Partilhar via

Use seus próprios certificados com dispositivos Data Box e Data Box Heavy

  • Artigo

Durante o processamento de pedidos, certificados autoassinados são gerados para acessar a interface do usuário da Web local e o armazenamento de Blob para um dispositivo Data Box ou Data Box Heavy. Se preferir comunicar com o seu dispositivo através de um canal fidedigno, pode utilizar os seus próprios certificados.

O artigo descreve como instalar seus próprios certificados e como reverter para os certificados padrão antes de retornar seu dispositivo ao datacenter. Apresenta igualmente um resumo dos requisitos em matéria de certificados.

Acerca de certificados

Um certificado fornece um link entre uma chave pública e uma entidade (como nome de domínio) que foi assinada (verificada) por um terceiro confiável, como uma autoridade de certificação. Um certificado fornece uma maneira conveniente de distribuir chaves de criptografia públicas confiáveis. Dessa forma, os certificados garantem que sua comunicação seja confiável e que você envie informações criptografadas para o servidor certo.

Quando o dispositivo Data Box é configurado inicialmente, os certificados autoassinados são gerados automaticamente. Opcionalmente, você pode trazer seus próprios certificados. Existem orientações que você precisa seguir se você planeja trazer seus próprios certificados.

Nota

Os certificados autoassinados gerados automaticamente expiram após 12 meses e o dispositivo não pode mais ser usado. Você é notificado 3 meses antes de os certificados expirarem. Para evitar a perda de dados, devolva o dispositivo pelo menos 1 mês antes da expiração do certificado para que todos os dados possam ser ingeridos no datacenter antes que os certificados expirem.

Em um dispositivo Data Box ou Data Box Heavy, dois tipos de certificados de ponto de extremidade são usados:

  • Certificado de armazenamento de Blob
  • Certificado de interface do usuário local

Requisitos dos certificados

Os certificados devem satisfazer os seguintes requisitos:

  • O certificado de ponto de extremidade precisa estar em .pfx formato com uma chave privada que possa ser exportada.

  • Você pode usar um certificado individual para cada ponto de extremidade, um certificado multidomínio para vários pontos de extremidade ou um certificado de ponto de extremidade curinga.

  • As propriedades de um certificado de ponto de extremidade são semelhantes às propriedades de um certificado SSL típico.

  • Um certificado correspondente no formato DER (.cer extensão de nome de arquivo) é necessário na máquina cliente.

  • Depois de carregar o certificado de interface do usuário local, você precisará reiniciar o navegador e limpar o cache. Consulte instruções específicas para o seu navegador.

  • Os certificados devem ser alterados se o nome do dispositivo ou o nome de domínio DNS for alterado.

  • Use a tabela a seguir ao criar certificados de ponto de extremidade:

    Type Nome do assunto (SN) Nome alternativo da entidade (SAN) Exemplo de nome do assunto
    Interface do usuário local <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Armazenamento de Blobs *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Certificado único Multi-SAN <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

Para obter mais informações, consulte Requisitos de certificado.

Adicionar certificados ao dispositivo

Você pode usar seus próprios certificados para acessar a interface do usuário da Web local e para acessar o armazenamento de Blob.

Importante

Se o nome do dispositivo ou domínio DNS for alterado, novos certificados deverão ser criados. Os certificados de cliente e os certificados de dispositivo devem ser atualizados com o novo nome de dispositivo e domínio DNS.

Para adicionar o seu próprio certificado ao seu dispositivo, siga estes passos:

  1. Vá para Gerenciar>certificados.

    Nome mostra o nome do dispositivo. Domínio DNS mostra o nome de domínio para o servidor DNS.

    A parte inferior da tela mostra os certificados atualmente em uso. Para um novo dispositivo, você verá os certificados autoassinados que foram gerados durante o processamento do pedido.

    Certificates page for a Data Box device

  2. Se você precisar alterar o Nome (nome do dispositivo) ou o domínio DNS (o domínio do servidor DNS do dispositivo), faça isso agora, antes de adicionar o certificado. Em seguida, selecione Aplicar.

    O certificado deve ser alterado se o nome do dispositivo ou o nome de domínio DNS for alterado.

    Apply a new device name and DNS domain for a Data Box

  3. Para adicionar um certificado, selecione Adicionar certificado para abrir o painel Adicionar certificado. Em seguida, selecione o Tipo de certificado - armazenamento de Blob ou UI da Web local.

    Add certificates panel on the Certificates page for a Data Box device

  4. Escolha o arquivo de certificado (no .pfx formato) e digite a senha que foi definida quando o certificado foi exportado. Em seguida, selecione Validar & Adicionar.

    Settings for adding a Blob endpoint certificate to a Data Box

    Depois que o certificado for adicionado com êxito, a tela Certificados mostrará a impressão digital do novo certificado. O status do certificado é Válido.

    A valid new certificate that's been successfully added

  5. Para ver os detalhes do certificado, selecione e clique no nome do certificado. O certificado caduca ao fim de um ano.

    View certificate details for a Data Box device

  6. Se você alterou o certificado para a interface do usuário da Web local, será necessário reiniciar o navegador e, em seguida, a interface do usuário da Web local. Esta etapa é necessária para evitar problemas de cache SSL.

  1. Instale o novo certificado no computador cliente que você está usando para acessar a interface do usuário da Web local. Para obter instruções, consulte Importar certificados para o cliente, abaixo.

Importar certificados para o cliente

Depois de adicionar um certificado ao dispositivo Data Box, você precisa importar o certificado para o computador cliente usado para acessar o dispositivo. Você importará o certificado para o armazenamento da Autoridade de Certificação Raiz Confiável para a Máquina Local.

Para importar um certificado num cliente Windows, siga estes passos:

  1. No Explorador de Ficheiros, clique com o botão direito do rato no ficheiro de certificado (com .cer formato) e selecione Instalar certificado. Esta ação inicia o Assistente para Importação de Certificados.

    Import certificate 1

  2. Em Local da loja, selecione Máquina local e, em seguida, selecione Avançar.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Selecione Colocar todos os certificados no armazenamento a seguir, selecione Autoridade de certificação raiz confiável e selecione Avançar.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Reveja as suas definições e selecione Concluir. Uma mensagem informará que a importação foi bem-sucedida.

    Review your certificate settings, and finish the Certificate Import Wizard

Reverter para certificados padrão

Antes de retornar seu dispositivo ao datacenter do Azure, você deve reverter para os certificados originais que foram gerados durante o processamento de pedidos.

Para reverter para os certificados gerados durante o processamento de pedidos, siga estas etapas:

  1. Vá para Gerenciar>certificados e selecione Reverter certificados.

    A reversão de certificados retorna ao uso dos certificados autoassinados que foram gerados durante o processamento de pedidos. Os seus próprios certificados são removidos do dispositivo.

    Revert certificates option in Manage Certificates for a Data Box device

  2. Depois que a reversão do certificado for concluída com êxito, vá para Desligar ou reiniciar e selecione Reiniciar. Esta etapa é necessária para evitar problemas de cache SSL.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Aguarde alguns minutos e entre na interface do usuário da Web local novamente.