Tutoriel : Configurer des certificats pour votre appareil Azure Stack Edge Pro 2
Ce tutoriel explique comment configurer des certificats pour votre appareil Azure Stack Edge Pro 2 en utilisant l’interface utilisateur web locale.
Le temps nécessaire pour cette étape peut varier en fonction de l’option spécifique que vous choisissez et de la façon dont le workflow de certificat est établi dans votre environnement.
Ce tutoriel vous fournira des informations sur :
- Prérequis
- Configurer des certificats pour l’appareil physique
- Configurer le chiffrement au repos
Prérequis
Avant de configurer votre appareil Azure Stack Edge Pro 2, vérifiez que :
Vous avez installé l’appareil physique, comme indiqué dans Installer Azure Stack Edge Pro 2.
Si vous envisagez d’apporter vos propres certificats :
- Vos certificats doivent être prêts au format approprié, y compris le certificat de chaîne de signature.
- Si votre appareil est déployé sur Azure Government, Azure Government Secret et pas sur le cloud public Azure, un certificat de chaîne de signature est nécessaire pour pouvoir activer votre appareil.
Pour plus d’informations sur les certificats, consultez Préparer les certificats à charger sur votre appareil Azure Stack Edge.
Configurer des certificats pour un appareil
Ouvrez la page Certificats dans l’interface utilisateur web locale de votre appareil. Cette page affiche les certificats disponibles sur votre appareil. L’appareil est livré avec des certificats autosignés, également appelés certificats d’appareil. Vous pouvez également apporter vos propres certificats.
Suivez cette étape uniquement si vous n’avez pas changé le nom de l’appareil ni le domaine DNS quand vous avez configuré les paramètres d’appareil précédemment et que vous ne voulez pas utiliser vos propres certificats.
Vous n’avez pas besoin d’effectuer de configuration dans cette page. Il vous suffit de vérifier que l’état de tous les certificats est valide dans cette page.
Vous êtes prêt à configurer le chiffrement au repos avec les certificats d’appareil existants.
Suivez le reste des étapes uniquement si vous avez changé le nom de l’appareil ou le domaine DNS de votre appareil. Dans ce cas, l’état de vos certificats d’appareil est Non valide. C’est parce que le nom de l’appareil et le domaine DNS dans les paramètres
subject name
etsubject alternative
des certificats sont obsolètes.Vous pouvez sélectionner un certificat pour voir les détails de l’état.
Si vous avez changé le nom de l’appareil ou le domaine DNS de votre appareil et que vous ne fournissez pas de nouveaux certificats, l’activation de l’appareil est bloquée. Pour utiliser un nouvel ensemble de certificats sur votre appareil, choisissez une des options suivantes :
Générer tous les certificats d’appareil. Sélectionnez cette option, puis effectuez les étapes décrites dans Générer des certificats d’appareil, si vous envisagez d’utiliser des certificats d’appareil générés automatiquement et que vous devez générer de nouveaux certificats d’appareil. Vous devez uniquement utiliser ces certificats d’appareil pour les tests, et non avec des charges de travail de production.
Apportez votre propre certificat. Sélectionnez cette option, puis effectuez les étapes décrites dans Apporter vos propres certificats si vous souhaitez utiliser vos propres certificats de point de terminaison signés et les chaînes de signature correspondantes. Nous vous recommandons de toujours apporter vos propres certificats pour les charges de travail de production.
Vous pouvez choisir d’apporter certains de vos propres certificats et de générer quelques certificats d’appareil. L’option Générer tous les certificats d’appareil regénère uniquement les certificats d’appareil.
Quand vous avez un ensemble complet de certificats valides pour votre appareil, sélectionnez < Précédent pour commencer. Vous pouvez maintenant configurer le chiffrement au repos.
Générer des certificats d'appareil
Suivez ces étapes pour générer des certificats d’appareil.
Suivez ces étapes pour regénérer et télécharger les certificats d’appareil Azure Stack Edge Pro 2 :
Dans l’interface utilisateur locale de votre appareil, accédez à Configuration > Certificats. Sélectionnez Générer des certificats.
Dans la Générer des certificats d’appareil, sélectionnez Générer.
Les certificats des appareils sont désormais générés et appliqués. La génération et l’application des certificats prennent quelques minutes.
Important
Pendant que l’opération de génération de certificats est en cours, n’apportez pas vos propres certificats et essayez de les ajouter via l’option + Ajouter un certificat.
Vous êtes averti quand l’opération est terminée. Pour éviter tout problème éventuel de cache, redémarrez votre navigateur.
Une fois les certificats générés :
Vérifiez que l’état de tous les certificats est indiqué comme étant valide.
Vous pouvez sélectionner un nom de certificat spécifique et afficher les détails qui s’y rapportent.
La colonne Télécharger est maintenant renseignée. Cette colonne contient des liens permettant de télécharger les certificats regénérés.
Sélectionnez le lien de téléchargement d’un certificat et, lorsque vous y êtes invité, enregistrez le certificat.
Répétez ce processus pour tous les certificats que vous souhaitez télécharger.
Les certificats générés par l’appareil sont enregistrés sous forme de certificats DER avec le format de nom suivant :
<Device name>_<Endpoint name>.cer
. Ces certificats contiennent la clé publique pour les certificats correspondants installés sur l’appareil.
Vous devez installer ces certificats sur le système client que vous utilisez pour accéder aux points de terminaison de l’appareil Azure Stack Edge. Ces certificats établissent une relation de confiance entre le client et l’appareil.
Pour importer et installer ces certificats sur le client que vous utilisez pour accéder à l’appareil, suivez les étapes décrites dans Importer des certificats sur les clients accédant à votre appareil Azure Stack Edge Pro - GPU.
Si vous utilisez l’Explorateur Stockage Azure, vous devez installer des certificats sur votre client au format PEM et donc convertir les certificats générés par l’appareil au format PEM.
Important
- Le lien de téléchargement est uniquement disponible pour les certificats générés par l’appareil et non si vous apportez vos propres certificats.
- Vous pouvez décider d’avoir une combinaison de certificats générés par l’appareil et de certificats que vous apportez tant que les autres exigences du certificat sont remplies. Pour plus d'informations, consultez Exigences des certificats.
Apportez vos propres certificats
Vous pouvez apporter vos propres certificats.
- Commencez par comprendre les types de certificats qui peuvent être utilisés avec votre appareil Azure Stack Edge.
- Ensuite, passez en revue les exigences relatives aux certificats pour chaque type.
- Vous pouvez ensuite créer vos certificats via Azure PowerShell ou créer vos certificats via l’outil Readiness checker.
- Enfin, convertissez les certificats au format approprié pour qu’ils soient prêts à charger sur votre appareil.
Procédez comme suit pour télécharger vos propres certificats, y compris la chaîne de signature.
Pour télécharger le certificat, sur la page Certificat, sélectionnez + Ajouter un certificat.
Vous pouvez ignorer cette étape si vous avez ajouté tous les certificats dans le chemin de certificat pendant l’exportation des certificats au format .pfx. Si vous n’avez pas inclus tous les certificats dans votre exportation, chargez la chaîne de signature, puis sélectionnez Valider et ajouter. Vous devez le faire avant de charger vos autres certificats.
Dans certains cas, vous pouvez apporter une chaîne de signature seule à d’autres fins, par exemple, pour vous connecter à votre serveur de mises à jour pour Windows Server Update Services (WSUS).
Chargez d’autres certificats. Par exemple, vous pouvez télécharger les certificats de point de terminaison de stockage d’objets Blob et Azure Resource Manager.
Vous pouvez également télécharger le certificat de l’interface utilisateur web locale. Après avoir téléchargé ce certificat, vous devez démarrer votre navigateur et effacer le cache. Vous devez ensuite vous connecter à l’interface utilisateur web locale de l’appareil.
Vous pouvez également télécharger le certificat de nœud.
La page du certificat devrait s’actualiser pour refléter les nouveaux certificats ajoutés. À tout moment, vous pouvez sélectionner un certificat et afficher les détails pour vous assurer qu’ils correspondent au certificat que vous avez chargé.
Remarque
À l’exception du cloud public Azure, les certificats de chaîne de signature doivent être apportés avant l’activation de toutes les configurations cloud (Azure Government ou Azure Stack).
Configurer le chiffrement au repos
Dans la vignette Sécurité, sélectionnez Configurer pour le chiffrement au repos.
Notes
Il s’agit d’un paramètre obligatoire. Tant qu’il n’est pas configuré correctement, vous ne pouvez pas activer l’appareil.
En usine, une fois les appareils imagés, le chiffrement BitLocker du niveau de volume est activé. Une fois que vous recevez l’appareil, vous devez configurer le chiffrement au repos. Le pool de stockage et les volumes sont recréés et vous pouvez fournir des clés BitLocker pour activer le chiffrement au repos et ainsi créer une deuxième couche de chiffrement pour vos données au repos.
Dans le volet Chiffrement au repos, fournissez une clé encodée en base 64 de 32 caractères. Il s’agit d’une configuration qui a lieu une seule fois et cette clé est utilisée pour protéger la clé de chiffrement réelle. Vous pouvez choisir de générer automatiquement cette clé.
Vous pouvez également entrer votre propre clé de chiffrement ASE-256 bits encodée en base 64.
La clé est enregistrée dans un fichier de clé dans la page Détails du cloud après l’activation de l’appareil.
Sélectionnez Appliquer. Cette opération prend plusieurs minutes et l’état de l’opération s’affiche.
Une fois que l’état est Terminé, votre appareil est prêt à être activé. Sélectionnez < Revenir à Démarrer.
Étapes suivantes
Ce tutoriel vous fournira des informations sur :
- Prérequis
- Configurer des certificats pour l’appareil physique
- Configurer le chiffrement au repos
Pour savoir comment activer votre appareil Azure Stack Edge Pro 2, consultez :