastní certifikáty, aktivace se zablokuje.

Používání vlastních certifikátů

Pokud chcete přidat vlastní certifikáty, včetně podpisového řetězce, postupujte podle těchto kroků.

Pokud chcete nahrát certifikát, na stránce Certifikát vyberte + Přidat certifikát.
Nejprve nahrajte podpisový řetězec a vyberte Ověřit a přidat.
Teď můžete nahrát další certifikáty. Můžete například nahrát certifikáty koncového bodu služby Azure Resource Manager a úložiště objektů blob.

Můžete také nahrát místní certifikát webového uživatelského rozhraní. Po nahrání tohoto certifikátu budete muset spustit prohlížeč a vymazat mezipaměť. Pak se budete muset připojit k místnímu webovému uživatelskému rozhraní zařízení.

Můžete také nahrát certifikát uzlu.

Nakonec můžete nahrát certifikát VPN.

Kdykoli můžete vybrat certifikát a zobrazit podrobnosti, abyste zajistili, že se shodují s certifikátem, který jste nahráli.

Stránka certifikátu by se měla aktualizovat tak, aby odrážela nově přidané certifikáty.

Poznámka:

S výjimkou veřejného cloudu Azure je potřeba před aktivací převést podpisové řetězové certifikáty pro všechny konfigurace cloudu (Azure Government nebo Azure Stack).
Vyberte < Zpět na Začínáme.

Konfigurace sítě VPN

Na dlaždici Zabezpečení vyberte Konfigurovat pro síť VPN.

Pokud chcete nakonfigurovat síť VPN, musíte nejprve zajistit, abyste měli veškerou potřebnou konfiguraci provedenou v Azure. Podrobnosti najdete v tématu Konfigurace požadavků a konfigurace prostředků Azure pro VPN. Po dokončení můžete konfiguraci provést v místním uživatelském rozhraní.
1. Na stránce VPN vyberte Konfigurovat.
2. V okně Konfigurace sítě VPN :
- Povolte nastavení sítě VPN.
- Zadejte sdílený tajný klíč SÍTĚ VPN. Toto je sdílený klíč, který jste zadali při vytváření objektu připojení Azure VPN.
- Zadejte IP adresu brány VPN. Toto je IP adresa brány místní sítě Azure.
- V případě skupiny PFS vyberte Žádné.
- V případě skupiny DH vyberte Skupina2.
- Pro metodu integrity protokolu IPsec vyberte SHA256.
- U konstant transformace IPseccipher vyberte GCMAES256.
- U konstant transformace ověřování IPsec vyberte GCMAES256.
- Pro metodu šifrování IKE vyberte AES256.
- Vyberte Použít.
1. Pokud chcete nahrát konfigurační soubor trasy VPN, vyberte Nahrát.
  - V předchozím kroku přejděte do souboru JSON konfigurace sítě VPN, který jste stáhli do místního systému.
  - Vyberte oblast jako oblast Azure přidruženou k zařízení, virtuální síti a branám.
  - Vyberte Použít.
2. Pokud chcete přidat trasy specifické pro klienta, nakonfigurujte rozsahy IP adres tak, aby byly přístupné jenom pomocí sítě VPN.
  - V části Rozsahy IP adres, ke které se má přistupovat pouze pomocí sítě VPN, vyberte Konfigurovat.
  - Zadejte platný rozsah IPv4 a vyberte Přidat. Opakujte kroky a přidejte další oblasti.
  - Vyberte Použít.
Vyberte < Zpět na Začínáme.

Konfigurace šifrování neaktivních uložených dat

Na dlaždici Zabezpečení vyberte Konfigurovat šifrování neaktivních uložených dat. Toto nastavení je povinné a dokud se zařízení úspěšně nenakonfiguruje, nemůžete zařízení aktivovat.

Po vytvoření image zařízení je v továrně povolené šifrování BitLockeru na úrovni svazku. Jakmile zařízení obdržíte, musíte nakonfigurovat šifrování neaktivních uložených dat. Fond úložiště a svazky se znovu vytvoří a můžete zadat klíče BitLockeru pro povolení šifrování neaktivních uložených uložených dat a tím vytvořit druhou vrstvu šifrování neaktivních uložených dat.
V podokně Šifrování neaktivních uložených dat zadejte 32mísítě dlouhý klíč s kódováním Base-64. Jedná se o jednorázovou konfiguraci a tento klíč slouží k ochraně skutečného šifrovacího klíče. Můžete se rozhodnout, že tento klíč vygenerujete automaticky, nebo ho zadáte.

Klíč se uloží do souboru klíče na stránce podrobností o cloudu po aktivaci zařízení.
Vyberte Použít. Tato operace trvá několik minut a stav operace se zobrazí na dlaždici Zabezpečení .
Jakmile se stav zobrazí jako Dokončeno, vyberte < Zpět na Začínáme.

Vaše zařízení je teď připravené k aktivaci.

Další kroky