チュートリアル: Azure Stack Edge Pro 2 用の証明書を構成する

  • [アーティクル]

このチュートリアルでは、ローカル Web UI を使用して、ご利用の Azure Stack Edge Pro 2 用の証明書を構成する方法について説明します。

この手順の所要時間は、選択した特定のオプションと、お使いの環境で証明書フローがどのように確立されるかによって変わります。

このチュートリアルで学習する内容は次のとおりです。

  • 前提条件
  • 物理デバイスの証明書を構成する
  • 保存時の暗号化の構成

前提条件

ご利用の Azure Stack Edge Pro 2 デバイスを構成および設定する前に、次のことを確認してください。

  • Azure Stack Edge Pro 2 の設置に関する記事の詳細に従って、物理デバイスを設置していること。

  • 独自の証明書を持ち込む予定の場合:

    • 署名チェーン証明書を含む適切な形式で証明書を準備しておく必要があります。
    • デバイスが Azure Government に配置されていて、Azure パブリック クラウドに配置されていない場合は、デバイスをアクティブにする前に署名チェーン証明書が必要になります。

    証明書の詳細については、「Azure Stack Edge デバイスでアップロードするために証明書を準備する」を参照してください。

デバイスの証明書を構成する

  1. デバイスのローカル Web UI で [証明書] ページを開きます。 このページには、デバイスで使用可能な証明書が表示されます。 デバイスには、自己署名証明書 (デバイス証明書とも呼ばれます) が付属しています。 独自の証明書を持ち込むこともできます。

  2. この手順に従うのは、以前にデバイス設定を構成したときにデバイス名または DNS ドメインを変更しておらず、独自の証明書を使用したくない場合だけにしてください。

    このページではいずれの構成も行う必要がありません。 このページで、すべての証明書の状態が有効と表示されていることを確認してください。

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    保存時の暗号化を既存のデバイス証明書を使用して構成する準備ができました。

  3. 残りの手順に従うのは、デバイスのデバイス名または DNS ドメインを変更した場合だけにしてください。 これらの場合、デバイス証明書の状態は [無効] になります。 これは、証明書の subject namesubject alternative 設定のデバイス名と DNS ドメインが古くなっているためです。

    証明書を選択して状態の詳細を表示できます。

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. デバイスのデバイス名または DNS ドメインを変更し、新しい証明書を指定しなかった場合、デバイスのアクティベーションがブロックされます。新しい証明書セットをデバイスで使用するには、次のいずれかのオプションを選択します。

    • [Bring your own certificates](すべてのデバイス証明書を生成する) 。 自動生成されるデバイス証明書を使用する予定で、新しいデバイス証明書を生成する必要がある場合は、このオプションを選択し、「デバイス証明書を生成する」の手順を完了します。 これらのデバイス証明書は、実稼働ワークロードではなく、テストにのみ使用してください。

    • [Bring your own certificates](独自の証明書を持ち込む) 。 独自の署名付きエンドポイント証明書と対応する署名チェーンを使用する場合は、このオプションを選択し、「独自の証明書を持ち込む」の手順を実行します。 運用環境のワークロードには、常に独自の証明書を持ち込むことをお勧めします。

    • 独自の証明書を複数持ち込み、複数のデバイス証明書を生成することを選択できます。 [Generate all the device certificates](すべてのデバイス証明書を生成する) オプションは、デバイス証明書のみを再生成します。

  5. デバイスに有効な証明書がすべて設定されているときは、<[開始に戻る] を選択します。 これで、保存時の暗号化の構成に進むことができます。

デバイス証明書を生成する

デバイス証明書を生成するには、次の手順を実行します。

次の手順を使用して、Azure Stack Edge Pro 2 デバイス証明書を再生成してダウンロードします。

  1. お使いのデバイスのローカル UI で、[構成] > [証明書] に移動します。 [Generate certificates](証明書の生成) を選択します。

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. [Generate device certificates](デバイス証明書の生成)[生成] を選択します。

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    これでデバイス証明書が生成され、適用されます。 証明書の生成と適用には数分かかります。

    重要

    証明書の生成操作の実行中は、独自の証明書を持ち込まず、 [+ 証明書の追加] オプションを使用して追加してください。

    操作が正常に完了すると、通知が表示されます。 キャッシュの問題の可能性を回避するために、ブラウザーを再起動します。

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. 証明書が生成された後:

    • すべての証明書の状態が有効と表示されていることを確認します。

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • 特定の証明書名を選択し、証明書の詳細を表示できます。

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • [ダウンロード] 列に値が設定されています。 この列には、再生成された証明書をダウンロードするためのリンクが含まれます。

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. 証明書のダウンロード リンクを選択し、メッセージが表示されたら、証明書を保存します。

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. ダウンロードするすべての証明書に対してこのプロセスを繰り返します。

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    デバイスで生成された証明書は、次の名前形式で DER 証明書として保存されます。

    <Device name>_<Endpoint name>.cer. これらの証明書には、デバイスにインストールされている対応する証明書の公開キーが含まれています。

Azure Stack Edge デバイス上のエンドポイントへのアクセスに使用しているクライアント システムにこれらの証明書をインストールする必要があります。 これらの証明書によって、クライアントとデバイス間に信頼が確立します。

デバイスへのアクセスに使用しているクライアントにこれらの証明書をインポートしてインストールするには、Azure Stack Edge Pro GPU デバイスにアクセスするクライアントに証明書をインポートする方法の手順を実行します。

Azure Storage Explorer を使用する場合、クライアントに PEM 形式で証明書をインストールする必要があります。また、デバイスで生成された証明書を PEM 形式に変換する必要があります。

重要

  • ダウンロード リンクは、デバイスで生成された証明書にのみ使用できます。独自の証明書を持ち込む場合は使用できません。
  • 他の証明書の要件が満たされている限り、デバイスで生成された証明書を組み合わせて独自の証明書を持ち込むことができます。 詳細については、「証明書の要件」を参照してください。

独自の証明書を持ち込む

独自の証明書を持ち込むことができます。

署名チェーンを含む独自の証明書をアップロードするには、次の手順のようにします。

  1. 証明書をアップロードするには、 [証明書] ページで [+ 証明書の追加] を選択します。

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. 証明書を .pfx 形式でエクスポートしたときに、証明書のパスにすべての証明書を含めた場合は、この手順を省略できます。 エクスポートにすべての証明書を含めなかった場合は、署名チェーンをアップロードし、[検証して追加] を選択します。 これは、他の証明書をアップロードする前に行う必要があります。

    場合によっては、署名チェーンのみを他の目的のために持ち込むことが必要になることがあります。たとえば、Windows Server Update Services (WSUS) の更新サーバーに接続する場合などです。

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. 他の証明書をアップロードします。 たとえば、Azure Resource Manager と BLOB ストレージ エンドポイントの証明書をアップロードできます。

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    ローカル Web UI 証明書をアップロードすることもできます。 この証明書をアップロードした後、ブラウザーを起動してキャッシュをクリアする必要があります。 次に、デバイスのローカル Web UI に接続する必要があります。

    Local web UI

    ノード証明書をアップロードすることもできます。

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    証明書ページが更新され、新しく追加された証明書が反映されます。 いつでも、証明書を選択して詳細を表示し、アップロードした証明書と一致していることを確認できます。

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Note

    Azure パブリック クラウドを除き、すべてのクラウド構成 (Azure Government または Azure Stack) をアクティブにする前に、署名チェーン証明書を組み込む必要があります。

保存時の暗号化の構成

  1. [セキュリティ] タイルで、[encryption-at-rest](保存時の暗号化) の [構成] を選択します。

    注意

    これは必須の設定であり、これが正常に構成されないとデバイスをアクティブにすることができません。

    工場でデバイスがイメージ化されると、ボリューム レベルの BitLocker 暗号化が有効になります。 デバイスを受け取った後、保存時の暗号化を構成する必要があります。 ストレージ プールとボリュームが再作成されます。保存時の暗号化を有効にする BitLocker キーを指定することにより、保存データに対する 2 番目の暗号化レイヤーを作成できます。

  2. [Encryption-at-rest](保存時の暗号化) ペインで、32 文字の Base-64 でエンコードされたキーを指定します。 これは 1 回限りの構成です。このキーは、実際の暗号化キーを保護するために使用されます。 このキーを自動的に生成するように選択することができます。

    Screenshot of the local web UI

    独自の Base-64 エンコード ASE-256 ビット暗号化キーを入力することもできます。

    Screenshot of the local web UI

    キーは、デバイスがアクティブになった後、 [Cloud details](クラウドの詳細) ページのキー ファイルに保存されます。

  3. [適用] を選択します。 この操作には数分かかり、操作の状態が表示されます。

    Screenshot of the

  4. 状態が [完了] と表示されたら、デバイスをアクティブ化する準備ができました。 [< [開始] に戻る] を選択します。

次のステップ

このチュートリアルで学習する内容は次のとおりです。

  • 前提条件
  • 物理デバイスの証明書を構成する
  • 保存時の暗号化の構成

Azure Stack Edge Pro 2 デバイスをアクティブにする方法については、以下を参照してください。

Azure Stack Edge Pro 2 デバイスをアクティブにする