Udostępnij za pośrednictwem

Samouczek: konfigurowanie certyfikatów, sieci VPN, szyfrowania dla usługi Azure Stack Edge Mini R

  • Artykuł

W tym samouczku opisano sposób konfigurowania certyfikatów, sieci VPN i szyfrowania magazynowanych dla urządzenia Azure Stack Edge Mini R przy użyciu lokalnego internetowego interfejsu użytkownika.

Czas potrzebny na ten krok może się różnić w zależności od wybranej opcji i sposobu ustanowienia przepływu certyfikatów w środowisku.

Ten samouczek zawiera informacje dotyczące:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie sieci VPN
  • Konfigurowanie szyfrowania magazynowanych

Wymagania wstępne

Przed skonfigurowaniem i skonfigurowaniem urządzenia Azure Stack Edge Mini R upewnij się, że:

  • Urządzenie fizyczne zostało zainstalowane zgodnie z opisem w temacie Instalowanie usługi Azure Stack Edge Mini R.

  • Jeśli planujesz korzystanie z własnych certyfikatów:

    • Certyfikaty powinny być gotowe w odpowiednim formacie, w tym certyfikat łańcucha podpisywania. Aby uzyskać szczegółowe informacje na temat certyfikatu, przejdź do tematu Zarządzanie certyfikatami

    • Jeśli urządzenie jest wdrażane w Azure Government lub Azure Government wpis tajny lub Azure Government chmury ściśle tajnej i nie jest wdrażane w chmurze publicznej platformy Azure, przed aktywowaniem urządzenia jest wymagany certyfikat łańcucha podpisywania. Aby uzyskać szczegółowe informacje na temat certyfikatu, przejdź do tematu Zarządzanie certyfikatami.

Konfigurowanie certyfikatów dla urządzenia

  1. Na stronie Certyfikaty skonfigurujesz certyfikaty. W zależności od tego, czy zmieniono nazwę urządzenia, czy domenę DNS na stronie Urządzenie , możesz wybrać jedną z następujących opcji certyfikatów.

    • Jeśli nie zmieniono domyślnej nazwy urządzenia lub domyślnej domeny DNS we wcześniejszym kroku i nie chcesz korzystać z własnych certyfikatów, możesz pominąć ten krok i przejść do następnego kroku. Urządzenie automatycznie wygenerowało certyfikaty z podpisem własnym, aby rozpocząć od.

    • Jeśli zmieniono nazwę urządzenia lub domenę DNS, zobaczysz, że stan certyfikatów będzie wyświetlany jako Nieprawidłowy.

      Strona 2 lokalnego internetowego interfejsu użytkownika

      Wybierz certyfikat, aby wyświetlić szczegóły stanu.

      Stan certyfikatu jest nieprawidłowy , ponieważ certyfikaty nie odzwierciedlają zaktualizowanej nazwy urządzenia i domeny DNS (które są używane w alternatywnej nazwie podmiotu i podmiotu). Aby pomyślnie aktywować urządzenie, możesz przenieść własne podpisane certyfikaty punktu końcowego i odpowiednie łańcuchy podpisywania. Najpierw dodaj łańcuch podpisywania, a następnie przekaż certyfikaty punktu końcowego. Aby uzyskać więcej informacji, przejdź do tematu Bring your own certificates on your Azure Stack Edge Mini R device (Przynieś własne certyfikaty na urządzeniu Azure Stack Edge Mini R).

    • Jeśli zmieniono nazwę urządzenia lub domenę DNS i nie przywieziesz własnych certyfikatów, aktywacja zostanie zablokowana.

Korzystanie z własnego certyfikatu

Łańcuch podpisywania został już dodany we wcześniejszym kroku na tym urządzeniu. Teraz możesz przekazać certyfikaty punktu końcowego, certyfikat węzła, lokalny certyfikat interfejsu użytkownika i certyfikat sieci VPN. Wykonaj następujące kroki, aby dodać własne certyfikaty.

  1. Aby przekazać certyfikat, na stronie Certyfikat wybierz pozycję + Dodaj certyfikat.

    Strona 4 lokalnego internetowego interfejsu użytkownika

  2. Możesz przekazać inne certyfikaty. Można na przykład przekazać certyfikaty punktu końcowego usługi Azure Resource Manager i usługi Blob Storage.

    Strona 6 lokalnego internetowego interfejsu użytkownika

  3. Możesz również przekazać lokalny certyfikat internetowego interfejsu użytkownika. Po przekazaniu tego certyfikatu konieczne będzie uruchomienie przeglądarki i wyczyszczenie pamięci podręcznej. Następnie należy nawiązać połączenie z lokalnym internetowym interfejsem użytkownika urządzenia.

    Strona 7 lokalnego internetowego interfejsu użytkownika

  4. Możesz również przekazać certyfikat węzła.

    Lokalny internetowy interfejs użytkownika

  5. Na koniec możesz przekazać certyfikat sieci VPN.

    Strona

  6. W dowolnym momencie możesz wybrać certyfikat i wyświetlić szczegóły, aby upewnić się, że są one zgodne z przekazanym certyfikatem.

    Strona 9 lokalnego internetowego interfejsu użytkownika

    Strona certyfikatu powinna zostać zaktualizowana w celu odzwierciedlenia nowo dodanych certyfikatów.

    Lokalny internetowy interfejs użytkownika

    Uwaga

    Z wyjątkiem chmury publicznej platformy Azure certyfikaty łańcucha podpisywania muszą zostać wprowadzone przed aktywacją dla wszystkich konfiguracji chmury (Azure Government lub Azure Stack Hub).

Konfigurowanie sieci VPN

  1. Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla sieci VPN.

    Aby skonfigurować sieć VPN, musisz najpierw upewnić się, że masz całą niezbędną konfigurację na platformie Azure. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie sieci VPN za pomocą programu PowerShell dla urządzenia Azure Stack Edge Mini R. Po zakończeniu tej czynności możesz wykonać konfigurację w lokalnym interfejsie użytkownika.

    1. Na stronie Sieć VPN wybierz pozycję Konfiguruj. Konfigurowanie lokalnego interfejsu użytkownika sieci VPN 1

    2. W bloku Konfigurowanie sieci VPN :

      1. Podaj książkę telefoniczną jako dane wejściowe.
      2. Podaj plik JSON zakresu adresów IP centrum danych platformy Azure jako dane wejściowe. Pobierz ten plik z: https://www.microsoft.com/download/details.aspx?id=56519.
      3. Wybierz pozycję eastus jako region.
      4. Wybierz przycisk Zastosuj.

      Konfigurowanie lokalnego interfejsu użytkownika sieci VPN 2

    3. Skonfiguruj zakresy adresów IP, które mają być dostępne tylko przy użyciu sieci VPN.

      • W obszarze Zakresy adresów IP, które mają być dostępne tylko przy użyciu sieci VPN, wybierz pozycję Konfiguruj.
      • Wprowadź zakres adresów IPv4 sieci wirtualnej wybrany dla Virtual Network Azure.
      • Wybierz przycisk Zastosuj.

      Konfigurowanie lokalnego interfejsu użytkownika sieci VPN 3

Urządzenie jest teraz gotowe do szyfrowania. Konfigurowanie szyfrowania magazynowanych.

Włączanie szyfrowania

  1. Na kafelku Zabezpieczenia wybierz pozycję Konfiguruj dla szyfrowania danych magazynowanych. Jest to ustawienie wymagane i dopóki nie zostanie to pomyślnie skonfigurowane, nie będzie można aktywować urządzenia.

    Strona 1 lokalnego internetowego interfejsu użytkownika

    W fabryce po obrazie urządzeń szyfrowanie funkcji BitLocker na poziomie woluminu jest włączone. Po otrzymaniu urządzenia należy skonfigurować szyfrowanie magazynowane. Pula magazynów i woluminy są tworzone ponownie i można podać klucze funkcji BitLocker, aby włączyć szyfrowanie magazynowane, a tym samym utworzyć drugą warstwę szyfrowania dla danych magazynowanych.

  2. W okienku Szyfrowanie danych magazynowanych wprowadź klucz zakodowany w formacie Base-64 o długości 32 znaków (AES-256 bit). Jest to jednorazowa konfiguracja i ten klucz służy do ochrony rzeczywistego klucza szyfrowania.

    Strona 2 lokalnego internetowego interfejsu użytkownika

    Możesz również automatycznie wygenerować ten klucz.

    Lokalny internetowy interfejs użytkownika

  3. Wybierz przycisk Zastosuj. Ta operacja trwa kilka minut, a stan operacji jest wyświetlany na kafelku Zabezpieczenia .

    Strona 4 lokalnego internetowego interfejsu użytkownika

  4. Gdy stan będzie wyświetlany jako Ukończono, wróć do sekcji Wprowadzenie.

Urządzenie jest teraz gotowe do aktywowania.

Następne kroki

Ten samouczek zawiera informacje dotyczące:

  • Wymagania wstępne
  • Konfigurowanie certyfikatów dla urządzenia fizycznego
  • Konfigurowanie sieci VPN
  • Konfigurowanie szyfrowania magazynowanych

Aby dowiedzieć się, jak aktywować urządzenie Azure Stack Edge Mini R, zobacz:

Aktywowanie urządzenia Azure Stack Edge Mini R