Compartilhar via

Tutorial: Configurar certificados para o Azure Stack Edge Pro R

  • Artigo

Este tutorial descreve como é possível configurar certificados para o dispositivo Azure Stack Edge Pro R usando a IU da Web local.

O tempo que essa etapa levará varia dependendo da opção específica que você escolher e de como o fluxo de certificado é estabelecido em seu ambiente.

Neste tutorial, você aprenderá a:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar a VPN
  • Configurar a criptografia em repouso

Pré-requisitos

Antes de configurar seu dispositivo Azure Stack Edge Pro R, verifique o seguinte:

  • Você instalou o dispositivo físico conforme detalhado em Instalar o Azure Stack Edge Pro R.
  • Se você planeja trazer seus próprios certificados:
    • Você deve manter seus certificados preparados no formato apropriado, incluindo o certificado de cadeia de assinatura. Para obter detalhes sobre o certificado, acesse Gerenciar certificados

Configurar certificados para o dispositivo

  1. Na página Certificados, você vai configurar seus certificados. Dependendo de você ter ou não alterado o nome do dispositivo ou o domínio DNS na página Dispositivo, você poderá escolher uma das opções a seguir para seus certificados.

    • Se você não alterou o nome do dispositivo nem o domínio DNS na etapa anterior, pode ignorar esta etapa e prosseguir para a próxima. Para começar, o dispositivo gerou automaticamente certificados autoassinados.

    • Se você alterou o nome do dispositivo ou o domínio DNS, verá que o status dos certificados será exibido como Não válido.

      Local web UI

      Selecione um certificado para exibir os detalhes do status.

      Local web UI

      Isso ocorre porque os certificados não refletem o nome e o domínio DNS do dispositivo atualizado (que são usados no nome da entidade e na alternativa da entidade). Para ativar com êxito seu dispositivo, você pode colocar seus certificados de ponto de extremidade assinados e as cadeias de assinatura correspondentes. Primeiro, você adiciona a cadeia de assinatura e carrega os certificados de ponto de extremidade. Para obter mais informações, acesse Traga seus certificados em seu dispositivo Azure Stack Edge Pro R.

    • Se você tiver alterado o nome do dispositivo ou o domínio DNS e não trouxer seus certificados, a ativação será bloqueada.

Trazer seus certificados

Siga estas etapas para adicionar seus certificados, incluindo a cadeia de assinatura.

  1. Para carregar o certificado, na página Certificado, selecione + Adicionar certificado.

    Local web UI

  2. Carregue a cadeia de assinatura primeiro e selecione Validar e adicionar.

    Local web UI

  3. Agora, é possível carregar outros certificados. Por exemplo, é possível carregar os certificados de ponto de extremidade do Armazenamento de Blobs e do Azure Resource Manager.

    Local web UI

    Também é possível carregar o certificado da IU da Web local. Depois de carregar esse certificado, será necessário iniciar o navegador e limpar o cache. Em seguida, será necessário conectar-se à IU da Web local do dispositivo.

    Local web UI

    Também é possível carregar o certificado de nó.

    Local web UI

    Por fim, você pode carregar o certificado VPN.

    Local web UI

    A qualquer momento, você pode selecionar um certificado e exibir os detalhes para garantir que correspondam ao certificado que você carregou.

    A página de certificados será atualizada para refletir os certificados recém-adicionados.

    Local web UI

    Observação

    Exceto para a nuvem pública do Azure, os certificados de cadeia de assinatura precisam ser trazidos antes da ativação para todas as configurações de nuvem (Azure Government ou Azure Stack).

  4. Selecione < Voltar para Introdução.

Configurar a VPN

  1. No bloco Segurança, selecione Configurar para VPN.

    Local web UI

    Para configurar a VPN, primeiro você precisará verificar se tem toda a configuração necessária feita no Azure. Para obter detalhes, confira Configurar pré-requisitos e Configurar recursos do Azure para VPN. Após a conclusão, você poderá fazer a configuração na IU local.

    1. Na página VPN, selecione Configurar.
    2. Na folha Configurar VPN:

    • Habilite Configurações de VPN.

    • Forneça o Segredo compartilhado de VPN. Essa é a chave compartilhada que você forneceu quando criou o objeto de conexão VPN do Azure.

    • Forneça o endereço IP do gateway de VPN. Este é o endereço IP do gateway de rede local do Azure.

    • Para o Grupo PFS, selecione Nenhum.

    • Para o Grupo DH, selecione Grupo2.

    • Para Método de integridade IPsec, selecione SHA256.

    • Para Constantes de transformação IPseccipher, selecione GCMAES256.

    • Para Constantes de transformação de autenticação IPsec, selecione GCMAES256.

    • Para Método de criptografia IKE, selecione AES256.

    • Escolha Aplicar.

      Configure local UI 2

    1. Para carregar o arquivo de configuração de rota VPN, selecione Carregar.

      Configure local UI 3

      • Navegue até o arquivo json da configuração de VPN que você baixou em seu sistema local na etapa anterior.

      • Selecione a região como a região do Azure associada ao dispositivo, à rede virtual e aos gateways.

      • Escolha Aplicar.

        Configure local UI 4

    2. Para adicionar rotas específicas do cliente, configure os intervalos de endereços IP a serem acessados usando somente a VPN.

      • Em Intervalos de endereços IP a serem acessados usando somente a VPN, selecione Configurar.

      • Forneça um intervalo IPv4 válido e selecione Adicionar. Repita as etapas para adicionar outros intervalos.

      • Escolha Aplicar.

        Configure local UI 5

  2. Selecione < Voltar para Introdução.

Configurar a criptografia em repouso

  1. No bloco Segurança, selecione Configurar para criptografia em repouso. Essa é uma configuração necessária e até que isso seja configurado com êxito, você não poderá ativar o dispositivo.

    No alocador, após a imagem dos dispositivos, a criptografia BitLocker no nível de volume está habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves do BitLocker para habilitar a criptografia em repouso e, portanto, criar uma segunda camada de criptografia para seus dados em repouso.

  2. No painel Criptografia em repouso, forneça uma chave codificada em Base-64 com 32 caracteres. Essa é uma configuração única e essa chave é usada para proteger a chave de criptografia real. Você pode optar por gerar essa chave automaticamente ou inserir uma.

    Local web UI

    Essa chave é salva em um arquivo de chave na página Detalhes da nuvem após o dispositivo ser ativado.

  3. Selecione Aplicar. Essa operação leva vários minutos e o status dela é exibido no bloco Segurança.

    Local web UI

  4. Depois que o status aparecer como Concluído, selecione < Voltar para a Introdução.

Agora, seu dispositivo está pronto para ser ativado.

Próximas etapas

Neste tutorial, você aprenderá a:

  • Pré-requisitos
  • Configurar certificados para o dispositivo físico
  • Configurar a VPN
  • Configurar a criptografia em repouso

Para saber como ativar seu dispositivo Azure Stack Edge Pro R, confira:

Ativar dispositivo Azure Stack Edge Pro R