将自己的证书用于 Data Box 设备
在订单处理期间,会生成自签名证书,用于访问 Data Box 设备的本地 Web UI 和 Blob 存储。 如果希望通过受信任的通道与设备通信,可以使用自己的证书。
本文介绍了如何安装自己的证书,以及如何在将设备退回给数据中心之前恢复为默认证书。 本文还总结了证书要求。
关于证书
证书在公钥和实体(例如域名)之间提供链接,由受信任的第三方(如证书颁发机构)签署(验证)。 证书提供了一种方便的方法来分发受信任的公共加密密钥。 这样,证书确保通信受到信任,并确保你正在向正确的服务器发送加密信息。
最初配置 Data Box 设备时,将自动生成自签名证书。 你也可以选择自带证书。 如果你打算自带证书,则需要遵循一些准则。
注意
自动生成的自签名证书会在 12 个月后过期,并且设备将不再可用。 系统会在证书期满的 3 个月前发出通知。 为避免数据丢失,请在证书期满的至少 1 个月前归还设备,确保可在证书到期前将所有数据引入数据中心。
在 Data Box 设备上,使用两种类型的终结点证书:
- Blob 存储证书
- 本地 UI 证书
证书要求
证书必须满足以下要求:
终结点证书需要采用
.pfx
格式,并带有可以导出的私钥。可以为每个终结点使用单个证书,为多个终结点使用多域证书,或使用通配符终结点证书。
终结点证书的属性类似于典型 SSL 证书的属性。
需要在客户端计算机上使用 DER 格式的相应证书(
.cer
文件扩展名)。上传本地 UI 证书后,你将需要重新启动浏览器并清除缓存。 请参阅浏览器的特定说明。
如果设备名称或 DNS 域名发生变更,则必须更改这些证书。
创建终结点证书时请使用下表:
类型 使用者名称 (SN) 使用者可选名称 (SAN) 使用者名称示例 本地 UI <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Blob 存储 *.blob.<DeviceName>.<DNSdomain>
*.blob.< DeviceName>.<DNSdomain>
*.blob.mydevice1.microsoftdatabox.com
多 SAN 单个证书 <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
*.blob.<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
将证书添加到设备
你可以使用自己的证书来访问本地 web UI 和访问 Blob 存储。
重要
如果更改了设备名称或 DNS 域,则必须创建新证书。 然后,应将客户端证书和设备证书更新为新的设备名称和 DNS 域。
要将自己的证书添加到设备,请执行以下步骤:
转到“管理”>“证书”。
“名称”显示设备名称。 “DNS 域”显示 DNS 服务器的域名。
屏幕底部显示当前正在使用的证书。 对于新设备,你将看到在订单处理过程中生成的自签名证书。
如果需要更改“名称”(设备名称)或“DNS 域”(设备的 DNS 服务器的域),请在添加证书之前进行操作。 然后,选择“应用”。
如果设备名称或 DNS 域名发生变更,则必须更改这些证书。
要添加证书,请选择“添加证书”以打开“添加证书”面板。 然后选择“证书类型”:“Blob 存储”或“本地 Web UI”。
选择证书文件(
.pfx
格式),然后输入导出证书时设置的密码。 然后选择“验证并添加”。成功添加证书后,“证书”屏幕将显示新证书的指纹。 证书的状态为“有效”。
要查看证书详细信息,请选择并单击证书名称。 证书将在一年后过期。
如果更改了本地 Web UI 的证书,则需要重新启动浏览器,然后重新启动本地 Web UI。 要避免任何 SSL 缓存问题,需要执行此步骤。
- 在用于访问本地 Web UI 的客户端计算机上安装新证书。 有关说明,请参阅下面的将证书导入到客户端。
将证书导入到客户端
将证书添加到 Data Box 设备后,需要将证书导入到用来访问设备的客户端计算机。 将证书导入到本地计算机的受信任根证书颁发机构存储区。
要在 Windows 客户端上导入证书,请执行以下步骤:
在“文件资源管理器”中,右键单击证书文件(
.cer
格式),然后选择“安装证书”。 该操作会启动证书导入向导。对于“存储位置”,选择“本地计算机”,然后选择“下一步”。
选择“将所有的证书放入下列存储”,选择“受信任的根证书颁发机构”,然后选择“下一步”。
检查设置,然后选择“完成”。 将显示一条消息,告知导入已成功。
还原为默认证书
在将设备还给 Azure 数据中心之前,应恢复为在订单处理期间生成的原始证书。
要还原为订单处理期间生成的证书,请执行以下步骤:
转到“管理”>“证书”,然后选择“还原证书”。
还原证书后,将继续使用在订单处理期间生成的自签名证书。 将从设备中删除你自己的证书。
证书还原成功完成后,请转到“关闭或重新启动”,然后选择“重新启动”。 要避免任何 SSL 缓存问题,需要执行此步骤。
等待几分钟,然后再次登录到本地 Web UI。