Compartilhar via

Tutorial: configurar certificados para o Azure Stack Edge Pro 2

  • Artigo

Este tutorial descreve como é possível configurar certificados para o seu Azure Stack Edge Pro 2 usando a IU da Web local.

O tempo que essa etapa levará varia dependendo da opção específica que você escolher e de como o fluxo de certificado é estabelecido em seu ambiente.

Neste tutorial, você aprenderá a:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar a criptografia em repouso

Pré-requisitos

Antes de configurar seu dispositivo Azure Stack Edge Pro 2, verifique se:

  • Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Pro 2.

  • Se você planeja trazer seus certificados:

    • Você deve manter seus certificados preparados no formato apropriado, incluindo o certificado de cadeia de assinatura.
    • Se o dispositivo estiver implantado no Azure Government e não estiver implantado na nuvem pública do Azure, um certificado de cadeia de assinatura será necessário para ativar o dispositivo.

    Para obter detalhes sobre certificados, acesse Preparar certificados a serem carregados em seu dispositivo do Azure Stack Edge.

Configurar certificados para o dispositivo

  1. Abra a página Certificados na IU da Web local do dispositivo. Esta página exibirá os certificados disponíveis no dispositivo. O dispositivo é fornecido com certificados autoassinados, também chamados de certificados de dispositivo. Você pode trazer seus certificados.

  2. Siga esta etapa somente se você não alterou o nome do dispositivo ou o domínio DNS quando definiu as configurações do dispositivo anteriormente e não deseja usar certificados próprios.

    Você não precisa definir nenhuma configuração nessa página. Você só precisa verificar se o status de todos os certificados é válido nesta página.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Você está pronto para configurar a criptografia em repouso com os certificados de dispositivo existentes.

  3. Siga as etapas restantes somente se você tiver alterado o nome do dispositivo ou o domínio DNS do dispositivo. Nessas instâncias, o status dos certificados do dispositivo será Não válido. Isso porque o nome do dispositivo e o domínio DNS nas configurações subject name e subject alternative e dos certificados estão desatualizados.

    Você pode selecionar um certificado para ver os detalhes do status.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Se você tiver alterado o nome do dispositivo ou o domínio DNS do seu dispositivo e não fornecer novos certificados, a ativação do dispositivo será bloqueada. Para usar um novo conjunto de certificados em seu dispositivo, escolha uma das seguintes opções:

    • Gere todos os certificados de dispositivo. Selecione essa opção e conclua as etapas descritas em Gerar certificados de dispositivo se você pretende usar certificados de dispositivo gerados automaticamente e precisa gerar novos certificados de dispositivo. Você só deve usar esses certificados de dispositivo para teste, não com cargas de trabalho de produção.

    • Traga seus certificados. Selecione essa opção e execute as etapas descritas em Traga seus próprios certificados se quiser usar seus certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. É recomendável que você sempre traga seus certificados para cargas de trabalho de produção.

    • Você pode trazer alguns dos seus certificados e gerar alguns certificados de dispositivo. A opção Gerar todos os certificados de dispositivo regenera apenas os certificados do dispositivo.

  5. Quando você tiver um conjunto completo de certificados válidos para seu dispositivo, selecione < Voltar para a Introdução. Agora você pode continuar a configurar a Criptografia em repouso.

Gerar certificados de dispositivo

Siga estas etapas para gerar certificados de dispositivo.

Use estas etapas para regenerar e baixar os certificados de dispositivo do Azure Stack Edge Pro 2:

  1. Na IU local do dispositivo, acesse Configuração > Certificados. Selecione Gerar certificados.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Em Gerar certificados de dispositivo, selecione Gerar.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Os certificados de dispositivo agora são gerados e aplicados. São necessários alguns minutos para gerar e aplicar os certificados.

    Importante

    Enquanto a operação de geração de certificado está em andamento, não traga seus certificados nem tente adicioná-los por meio da opção + Adicionar certificado.

    Você será notificado quando a operação for concluída com êxito. Para evitar possíveis problemas de cache, reinicie o navegador.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Depois que os certificados são gerados:

    • Verifique se o status de todos os certificados é mostrado como Válido.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Você pode selecionar um nome de certificado específico e exibir os detalhes do certificado.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • A coluna Baixar agora é preenchida. Essa coluna tem links para baixar os certificados regenerados.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Selecione o link de download para um certificado e, quando solicitado, salve o certificado em questão.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Repita esse processo para todos os certificados que você deseja baixar.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Os certificados gerados pelo dispositivo são salvos como certificados DER com o seguinte formato de nome:

    <Device name>_<Endpoint name>.cer. Esses certificados contêm a chave pública para os certificados correspondentes instalados no dispositivo.

Será necessário instalar esses certificados no sistema cliente que você está usando para acessar os pontos de extremidade no dispositivo do Azure Stack Edge. Esses certificados estabelecem a confiança entre o cliente e o dispositivo.

Para importar e instalar esses certificados no cliente que você está usando para acessar o dispositivo, siga as etapas descritas em Importar certificados nos clientes que acessam o dispositivo do Azure Stack Edge Pro GPU.

Se você estiver usando o Gerenciador de Armazenamento do Microsoft Azure, precisará instalar certificados em seu cliente no formato PEM e converter os certificados gerados pelo dispositivo no formato PEM.

Importante

  • O link de download só estará disponível para os certificados gerados pelo dispositivo, mas o mesmo não acontecerá se você trouxer seus certificados.
  • É possível optar por usar uma combinação, usando certificados gerados pelo dispositivo e trazendo seus certificados, desde que os outros requisitos de certificado sejam atendidos. Para obter mais informações, acesse Requisitos de certificado.

Trazer seus certificados

Você pode trazer seus certificados.

Siga estas etapas para carregar seus certificados, incluindo a cadeia de assinatura.

  1. Para carregar o certificado, na página Certificado, selecione + Adicionar certificado.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Ignore esta etapa se tiver incluído todos os certificados no caminho do certificado quando exportou os certificados no formato .pfx. Se você não incluiu todos os certificados em sua exportação, carregue a cadeia de assinatura e selecione Validar & adicionar. Você precisa fazer isso antes de carregar os outros certificados.

    Em alguns casos, o ideal é colocar uma cadeia de assinatura sozinha para outras finalidades, por exemplo, para se conectar ao servidor de atualização do WSUS (Windows Server Update Services).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Carregue outros certificados. Por exemplo, é possível carregar os certificados de ponto de extremidade do Armazenamento de Blobs e do Azure Resource Manager.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Também é possível carregar o certificado da IU da Web local. Depois de carregar esse certificado, será necessário iniciar o navegador e limpar o cache. Em seguida, será necessário conectar-se à IU da Web local do dispositivo.

    Local web UI

    Também é possível carregar o certificado de nó.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    A página de certificados será atualizada para refletir os certificados recém-adicionados. A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que correspondam ao certificado que você carregou.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Observação

    Exceto para a nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).

Configurar a criptografia em repouso

  1. No bloco Segurança, selecione Configurar para criptografia em repouso.

    Observação

    Essa é uma configuração necessária e até que isso seja configurado com êxito, você não poderá ativar o dispositivo.

    No alocador, após a imagem dos dispositivos, a criptografia BitLocker no nível de volume está habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves do BitLocker para habilitar a criptografia em repouso e, portanto, criar uma segunda camada de criptografia para seus dados em repouso.

  2. No painel Criptografia em repouso, forneça uma chave codificada em Base-64 com 32 caracteres. Essa é uma configuração única e essa chave é usada para proteger a chave de criptografia real. Você também pode optar por gerar essa chave automaticamente.

    Screenshot of the local web UI

    Você também pode inserir sua própria chave de criptografia ASE de 256 bits codificada em Base 64.

    Screenshot of the local web UI

    Essa chave é salva em um arquivo de chave na página Detalhes da nuvem após o dispositivo ser ativado.

  3. Selecione Aplicar. Essa operação leva vários minutos e o status dela é exibido.

    Screenshot of the

  4. Depois que o status aparecer como Concluído, seu dispositivo estará pronto para ser ativado. Selecione < Voltar para Introdução.

Próximas etapas

Neste tutorial, você aprenderá a:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar a criptografia em repouso

Para saber como ativar seu dispositivo Azure Stack Edge Pro 2, confira:

Ativar dispositivo Azure Stack Edge Pro 2