Utiliser vos propres certificats avec des appareils Data Box et Data Box Heavy
Lors du traitement de la commande, des certificats auto-signés sont générés pour l’accès à l’interface utilisateur web locale et au stockage BLOB d’un appareil Data Box ou Data Box Heavy. Si vous préférez communiquer avec votre appareil via un canal approuvé, vous pouvez utiliser vos propres certificats.
Cet article explique comment installer vos propres certificats et comment rétablir les certificats par défaut avant de renvoyer votre appareil au centre de données. Il fournit également un résumé des exigences relatives aux certificats.
À propos des certificats
Un certificat fournit un lien entre une clé publique et une entité (telle qu’un nom de domaine) qui a été signée (vérifiée) par un tiers de confiance (par exemple, une autorité de certification). Un certificat offre un moyen pratique de distribuer des clés de chiffrement publiques approuvées. De cette façon, les certificats garantissent que votre communication est approuvée et que vous envoyez des informations chiffrées au serveur approprié.
Lors de la configuration initiale de votre appareil Data Box, les certificats auto-signés sont générés automatiquement. Si vous le souhaitez, vous pouvez apporter vos propres certificats. Vous devez suivre certaines instructions si vous envisagez d’apporter vos propres certificats.
Remarque
Les certificats auto-signés générés automatiquement expirent au bout de 12 mois, et l’appareil ne peut plus être utilisé. Vous êtes notifié trois mois avant l’expiration des certificats. Pour éviter toute perte de données, renvoyez l’appareil au moins un mois avant l’expiration du certificat afin que toutes les données puissent être ingérées dans le centre de données avant l’expiration des certificats.
Sur un appareil Data Box ou Data Box Heavy, deux types de certificats de point de terminaison sont utilisés :
- Certificats du stockage BLOB
- Certificat de l’interface utilisateur locale
Configuration requise des certificats
Les certificats doivent respecter les critères suivants :
Le certificat de point de terminaison doit être au format
.pfx
avec une clé privée qui peut être exportée.Vous pouvez utiliser un certificat individuel pour chaque point de terminaison, un certificat multidomaine pour plusieurs points de terminaison ou un certificat de point de terminaison générique.
Les propriétés d’un certificat de point de terminaison sont similaires à celles d’un certificat SSL standard.
Un certificat correspondant au format DER (extension de nom de fichier
.cer
) est requis sur l’ordinateur client.Après avoir chargé le certificat de l’interface utilisateur locale, vous devrez redémarrer le navigateur et effacer le cache. Reportez-vous aux instructions spécifiques à votre navigateur.
Les certificats doivent être modifiés si le nom de l’appareil ou le nom de domaine DNS est modifié.
Utilisez le tableau suivant lors de la création de certificats de point de terminaison :
Type Nom de l’objet (SN) Autre nom de l’objet (SAN) Exemple de nom de sujet Interface utilisateur locale <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Stockage Blob *.blob.<DeviceName>.<DNSdomain>
*.blob.< DeviceName>.<DNSdomain>
*.blob.mydevice1.microsoftdatabox.com
Certificat unique à plusieurs SAN <DeviceName>.<DNSdomain>
<DeviceName>.<DNSdomain>
*.blob.<DeviceName>.<DNSdomain>
mydevice1.microsoftdatabox.com
Pour plus d’informations, consultez Spécifications du certificat.
Ajouter des certificats à l’appareil
Vous pouvez utiliser vos propres certificats pour accéder à l’interface utilisateur web locale et pour accéder au stockage BLOB.
Important
Si le nom de l’appareil ou le domaine DNS est modifié, de nouveaux certificats doivent être créés. Les certificats clients et les certificats d’appareil doivent ensuite être mis à jour avec les nouveaux nom d’appareil et domaine DNS.
Pour ajouter votre propre certificat à votre appareil, procédez comme suit :
Accédez à Gérer>Certificats.
Nom indique le nom de l’appareil. Domaine DNS indique le nom de domaine du serveur DNS.
Le bas de l’écran affiche les certificats en cours d’utilisation. Pour un nouvel appareil, vous verrez les certificats auto-signés qui ont été générés pendant le traitement de la commande.
Si vous avez besoin de modifier le nom (nom de l’appareil) ou le domaine DNS (domaine du serveur DNS pour l’appareil), faites-le maintenant avant d’ajouter le certificat. Ensuite, sélectionnez Appliquer.
Le certificat doit être modifié si le nom de l’appareil ou le nom du domaine DNS est modifié.
Pour ajouter un certificat, sélectionnez Ajouter un certificat pour ouvrir le panneau Ajouter un certificat. Sélectionnez ensuite le type de certificat : Stockage BLOB ou Interface utilisateur web locale.
Choisissez le fichier du certificat (au format
.pfx
), puis entrez le mot de passe qui a été défini lors de l’exportation du certificat. Ensuite, sélectionnez Valider et ajouter.Une fois que le certificat a été ajouté, l’écran Certificats affiche l’empreinte du nouveau certificat. L’état du certificat est Valide.
Pour afficher les détails du certificat, cliquez sur le nom du certificat. Le certificat expirera au bout d’un an.
Si vous avez modifié le certificat pour l’interface utilisateur web locale, vous devez redémarrer le navigateur, puis l’interface utilisateur web locale. Cette étape est nécessaire pour éviter tout problème de cache SSL.
- Installez le nouveau certificat sur l’ordinateur client que vous utilisez pour accéder à l’interface utilisateur web locale. Pour obtenir des instructions, consultez Importer des certificats sur le client ci-dessous.
Importer des certificats sur le client
Après avoir ajouté un certificat à votre appareil Data Box, vous devez importer le certificat sur l’ordinateur client que vous utilisez pour accéder à l’appareil. Vous allez importer le certificat dans le magasin de l’autorité de certification racine de confiance pour l’ordinateur local.
Pour importer un certificat sur un client Windows, procédez comme suit :
Dans Explorateur de fichiers, cliquez avec le bouton droit sur le fichier du certificat (au format
.cer
), puis sélectionnez Installer le certificat. Cette action démarre l’Assistant Importation de certificat.Pour Emplacement du magasin, sélectionnez Ordinateur local, puis sélectionnez Suivant.
Sélectionnez successivement Placer tous les certificats dans le magasin suivant, Autorité de certification racine de confiance, puis Suivant.
Passez en revue vos paramètres, puis sélectionnez Terminer. Un message vous indique que l’importation a réussi.
Rétablir les certificats par défaut
Avant de retourner votre appareil au centre de données Azure, vous devez rétablir les certificats d’origine qui ont été générés lors du traitement de la commande.
Pour rétablir les certificats générés lors du traitement de la commande, procédez comme suit :
Accédez à Gérer>Certificats, puis sélectionnez Rétablir les certificats.
Le rétablissement des certificats revient à utiliser les certificats auto-signés qui ont été générés lors du traitement de la commande. Vos propres certificats sont supprimés de l’appareil.
Une fois le rétablissement des certificats terminé, accédez à Arrêter ou redémarrer, puis sélectionnez Redémarrer. Cette étape est nécessaire pour éviter tout problème de cache SSL.
Patientez quelques minutes, puis reconnectez-vous à l’interface utilisateur web locale.