Använda dina egna certifikat med Data Box- och Data Box Heavy-enheter

  • Artikel

Under orderbearbetningen genereras självsignerade certifikat för åtkomst till det lokala webbgränssnittet och Blob Storage för en Data Box- eller Data Box Heavy-enhet. Om du hellre kommunicerar med enheten via en betrodd kanal kan du använda dina egna certifikat.

Artikeln beskriver hur du installerar dina egna certifikat och hur du återgår till standardcertifikaten innan du returnerar enheten till datacentret. Det ger också en sammanfattning av certifikatkraven.

Om certifikat

Ett certifikat ger en länk mellan en offentlig nyckel och en entitet (till exempel domännamn) som har signerats (verifierats) av en betrodd tredje part, till exempel en certifikatutfärdare. Ett certifikat är ett praktiskt sätt att distribuera betrodda offentliga krypteringsnycklar. På så sätt säkerställer certifikaten att din kommunikation är betrodd och att du skickar krypterad information till rätt server.

När din Data Box-enhet först konfigureras genereras självsignerade certifikat automatiskt. Du kan också ta med egna certifikat. Det finns riktlinjer som du måste följa om du planerar att ta med dina egna certifikat.

Kommentar

Automatiskt genererade självsignerade certifikat upphör att gälla efter 12 månader och enheten kan inte längre användas. Du meddelas 3 månader innan certifikaten upphör att gälla. För att undvika dataförlust returnerar du enheten minst 1 månad innan certifikatet upphör att gälla så att alla data kan matas in i datacentret innan certifikaten upphör att gälla.

På en Data Box- eller Data Box Heavy-enhet används två typer av slutpunktscertifikat:

  • Blob Storage-certifikat
  • Lokalt användargränssnittscertifikat

Certifikatkrav

Certifikaten måste uppfylla följande krav:

  • Slutpunktscertifikatet måste vara i .pfx format med en privat nyckel som kan exporteras.

  • Du kan använda ett enskilt certifikat för varje slutpunkt, ett flerdomäncertifikat för flera slutpunkter eller ett slutpunktscertifikat med jokertecken.

  • Egenskaperna för ett slutpunktscertifikat liknar egenskaperna för ett typiskt SSL-certifikat.

  • Ett motsvarande certifikat i DER-format (.cer filnamnstillägg) krävs på klientdatorn.

  • När du har laddat upp det lokala användargränssnittscertifikatet måste du starta om webbläsaren och rensa cacheminnet. Se specifika instruktioner för webbläsaren.

  • Certifikaten måste ändras om enhetsnamnet eller DNS-domännamnet ändras.

  • Använd följande tabell när du skapar slutpunktscertifikat:

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Lokalt användargränssnitt <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain> mydevice1.microsoftdatabox.com
    Blobb-lagring *.blob.<DeviceName>.<DNSdomain> *.blob.< DeviceName>.<DNSdomain> *.blob.mydevice1.microsoftdatabox.com
    Multi-SAN-enskilt certifikat <DeviceName>.<DNSdomain> <DeviceName>.<DNSdomain>
    *.blob.<DeviceName>.<DNSdomain>    		 mydevice1.microsoftdatabox.com

Mer information finns i Certifikatkrav.

Lägga till certifikat på enheten

Du kan använda dina egna certifikat för att komma åt det lokala webbgränssnittet och för åtkomst till Blob Storage.

Viktigt!

Om enhetsnamnet eller DNS-domänen ändras måste nya certifikat skapas. Klientcertifikaten och enhetscertifikaten bör sedan uppdateras med det nya enhetsnamnet och DNS-domänen.

Följ dessa steg för att lägga till ditt eget certifikat på enheten:

  1. Gå till Hantera>certifikat.

    Namnet visar enhetsnamnet. DNS-domänen visar dns-serverns domännamn.

    Längst ned på skärmen visas de certifikat som används för närvarande. För en ny enhet visas de självsignerade certifikat som genererades under orderbearbetningen.

    Certificates page for a Data Box device

  2. Om du behöver ändra namn (enhetsnamn) eller DNS-domän (domänen för DNS-servern för enheten) gör du det nu innan du lägger till certifikatet. Välj därefter Tillämpa.

    Certifikatet måste ändras om enhetsnamnet eller DNS-domännamnet ändras.

    Apply a new device name and DNS domain for a Data Box

  3. Om du vill lägga till ett certifikat väljer du Lägg till certifikat för att öppna panelen Lägg till certifikat . Välj sedan certifikattypen – antingen Blob Storage eller Lokalt webbgränssnitt.

    Add certificates panel on the Certificates page for a Data Box device

  4. Välj certifikatfilen (i .pfx format) och ange lösenordet som angavs när certifikatet exporterades. Välj sedan Verifiera och lägg till.

    Settings for adding a Blob endpoint certificate to a Data Box

    När certifikatet har lagts till visar skärmen Certifikat tumavtrycket för det nya certifikatet. Certifikatets status är Giltig.

    A valid new certificate that's been successfully added

  5. Om du vill se certifikatinformation väljer du och klickar på certifikatnamnet. Certifikatet upphör att gälla efter ett år.

    View certificate details for a Data Box device

  6. Om du har ändrat certifikatet för det lokala webbgränssnittet måste du starta om webbläsaren och sedan det lokala webbgränssnittet. Det här steget krävs för att undvika problem med SSL-cachen.

  1. Installera det nya certifikatet på den klientdator som du använder för att få åtkomst till det lokala webbgränssnittet. Anvisningar finns i Importera certifikat till klienten nedan.

Importera certifikat till klienten

När du har lagt till ett certifikat på din Data Box-enhet måste du importera certifikatet till den klientdator som du använder för att få åtkomst till enheten. Du importerar certifikatet till det betrodda rotcertifikatutfärdararkivet för den lokala datorn.

Följ dessa steg för att importera ett certifikat på en Windows-klient:

  1. I Utforskaren högerklickar du på certifikatfilen (med .cer format) och väljer Installera certifikat. Den här åtgärden startar guiden Importera certifikat.

    Import certificate 1

  2. För Store-plats väljer du Lokal dator och sedan Nästa.

    Select Local Machine as the store location in the Certificate Import Wizard

  3. Välj Placera alla certifikat i följande arkiv, välj Betrodd rotcertifikatutfärdare och välj sedan Nästa.

    Select the Trusted Root Certification Authorities store in the Certificate Import Wizard

  4. Granska inställningarna och välj Slutför. Ett meddelande visar att importen lyckades.

    Review your certificate settings, and finish the Certificate Import Wizard

Återgå till standardcertifikat

Innan du returnerar enheten till Azure-datacentret bör du återgå till de ursprungliga certifikat som genererades under orderbearbetningen.

Följ dessa steg för att återgå till de certifikat som genererades under orderbearbetningen:

  1. Gå till Hantera>certifikat och välj Återställ certifikat.

    Återställning av certifikat återgår till att använda de självsignerade certifikat som genererades under orderbearbetningen. Dina egna certifikat tas bort från enheten.

    Revert certificates option in Manage Certificates for a Data Box device

  2. När certifikatets omversion har slutförts går du till Stäng av eller starta om och välj Starta om. Det här steget krävs för att undvika problem med SSL-cachen.

    Shut down or restart the local web UI after reverting certificates on a Data Box device

    Vänta några minuter och logga sedan in på det lokala webbgränssnittet igen.