Partager via

Charger, importer, exporter et supprimer des certificats sur Azure Stack Edge Pro GPU

  • Article

S’APPLIQUE À : Oui pour la référence SKU Pro GPUAzure Stack Edge Pro : GPUOui pour la référence SKU Pro 2Azure Stack Edge Pro 2Oui pour la référence SKU Pro RAzure Stack Edge Pro ROui pour la référence SKU Mini RAzure Stack Edge Mini R

Pour garantir une communication sécurisée et fiable entre votre appareil Azure Stack Edge et les clients qui s’y connectent, vous pouvez utiliser des certificats auto-signés ou apporter vos propres certificats. Cet article explique comment gérer ces certificats, notamment comment les charger, les importer et les exporter. Vous pouvez également afficher les dates d’expiration des certificats et supprimer vos anciens certificats de signature.

Pour en savoir plus sur la création de ces certificats, consultez Créer des certificats à l’aide d’Azure PowerShell.

Charger des certificats sur votre appareil

Si vous apportez vos propres certificats, les certificats que vous avez créés pour votre appareil résident par défaut dans le magasin personnel sur votre client. Ces certificats doivent être exportés sur votre client dans des fichiers de format appropriés qui peuvent ensuite être chargés sur votre appareil.

Prérequis

Avant de charger vos certificats racines et vos certificats de point de terminaison sur l’appareil, assurez-vous que les certificats sont exportés dans le format approprié.

Charger des certificats

Pour charger des certificats racines et de point de terminaison sur l’appareil, utilisez l’option + Ajouter un certificat dans la page Certificats de l’interface utilisateur web locale. Effectuez les étapes suivantes :

  1. Téléchargez d’abord le certificat racine. Dans l’interface utilisateur web locale, accédez à Certificats.

  2. Sélectionnez + Ajouter un certificat.

    Capture d’écran montrant l’écran Ajouter un certificat lors de l’ajout d’un certificat de chaîne de signature à un périphérique Azure Stack Edge. Le bouton Enregistrer le certificat est mis en surbrillance.

  3. Enregistrez le certificat.

Charger le certificat du point de terminaison

  1. Ensuite, téléchargez les certificats de point de terminaison.

    Capture d’écran montrant l’écran Ajouter un certificat lors de l’ajout de certificats de point de terminaison à un périphérique Azure Stack Edge. Le bouton Enregistrer le certificat est mis en surbrillance.

    Choisissez les fichiers de certificat au format .pfx et entrez le mot de passe que vous avez fourni lors de l’exportation du certificat. L’application du certificat Azure Resource Manager peut prendre quelques minutes.

    Si la chaîne de signature n’est pas mise à jour d’abord et que vous essayez de charger les certificats de point de terminaison, vous obtiendrez une erreur.

    Capture d’écran montrant l’erreur d’application de certificat lorsqu’un certificat de point de terminaison est téléchargé sans télécharger d’abord un certificat de chaîne de signature sur un périphérique Azure Stack Edge.

    Revenez en arrière et chargez le certificat de chaîne de signature, puis chargez et appliquez les certificats de point de terminaison.

Important

Si le nom de l’appareil ou le domaine DNS est modifié, de nouveaux certificats doivent être créés. Les certificats clients et les certificats d’appareil doivent ensuite être mis à jour avec les nouveaux nom d’appareil et domaine DNS.

Charger des certificats Kubernetes

Les certificats Kubernetes peuvent être destinés à Edge Container Registry ou au tableau de bord Kubernetes. Dans chaque cas, un certificat et un fichier de clé doivent être chargés. Pour créer et charger des certificats Kubernetes, procédez comme suit :

  1. Vous utiliserez openssl pour créer le certificat de tableau de bord Kubernetes ou Edge Container Registry. Veillez à installer openssl sur le système que vous utiliserez pour créer les certificats. Sur un système Windows, vous pouvez utiliser Chocolatey pour installer openssl. Une fois que vous avez installé Chocolatey, ouvrez PowerShell et saisissez :

    choco install openssl

  2. Utilisez openssl pour créer ces certificats. Un fichier de certificat cert.pem et un fichier de clé key.pem sont créés.

    • Pour Edge Container Registry, utilisez la commande suivante :

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Voici un exemple de sortie :

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Pour le certificat de tableau de bord Kubernetes, utilisez la commande suivante :

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Voici un exemple de sortie :

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Chargez le certificat Kubernetes et le fichier de clé correspondant que vous avez générés précédemment.

    • Pour Edge Container Registry

      Capture d’écran montrant l’écran Ajouter un certificat lors de l’ajout d’un certificat de registre de conteneurs Edge à un périphérique Azure Stack Edge. Le bouton Parcourir pour le certificat et le fichier clé sont mis en surbrillance.

    • Pour le tableau de bord Kubernetes

      Capture d’écran montrant l’écran Ajouter un certificat lors de l’ajout d’un certificat de tableau de bord Kubernetes à un périphérique Azure Stack Edge. Le bouton Parcourir pour le certificat et le fichier clé sont mis en surbrillance.

Importer des certificats sur le client qui accède à l’appareil

Vous pouvez utiliser les certificats générés par l’appareil ou apporter vos propres certificats. Si vous utilisez les certificats générés par l’appareil, vous devez les télécharger sur votre client avant de pouvoir les importer dans le magasin de certificats approprié. Consultez Télécharger des certificats sur le client qui accède à l’appareil.

Dans les deux cas, les certificats que vous avez créés et chargés sur votre appareil doivent être importés sur votre client Windows (qui accède à l’appareil) dans le magasin de certificats approprié.

Importer des certificats au format DER

Pour importer des certificats sur un client Windows, procédez comme suit :

  1. Cliquez avec le bouton droit sur le fichier et sélectionnez Installer le certificat. Cette action démarre l’Assistant Importation de certificat.

    Capture d’écran du menu contextuel pour un fichier dans Windows File Explorer. L’option Installer le certificat est mise en surbrillance.

  2. Pour Emplacement du magasin, sélectionnez Ordinateur local, puis sélectionnez Suivant.

    Capture d’écran de l’Assistant d’importation du certificat sur un client Windows. L’emplacement de stockage d’ordinateur local est mis en surbrillance.

  3. Sélectionnez Placer tous les certificats dans le magasin suivant, puis sélectionnez Parcourir.

    • Pour effectuer l’importation dans le magasin personnel, accédez au magasin personnel de votre hôte distant, puis sélectionnez Suivant.

      Capture d’écran de l’Assistant d’importation du certificat dans Windows avec le magasin de certificats personnel sélectionné. L’option Magasin de certificats et le bouton Suivant sont mis en surbrillance.

    • Pour effectuer l’importation dans le magasin de confiance, accédez à l’autorité de certification racine approuvée, puis sélectionnez Suivant.

      Capture d’écran de l’Assistant d’importation du certificat dans Windows avec le magasin de certificats des autorités de certification racine de confiance sélectionné. L’option Magasin de certificats et le bouton Suivant sont mis en surbrillance.

  4. Sélectionnez Terminer. Un message indiquant que l’importation a réussi s’affiche.

Afficher l’expiration du certificat

Si vous apportez vos propres certificats, les certificats expirent généralement après 1 an ou 6 mois. Pour afficher la date d’expiration de votre certificat, accédez à la page Certificats dans l’interface utilisateur web locale de votre appareil. Si vous sélectionnez un certificat spécifique, vous pouvez afficher la date d’expiration de votre certificat.

Supprimer un certificat de chaîne de signature

Vous pouvez supprimer un certificat de chaîne de signature ancien et arrivé à expiration de votre appareil. Dans ce cas, tous les certificats dépendants dans la chaîne de signature ne seront plus valides. Seuls les certificats de chaîne de signature peuvent être supprimés.

Pour supprimer un certificat de chaîne de signature de votre appareil Azure Stack Edge, procédez comme suit :

  1. Dans l’interface utilisateur web locale de votre appareil, accédez à CONFIGURATION>Certificats.

  2. Sélectionnez le certificat de chaîne de signature que vous souhaitez supprimer. Puis sélectionnez Supprimer.

    Capture d’écran du volet Certificats de l’interface utilisateur web locale d’un périphérique Azure Stack Edge. L’option Supprimer pour les certificats de signature est mise en surbrillance.

  3. Dans le volet Supprimer le certificat, vérifiez l’empreinte numérique du certificat, puis sélectionnez Supprimer. La suppression du certificat ne peut pas être annulée.

    Capture d’écran de l’écran Supprimer le certificat pour un certificat de signature sur un périphérique Azure Stack Edge. L’empreinte du certificat et le bouton Supprimer sont mis en surbrillance.

    Une fois la suppression du certificat terminée, tous les certificats dépendants dans la chaîne de signature ne sont plus valides.

  4. Pour afficher les mises à jour d’état, actualisez l’affichage. Le certificat de chaîne de signature ne s’affiche plus et les certificats dépendants présentent l’état Non valide.

Étapes suivantes

Résoudre les problèmes de certificat