Utiliser des certificats avec des appareils Azure Stack Edge Pro avec GPU
S’APPLIQUE À :Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Cet article décrit la procédure de création de vos propres certificats à l’aide de cmdlets Azure PowerShell. L’article contient les instructions que vous devez suivre si vous envisagez de placer vos propres certificats sur un appareil Azure Stack Edge.
Les certificats garantissent que la communication entre votre appareil et les clients qui y accèdent est approuvée et que vous envoyez des informations chiffrées au serveur approprié. Lors de la configuration initiale de votre appareil Azure Stack Edge, les certificats auto-signés sont générés automatiquement. Si vous le souhaitez, vous pouvez apporter vos propres certificats.
Vous pouvez utiliser l’une des méthodes suivantes pour créer vos propres certificats pour l’appareil :
- Utilisez les cmdlets PowerShell pour Azure
- Utilisez l’outil de vérification de la disponibilité d’Azure Stack Hub pour créer des requêtes de signature de certificat (CSR) qui aideront votre autorité de certification à émettre des certificats.
Cet article traite uniquement de la création de vos propres certificats à l’aide des cmdlets Azure PowerShell.
Prérequis
Avant d’apporter vos propres certificats, assurez-vous que :
- Vous êtes familiarisé avec les types de certificats qui peuvent être utilisés avec votre appareil Azure Stack Edge.
- Vous avez passé en revue les exigences relatives aux certificats pour chaque type.
Créer des certificats
La section suivante décrit la procédure de création de la chaîne de signature et des certificats de point de terminaison.
Workflow de certificat
Vous disposerez d’une méthode définie pour créer les certificats pour les appareils qui fonctionnent dans votre environnement. Vous pouvez utiliser les certificats qui vous sont fournis par votre administrateur informatique.
À des fins de développement ou de test uniquement, vous pouvez également utiliser Windows PowerShell pour créer des certificats sur votre système local. Lors de la création des certificats pour le client, suivez les instructions suivantes :
Vous pouvez créer un des types de certificats suivants :
- Créez un certificat valide unique pour une utilisation avec un nom de domaine complet (FQDN) unique. Par exemple mydomain.com.
- Créez un certificat générique pour sécuriser le nom de domaine principal ainsi que plusieurs sous-domaines. Par exemple *.mydomain.com.
- Créez un certificat SAN (autre nom de l’objet) qui couvre plusieurs noms de domaine dans un seul certificat.
Si vous apportez votre propre certificat, vous aurez besoin d’un certificat racine pour la chaîne de signature. Consultez les étapes pour Créer des certificats de chaîne de signature.
Vous pouvez ensuite créer les certificats de point de terminaison pour l’interface utilisateur locale de l’appliance, l’objet Blob et Azure Resource Manager. Vous pouvez créer 3 certificats distincts pour l’appliance, l’objet Blob et Azure Resource Manager, ou vous pouvez créer un seul certificat pour les 3 points de terminaison. Pour obtenir des instructions détaillées, consultez Créer des certificats de signature et de point de terminaison.
Que créiez 3 certificats séparés ou un seul certificat, spécifiez les noms d’objet (SN) et les autres noms de l’objet (SAN) conformément aux instructions fournies pour chaque type de certificat.
Créer un certificat de chaîne de signature
Créez ces certificats via Windows PowerShell exécuté en mode administrateur. Les certificats créés de cette manière doivent être utilisés à des fins de développement ou de test uniquement.
Le certificat de chaîne de signature ne doit être créé qu’une seule fois. Les autres certificats de point de terminaison feront référence à ce certificat pour la signature.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=RootCert" -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign
Créer des certificats de point de terminaison signés
Créez ces certificats via Windows PowerShell exécuté en mode administrateur.
Dans ces exemples, les certificats des points de terminaison sont créés pour un appareil avec : - Nom d’appareil : DBE-HWDC1T2
- Domaine DNS : microsoftdatabox.com
Remplacez avec le nom et le domaine DNS de votre appareil pour créer des certificats pour votre appareil.
Certificat de point de terminaison Blob
Créez un certificat pour le point de terminaison d’objet Blob dans votre magasin personnel.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "*.blob.$AppName.$domain" -Subject "CN=*.blob.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificat de point de terminaison Azure Resource Manager
Créez un certificat pour les points de terminaison Azure Resource Manager dans votre magasin personnel.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "management.$AppName.$domain","login.$AppName.$domain" -Subject "CN=management.$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificat de l’interface utilisateur web locale de l’appareil
Créez un certificat pour l’interface utilisateur web locale de l’appareil dans votre magasin personnel.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Certificat multi-SAN unique pour tous les points de terminaison
Créez un seul certificat pour tous les points de terminaison de votre magasin personnel.
$AppName = "DBE-HWDC1T2"
$domain = "microsoftdatabox.com"
$DeviceSerial = "HWDC1T2"
New-SelfSignedCertificate -Type Custom -DnsName "$AppName.$domain","$DeviceSerial.$domain","management.$AppName.$domain","login.$AppName.$domain","*.blob.$AppName.$domain" -Subject "CN=$AppName.$domain" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -Signer $cert -KeySpec KeyExchange -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
Une fois les certificats créés, l’étape suivante consiste à télécharger les certificats sur votre appareil Azure Stack Edge Pro GPU.