Tutorial: Mengonfigurasi sertifikat untuk Azure Stack Edge Pro 2 Anda

  • Artikel

Tutorial ini menjelaskan bagaimana Anda dapat mengonfigurasi sertifikat untuk Azure Stack Edge Pro 2 Anda dengan menggunakan antarmuka pengguna web lokal.

Waktu yang diperlukan untuk langkah ini dapat bervariasi, tergantung pada opsi tertentu yang Anda pilih dan cara menetapkan alur sertifikat di lingkungan Anda.

Dalam tutorial ini, Anda mempelajari tentang:

  • Prasyarat
  • Mengonfigurasi sertifikat untuk perangkat fisik
  • Konfigurasikan enkripsi saat istirahat

Prasyarat

Sebelum mengonfigurasi dan menyiapkan perangkat Azure Stack Edge Pro 2, pastikan bahwa:

  • Anda telah menginstal perangkat fisik sebagaimana dirinci di Menginstal Azure Stack Edge Pro 2.

  • Jika Anda berencana membawa sertifikat Anda sendiri:

    • Anda harus menyiapkan sertifikat Anda dalam format yang sesuai, termasuk sertifikat rantai penandatanganan.
    • Jika perangkat Anda disebarkan di Azure Government atau tidak disebarkan di {i>cloud

    Untuk detail tentang sertifikat, buka Menyiapkan sertifikat untuk diunggah di perangkat Azure Stack Edge Anda.

Konfigurasikan sertifikat untuk perangkat

  1. Buka halaman Sertifikat di antarmuka pengguna web lokal perangkat Anda. Halaman ini akan menampilkan sertifikat yang tersedia pada perangkat Anda. Perangkat dikirim dengan sertifikat yang ditandatangani sendiri, juga disebut sebagai sertifikat perangkat. Anda juga dapat membawa sertifikat Anda sendiri.

  2. Ikuti langkah ini hanya jika Anda tidak mengubah nama perangkat atau domain DNS saat mengonfigurasi pengaturan perangkat sebelumnya, dan Anda tidak ingin menggunakan sertifikat Anda sendiri.

    Anda tidak perlu melakukan konfigurasi apa pun di halaman ini. Anda hanya perlu memverifikasi bahwa status semua sertifikat ditampilkan sebagai valid di halaman ini.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Anda siap untuk mengonfigurasi Encryption-at-rest dengan sertifikat perangkat yang ada.

  3. Ikuti langkah-langkah yang tersisa hanya jika Anda telah mengubah nama perangkat atau domain DNS untuk perangkat Anda. Dalam kasus ini, status sertifikat perangkat Anda tidak akan valid. Itu karena nama perangkat dan domain DNS di sertifikat subject name dan subject alternative pengaturan sudah kedaluarsa.

    Anda dapat memilih sertifikat untuk melihat detail status.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Jika Anda telah mengubah nama perangkat atau domain DNS perangkat Anda, dan Anda tidak menyediakan sertifikat baru, aktivasi perangkat akan diblokir. Untuk menggunakan sekumpulan sertifikat baru di perangkat Anda, pilih salah satu opsi berikut:

    • Buat semua sertifikat perangkat. Pilih opsi ini, lalu selesaikan langkah-langkah dalam Membuat sertifikat perangkat, jika Anda berencana untuk menggunakan sertifikat perangkat yang dibuat secara otomatis dan perlu membuat sertifikat perangkat baru. Anda hanya boleh menggunakan sertifikat perangkat ini untuk pengujian, bukan dengan beban kerja produksi.

    • Bawa Sertifikat Anda Sendiri. Pilih opsi ini, lalu lakukan langkah-langkah dalam Membawa sertifikat Anda sendiri, jika Anda ingin menggunakan sertifikat titik akhir yang ditandatangani sendiri dan rantai penandatanganan yang sesuai. Sebaiknya selalu bawa sertifikat Anda sendiri untuk beban kerja produksi.

    • Anda dapat memilih untuk membawa beberapa sertifikat Anda sendiri dan membuat beberapa sertifikat perangkat. Opsi Buat semua sertifikat perangkat hanya meregenerasi sertifikat perangkat.

  5. Saat Anda memiliki sekumpulan sertifikat yang valid lengkap untuk perangkat Anda, pilih < Kembali ke Memulai. Anda sekarang dapat melanjutkan untuk mengonfigurasi Encryption-at-rest.

Membuat sertifikat perangkat

Ikuti langkah-langkah ini untuk membuat sertifikat perangkat.

Gunakan langkah-langkah ini untuk meregenerasi dan mengunduh sertifikat perangkat Azure Stack Edge Pro 2:

  1. Di antarmuka pengguna lokal perangkat Anda, buka Sertifikat Konfigurasi>. Pilih Buat sertifikat.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Di Buat sertifikat perangkat, pilih Buat.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Sertifikat perangkat sekarang dibuat dan diterapkan. Diperlukan beberapa menit untuk menghasilkan dan menerapkan sertifikat.

    Penting

    Saat operasi pembuatan sertifikat sedang berlangsung, jangan bawa sertifikat Anda sendiri dan mencoba menambahkannya melalui opsi + Tambahkan sertifikat.

    Anda akan diberi tahu ketika operasi berhasil diselesaikan. Agar terhindar dari potensi masalah cache, mulai ulang browser Anda.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Setelah sertifikat dibuat:

    • Pastikan bahwa status semua sertifikat ditampilkan sebagai Valid.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Anda bisa memilih nama sertifikat tertentu dan menampilkan detail sertifikat.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • Kolom Unduh sekarang diisi. Kolom ini berisi tautan untuk mengunduh sertifikat yang dibuat.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Pilih tautan unduhan untuk sertifikat dan ketika diminta, simpan sertifikat.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Ulangi proses ini untuk semua sertifikat yang ingin Anda unduh.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Sertifikat yang dibuat perangkat disimpan sebagai sertifikat DER dengan format nama berikut:

    <Device name>_<Endpoint name>.cer. Sertifikat ini berisi kunci umum untuk sertifikat yang sesuai yang diinstal di perangkat.

Anda harus menginstal sertifikat ini pada sistem klien yang Anda gunakan untuk mengakses titik akhir di perangkat Azure Stack Edge. Sertifikat ini membangun kepercayaan antara klien dan perangkat.

Untuk mengimpor dan menginstal sertifikat ini pada klien yang Anda gunakan untuk mengakses perangkat, ikuti langkah-langkah dalam Mengimpor sertifikat pada klien yang mengakses perangkat Azure Stack Edge Pro GPU Anda.

Jika menggunakan Azure Storage Explorer, Anda harus menginstal sertifikat pada klien dalam format PEM dan Anda harus mengonversi sertifikat yang dihasilkan perangkat ke dalam format PEM.

Penting

  • Tautan unduhan hanya tersedia untuk sertifikat yang dibuat perangkat dan bukan jika Anda membawa sertifikat Anda sendiri.
  • Anda dapat memutuskan untuk memiliki campuran sertifikat yang dibuat perangkat dan membawa sertifikat Anda sendiri selama persyaratan sertifikat lainnya terpenuhi. Untuk informasi lebih lanjut, buka Persyaratan sertifikat.

Membawa sertifikat Anda sendiri

Anda dapat membawa sertifikat Anda sendiri.

Ikuti langkah-langkah ini untuk mengunggah sertifikat Anda sendiri, termasuk rantai penandatanganan.

  1. Untuk mengunggah sertifikat, di halaman Sertifikat, pilih + Tambahkan sertifikat.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Anda dapat melewati langkah ini jika Anda menyertakan semua sertifikat dalam jalur sertifikat saat Mengekspor sertifikat dalam format .pfx. Jika Anda tidak menyertakan semua sertifikat dalam ekspor, unggah rantai penandatanganan, lalu pilih Validasi &tambahkan. Anda perlu melakukan ini sebelum mengunggah sertifikat Anda yang lain.

    Dalam beberapa kasus, Anda mungkin ingin membawa rantai penandatanganan saja untuk tujuan lain - misalnya, untuk menyambungkan ke server pembaruan Anda untuk Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Unggah sertifikat lain. Misalnya, Anda dapat mengunggah sertifikat titik akhir Azure Resource Manager dan penyimpanan Blob.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Anda juga dapat mengunggah sertifikat antarmuka pengguna web lokal. Setelah mengunggah sertifikat ini, Anda akan diminta untuk memulai browser dan menghapus cache. Anda kemudian harus terhubung ke antarmuka pengguna web lokal perangkat.

    Local web UI

    Anda juga dapat mengunggah sertifikat simpul.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Halaman sertifikat harus diperbarui untuk mencerminkan sertifikat yang baru ditambahkan. Anda dapat memilih sertifikat dan menampilkan detail kapan pun untuk memastikan sertifikat ini cocok dengan sertifikat yang Anda unggah.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Catatan

    Kecuali untuk awan publik Azure, sertifikat rantai penandatanganan perlu dibawa sebelum aktivasi untuk semua konfigurasi cloud (Azure Government atau Azure Stack).

Konfigurasikan enkripsi saat istirahat

  1. Pada petak peta Keamanan, pilih Konfigurasikan untuk enkripsi saat tidak aktif.

    Catatan

    Ini adalah pengaturan yang diperlukan dan sampai ini berhasil dikonfigurasi, Anda tidak dapat mengaktifkan perangkat.

    Di pabrik, setelah perangkat digambar, tingkat volume enkripsi BitLocker diaktifkan. Setelah Anda menerima perangkat, Anda perlu mengonfigurasi enkripsi saat tidak aktif. Kumpulan penyimpanan dan volume dibuat ulang dan Anda dapat menyediakan kunci BitLocker untuk mengaktifkan enkripsi saat tidak aktif dan dengan demikian membuat lapisan enkripsi kedua untuk data Anda saat tidak aktif.

  2. Di panel Enkripsi saat tidak aktif, berikan kunci berkode Base-64 sepanjang 32 karakter. Ini adalah konfigurasi satu kali dan kunci ini digunakan untuk melindungi kunci enkripsi yang aktual. Anda dapat memilih untuk membuat kunci ini secara otomatis.

    Screenshot of the local web UI

    Anda juga dapat memasukkan kunci enkripsi ASE-256 bit yang dikodekan Base-64 Anda sendiri.

    Screenshot of the local web UI

    Kunci disimpan dalam file kunci di halaman Detail cloud setelah perangkat diaktifkan.

  3. Pilih Terapkan. Operasi ini membutuhkan waktu beberapa menit dan status operasi ditampilkan.

    Screenshot of the

  4. Setelah status ditampilkan sebagai Selesai, perangkat Anda sekarang siap untuk diaktifkan. Pilih < Kembali untuk Memulai.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari tentang:

  • Prasyarat
  • Mengonfigurasi sertifikat untuk perangkat fisik
  • Konfigurasikan enkripsi saat istirahat

Untuk mempelajari cara mengaktifkan perangkat Azure Stack Edge Pro 2 Anda, lihat:

Mengaktifkan perangkat Azure Stack Edge Pro 2