Certificat d’authentification du serveur de passerelle de gestion cloud
S’applique à : Configuration Manager (branche actuelle)
La première étape lorsque vous configurez une passerelle de gestion cloud (CMG) consiste à obtenir le certificat d’authentification du serveur. La passerelle de gestion cloud crée un service HTTPS auquel les clients basés sur Internet se connectent. Le serveur nécessite un certificat d’authentification serveur pour générer le canal sécurisé. Vous pouvez acquérir un certificat à cet effet auprès d’un fournisseur public ou l’émettre à partir de votre infrastructure à clé publique (PKI).
Lorsque vous créez la passerelle de gestion cloud dans la console Configuration Manager, vous fournissez ce certificat. Le nom commun (CN) de ce certificat définit le nom de service de la passerelle de gestion cloud.
Remarque
Vous aurez peut-être besoin de certificats supplémentaires pour les clients et les points de gestion. Ces certificats sont abordés dans la troisième étape du processus de configuration de la passerelle de gestion cloud, Configurer l’authentification client.
Rappel de la terminologie de la passerelle de gestion cloud utilisée dans cet article :
Nom du service : nom commun (CN) du certificat d’authentification du serveur de la passerelle de gestion cloud. Les clients et le rôle de système de site de point de connexion de passerelle de gestion cloud communiquent avec ce nom de service. Par exemple :
GraniteFalls.contoso.com
ouGraniteFalls.WestUS.CloudApp.Azure.Com
.Nom du déploiement : première partie du nom du service plus l’emplacement Azure pour le déploiement du service cloud. Le composant Cloud Service Manager du point de connexion de service utilise ce nom lorsqu’il déploie la passerelle de gestion cloud dans Azure. Le nom du déploiement se trouve toujours dans un domaine Azure. L’emplacement Azure dépend de la méthode de déploiement, par exemple :
- Groupe de machines virtuelles identiques :
GraniteFalls.WestUS.CloudApp.Azure.Com
- Déploiement classique :
GraniteFalls.CloudApp.Net
Importante
Cet article utilise des exemples avec un groupe de machines virtuelles identiques comme méthode de déploiement recommandée dans les versions 2107 et ultérieures. Si vous utilisez un déploiement classique, notez la différence lorsque vous lisez cet article et préparez le certificat d’authentification serveur.
- Groupe de machines virtuelles identiques :
Choisir le type de certificat
Tout d’abord, déterminez où vous souhaitez obtenir le certificat. Il existe plusieurs facteurs à prendre en compte.
Les clients doivent approuver le certificat d’authentification du serveur de passerelle de gestion cloud pour établir le canal HTTPS avec le service de passerelle de gestion cloud. Il existe deux méthodes pour obtenir cette approbation :
Utilisez un certificat d’un fournisseur de certificats public et globalement approuvé.
Les clients Windows incluent des autorités de certification racines approuvées de ces fournisseurs. En utilisant un certificat émis par l’un de ces fournisseurs, vos clients l’approuvent automatiquement.
Ce certificat est associé à un coût spécifique au fournisseur.
Utilisez un certificat émis par une autorité de certification d’entreprise à partir de votre infrastructure à clé publique (PKI).
La plupart des implémentations pKI d’entreprise ajoutent les autorités de certification racines approuvées aux clients Windows. Par exemple, si vous utilisez les services de certificats Active Directory avec une stratégie de groupe. Si vous émettez le certificat d’authentification serveur de passerelle de gestion cloud à partir d’une autorité de certification que vos clients ne font pas automatiquement confiance, ajoutez le certificat racine approuvé par l’autorité de certification aux clients Basés sur Internet.
Si vous envisagez d’installer le client Configuration Manager à partir d’Intune, vous pouvez également utiliser des profils de certificat Intune pour provisionner des certificats sur les clients. Pour plus d’informations, consultez Configurer un profil de certificat.
Votre organisation peut avoir un coût interne pour émettre des certificats, mais il n’y a généralement aucun coût externe associé à ce certificat.
Importante
Avant d’obtenir ce certificat, assurez-vous que le nom du service est globalement unique pour le service cloud et le compte de stockage. Vérifiez également que le nom utilise des caractères pris en charge. Pour plus d’informations, consultez Nom global unique.
Résumé de la comparaison des types de certificats
Fournisseur public | PKI dʼentreprise | |
---|---|---|
Approbation du client | Approuvé dans Windows par défaut | Automatique avec certaines implémentations, sinon vous devez déployer |
Cost | Oui | Pas typique |
Exemple de nom de service | GraniteFalls.contoso.com |
GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com |
DNS CNAME requis | Oui | Non pour le nom du service de domaine Azure (GraniteFalls.WestUS.CloudApp.Azure.Com ) |
Remarque
Le certificat d’authentification serveur de la passerelle de gestion cloud prend en charge les caractères génériques. Certaines autorités de certification émettent des certificats à l’aide d’un caractère générique pour le préfixe de nom de service. Par exemple : *.contoso.com
. Certaines organisations utilisent des certificats génériques pour simplifier leur infrastructure à clé publique et réduire les coûts de maintenance.
Pour plus d’informations sur l’utilisation d’un certificat générique avec une passerelle de gestion cloud, consultez Configurer une passerelle de gestion cloud.
Nom global unique
Ce certificat nécessite un nom global unique pour identifier le service dans Azure. Avant de demander un certificat, vérifiez que le nom de déploiement Azure souhaité est unique. Par exemple : GraniteFalls.WestUS.CloudApp.Azure.Com
.
Groupe de machines virtuelles identiques
Connectez-vous au Portail Azure.
Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource sous Services Azure.
Recherchez Groupe de machines virtuelles identiques. Sélectionnez Créer.
Sélectionnez l’abonnement et le groupe de ressources que vous utiliserez pour la passerelle de gestion cloud.
Dans le champ Nom du groupe de machines virtuelles identiques , tapez le préfixe souhaité. Par exemple :
GraniteFalls
.Sélectionnez la région que vous allez utiliser pour la passerelle de gestion cloud. Par exemple, (USA) USA Ouest.
L’interface indique si le nom de domaine est disponible ou déjà utilisé par un autre service.
Importante
Ne créez pas le service dans le portail, utilisez simplement ce processus pour vérifier la disponibilité du nom.
Répétez ce processus pour la ressource Key Vault . Le déploiement du groupe de machines virtuelles identiques crée un coffre de clés portant le même nom, qui doit également être globalement unique.
Compte de stockage de passerelle de gestion cloud prenant en charge le contenu
Si vous activez également la passerelle de gestion cloud pour le contenu, vérifiez qu’il s’agit également d’un nom de compte de stockage Azure unique. Si le nom de déploiement de la passerelle de gestion cloud est unique, mais que le compte de stockage ne l’est pas, Configuration Manager ne parvient pas à provisionner le service dans Azure. Répétez le processus ci-dessus dans le portail Azure avec les modifications suivantes :
Recherchez Compte de stockage.
Testez votre nom dans le champ Nom du compte de stockage .
Importante
Le préfixe de nom DNS doit comporter entre 3 et 24 caractères et contenir uniquement des chiffres et des lettres minuscules. N’utilisez pas de caractères spéciaux, comme un tiret (-
). Par exemple : granitefalls
.
Émettre le certificat
Le certificat d’authentification du serveur de passerelle de gestion cloud prend en charge les configurations suivantes :
Longueur de clé 2048 bits ou 4 096 bits
Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.
Utiliser un certificat de fournisseur public
Un fournisseur de certificats tiers ne peut pas créer de certificat pour un domaine Azure comme cloudapp.azure.com
, car Microsoft est propriétaire de ces domaines. Vous pouvez uniquement obtenir un certificat émis pour un domaine dont vous êtes propriétaire. La principale raison de l’acquisition d’un certificat auprès d’un fournisseur tiers est que vos clients font déjà confiance au certificat racine de ce fournisseur.
Le processus spécifique d’obtention de ce certificat varie selon le fournisseur. Pour plus d’informations, contactez votre fournisseur de certificats tiers.
Pour le nom commun du certificat de serveur web (CN) :
Vous avez fait en sorte que le nom du déploiement soit globalement unique dans Azure pour le service cloud et le compte de stockage. Par exemple :
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pour déterminer le nom du service, ajoutez le préfixe du nom de déploiement (
GraniteFalls
) au nom de domaine de votre organisation ().contoso.com
Utilisez ce nom de service pour le nom commun du certificat (CN). Par exemple :
GraniteFalls.contoso.com
.
Ensuite, vous devez créer un alias CNAME DNS.
Utiliser un certificat PKI d’entreprise
L’émission d’un certificat de serveur web à partir de l’infrastructure à clé publique de votre organisation varie selon le produit. Les instructions relatives au déploiement du certificat de service pour les points de distribution cloud concernent les services de certificats Active Directory. Ce processus s’applique généralement au certificat d’authentification serveur de la passerelle de gestion cloud.
Pour le nom commun du certificat de serveur web (CN) :
Vous avez fait en sorte que le nom du déploiement soit globalement unique dans Azure pour le service cloud et le compte de stockage. Par exemple :
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pour déterminer le nom du service, vous avez deux options :
Utilisez votre nom de domaine (recommandé). Ajoutez le préfixe du nom de déploiement (
GraniteFalls
) au nom de domaine de votre organisation (contoso.com
). Par exemple :GraniteFalls.contoso.com
. Pour cette option, vous devez également créer un alias CNAME DNS.Utilisez le nom du déploiement Azure. Cette option ne nécessite pas d’alias CNAME DNS. Par exemple :
Pour le cloud public Azure :
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pour le cloud Azure US Government :
GraniteFalls.usgovcloudapp.net
.
Remarque
Si le nom du déploiement Azure change, vous devez redéployer le service pour modifier ce nom de service. Par exemple, si le nom de votre service se trouve dans le
cloudapp.net
domaine, vous ne pouvez pas convertir la passerelle de gestion cloud classique en groupe de machines virtuelles identiques. Si vous utilisez votre nom de domaine pour le nom du service de passerelle de gestion cloud, vous pouvez mettre à jour le nom CNAME DNS pour le nouveau nom de déploiement.
Utilisez ce nom de service pour le nom commun du certificat (CN).
Créer un alias CNAME DNS
Si le nom de service de passerelle de gestion cloud utilise le nom de domaine de votre organisation (GraniteFalls.contoso.com
), vous devez créer un enregistrement de nom canonique DNS (CNAME). Cet alias mappe le nom du service au nom du déploiement.
Créez un enregistrement CNAME dans le DNS public de votre organisation. Le service de passerelle de gestion cloud dans Azure et tous les clients qui l’utilisent doivent résoudre le nom du service. Par exemple :
Contoso nomme sa passerelle de gestion cloud GraniteFalls.
Le nom du déploiement dans Azure est
GraniteFalls.WestUS.CloudApp.Azure.Com
.Dans l’espace de noms DNS
contoso.com
public de Contoso, l’administrateur DNS crée un enregistrement CNAME pour le nomGraniteFalls.contoso.com
du service sur le nom de déploiement Azure,GraniteFalls.WestUS.CloudApp.Azure.Com
.
Lorsque vous créez la passerelle de gestion cloud, alors que le certificat a GraniteFalls.contoso.com
comme cn, Configuration Manager extrait uniquement le préfixe de nom de service, par exemple : GraniteFalls. Il ajoute ce préfixe au domaine de service Azure (cloudapp.azure.com
) avec la région (westus
) pour créer le nom du déploiement. Par exemple : GraniteFalls.WestUS.CloudApp.Azure.Com
. L’alias CNAME dans l’espace de noms DNS de votre domaine (contoso.com
) mappe ces deux noms de domaine complets.
La stratégie cliente Configuration Manager inclut le nom du service de passerelle de gestion cloud, GraniteFalls.contoso.com
. Le client résout le nom du service via l’alias CNAME en nom de déploiement, GraniteFalls.WestUS.CloudApp.Azure.Com
. Il peut ensuite résoudre l’adresse IP du nom de déploiement pour communiquer avec le service dans Azure.
Étapes suivantes
Poursuivez la configuration de votre passerelle de gestion cloud en configurant l’ID Microsoft Entra :