Sdílet prostřednictvím

Použití vlastních certifikátů se zařízeními Data Box a Data Box Heavy

  • Článek

Během zpracování objednávek se vygenerují certifikáty podepsané svým držitelem pro přístup k místnímu webovému uživatelskému rozhraní a úložišti objektů blob pro zařízení Data Box nebo Data Box Heavy. Pokud chcete s vaším zařízením raději komunikovat přes důvěryhodný kanál, můžete použít vlastní certifikáty.

Tento článek popisuje, jak nainstalovat vlastní certifikáty a jak se vrátit k výchozím certifikátům před vrácením zařízení do datacentra. Poskytuje také souhrn požadavků na certifikáty.

Informace o certifikátech

Certifikát poskytuje propojení mezi veřejným klíčem a entitou (například názvem domény), která byla podepsána (ověřena) důvěryhodnou třetí stranou, jako je certifikační autorita. Certifikát poskytuje pohodlný způsob distribuce důvěryhodných veřejných šifrovacích klíčů. Certifikáty tímto způsobem zajišťují, že vaše komunikace je důvěryhodná a odesíláte šifrované informace na správný server.

Když je zařízení Data Box původně nakonfigurované, certifikáty podepsané svým držitelem se automaticky vygenerují. Volitelně můžete použít vlastní certifikáty. Pokud plánujete používat vlastní certifikáty, musíte postupovat podle pokynů.

Poznámka:

Platnost automaticky generovaných certifikátů podepsaných svým držitelem vyprší po 12 měsících a zařízení se už nedá použít. Budete upozorněni 3 měsíce před vypršením platnosti certifikátů. Aby nedošlo ke ztrátě dat, vraťte zařízení alespoň 1 měsíc před vypršením platnosti certifikátu, aby se všechna data před vypršením platnosti certifikátů mohli ingestovat v datacentru.

Na zařízení Data Box nebo Data Box Heavy se používají dva typy certifikátů koncových bodů:

  • Certifikát úložiště objektů blob
  • Místní certifikát uživatelského rozhraní

Požadavky na certifikáty

Certifikáty musí splňovat následující požadavky:

  • Certifikát koncového bodu musí být ve .pfx formátu s privátním klíčem, který je možné exportovat.

  • Pro každý koncový bod, vícedoménový certifikát pro více koncových bodů nebo certifikát koncového bodu se zástupným znakem můžete použít pro každý koncový bod.

  • Vlastnosti certifikátu koncového bodu jsou podobné vlastnostem typického certifikátu SSL.

  • Na klientském počítači se vyžaduje odpovídající certifikát ve formátu DER (.cer přípona názvu souboru).

  • Po nahrání místního certifikátu uživatelského rozhraní budete muset restartovat prohlížeč a vymazat mezipaměť. Projděte si konkrétní pokyny pro váš prohlížeč.

  • Certifikáty se musí změnit, pokud se změní název zařízení nebo název domény DNS.

  • Při vytváření certifikátů koncových bodů použijte následující tabulku:

    Typ Název subjektu (SN) Alternativní název subjektu (SAN) Příklad názvu subjektu
    Místní uživatelské rozhraní <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Blob Storage *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Jeden certifikát s více sítěmi SAN <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

Další informace najdete v tématu Požadavky na certifikáty.

Přidání certifikátů do zařízení

Pro přístup k místnímu webovému uživatelskému rozhraní a pro přístup k úložišti objektů blob můžete použít vlastní certifikáty.

Důležité

Pokud se změní název zařízení nebo doména DNS, musí se vytvořit nové certifikáty. Klientské certifikáty a certifikáty zařízení by se pak měly aktualizovat novým názvem zařízení a doménou DNS.

Pokud chcete do zařízení přidat vlastní certifikát, postupujte takto:

  1. Přejděte na Spravovat>certifikáty.

    Název zobrazuje název zařízení. Doména DNS zobrazuje název domény pro server DNS.

    V dolní části obrazovky se zobrazují aktuálně používané certifikáty. U nového zařízení uvidíte certifikáty podepsané svým držitelem, které se vygenerovaly během zpracování objednávek.

    Certificates page for a Data Box device

  2. Pokud potřebujete změnit název (název zařízení) nebo doménu DNS (doménu serveru DNS pro zařízení), udělejte to teď před přidáním certifikátu. Potom vyberte Použít.

    Certifikát se musí změnit, pokud se změní název zařízení nebo název domény DNS.

    Apply a new device name and DNS domain for a Data Box

  3. Pokud chcete přidat certifikát, vyberte Přidat certifikát a otevřete panel Přidat certifikát . Pak vyberte typ certifikátu – úložiště objektů blob nebo místní webové uživatelské rozhraní.

    Add certificates panel on the Certificates page for a Data Box device

  4. Zvolte soubor certifikátu (ve .pfx formátu) a zadejte heslo nastavené při exportu certifikátu. Pak vyberte Ověřit a přidat.

    Settings for adding a Blob endpoint certificate to a Data Box

    Po úspěšném přidání certifikátu se na obrazovce Certifikáty zobrazí kryptografický otisk nového certifikátu. Stav certifikátu je platný.

    A valid new certificate that's been successfully added

  5. Pokud chcete zobrazit podrobnosti o certifikátu, vyberte a klikněte na název certifikátu. Platnost certifikátu vyprší po roce.

    View certificate details for a Data Box device

  6. Pokud jste změnili certifikát pro místní webové uživatelské rozhraní, musíte restartovat prohlížeč a pak místní webové uživatelské rozhraní. Tento krok je potřeba, aby nedocházelo k problémům s mezipamětí SSL.

  1. Nainstalujte nový certifikát do klientského počítače, který používáte pro přístup k místnímu webovému uživatelskému rozhraní. Pokyny najdete v části Import certifikátů do klienta níže.

Import certifikátů do klienta

Po přidání certifikátu do zařízení Data Box musíte certifikát importovat do klientského počítače, který používáte pro přístup k zařízení. Certifikát naimportujete do úložiště důvěryhodné kořenové certifikační autority pro místní počítač.

Chcete-li importovat certifikát v klientovi systému Windows, postupujte takto:

  1. V Průzkumník souborů klikněte pravým tlačítkem na soubor certifikátu (s formátem.cer) a vyberte Nainstalovat certifikát. Tato akce spustí Průvodce importem certifikátu.

    Import certificate 1

  2. V části Umístění úložiště vyberte Místní počítač a pak vyberte Další.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Vyberte Umístit všechny certifikáty do následujícího úložiště, vyberte Důvěryhodná kořenová certifikační autorita a pak vyberte Další.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Zkontrolujte nastavení a vyberte Dokončit. Zobrazí se zpráva s oznámením, že import byl úspěšný.

    Review your certificate settings, and finish the Certificate Import Wizard

Návrat k výchozím certifikátům

Než zařízení vrátíte do datacentra Azure, měli byste se vrátit k původním certifikátům vygenerovaným během zpracování objednávky.

Pokud se chcete vrátit k certifikátům vygenerovaným během zpracování objednávky, postupujte takto:

  1. Přejděte na Spravovat>certifikáty a vyberte Vrátit certifikáty.

    Vrácení certifikátů zpět k použití certifikátů podepsaných svým držitelem, které byly generovány během zpracování objednávky. Ze zařízení se odeberou vaše vlastní certifikáty.

    Revert certificates option in Manage Certificates for a Data Box device

  2. Po úspěšném dokončení obnovení certifikátu přejděte do části Vypnout nebo restartovat a vyberte Restartovat. Tento krok je potřeba, aby nedocházelo k problémům s mezipamětí SSL.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Počkejte několik minut a pak se znovu přihlaste k místnímu webovému uživatelskému rozhraní.