Créer des certificats pour votre instance Azure Stack Edge Pro GPU avec l’outil Azure Stack Hub Readiness Checker

S’APPLIQUE À :Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Cet article explique comment créer des certificats pour votre instance Azure Stack Edge Pro avec l’outil Azure Stack Hub Readiness Checker.

Utilisation de l’outil Azure Stack Hub Readiness Checker

Utilisez l’outil Azure Stack Hub Readiness Checker pour créer des demandes de signature de certificat (CSR) destinées au déploiement d’un appareil Azure Stack Edge Pro. Vous pouvez créer ces demandes après avoir passé commande de l’appareil Azure Stack Edge Pro, en attendant son arrivée.

Remarque

Utilisez cet outil uniquement à des fins de test ou de développement, mais pas pour des appareils de production.

L’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) permet de demander les certificats suivants :

• Certificat Azure Resource Manager
• Certificat de l’interface utilisateur locale
• Certificat de nœud
• Certificat d’objet blob
• Certificat VPN

Prérequis

Pour créer des demandes de signature de certificat destinées au déploiement d’un appareil Azure Stack Edge Pro, assurez-vous que :

• Vous disposez d’un client exécutant Windows 10 ou Windows Server 2016, ou une version ultérieure.
• Vous avez téléchargé l'outil Microsoft Azure Stack Hub Readiness Checker sur ce système depuis PowerShell Gallery.
• Vous disposez des informations suivantes pour les certificats :
  • Nom de l’appareil
  • Numéro de série du nœud
  • Nom de domaine pleinement qualifié externe (FQDN)

Générer les demandes de signature de certificat

Suivez ces étapes pour préparer les certificats de l’appareil Azure Stack Edge Pro :

1. Exécutez PowerShell en tant qu’administrateur (5.1 ou version ultérieure).

2. Installez l’outil Azure Stack Hub Readiness Checker. À l’invite PowerShell, tapez :

   Install-Module -Name Microsoft.AzureStack.ReadinessChecker
   

   Pour obtenir la version installée, saisissez :

   Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
   

3. Créez un répertoire pour tous les certificats si vous n’en avez pas déjà un. Tapez :

   New-Item "C:\certrequest" -ItemType Directory
   

4. Pour créer une demande de certificat, fournissez les informations suivantes. Si vous générez un certificat VPN, certaines de ces entrées ne s’appliquent pas.

   Input	Description
   OutputRequestPath	Chemin du fichier sur votre client local, où vous souhaitez que les demandes de certificat soient créées.
   DeviceName	Nom de votre appareil dans la page Appareil de l’interface utilisateur web locale de votre appareil. Ce champ n’est pas obligatoire pour un certificat VPN.
   NodeSerialNumber	Node serial number du nœud d’appareil indiqué dans la page Vue d’ensemble de l’interface utilisateur web locale de votre appareil. Ce champ n’est pas obligatoire pour un certificat VPN.
   ExternalFQDN	Valeur DNS domain dans la page Appareil de l’interface utilisateur web locale de votre appareil.
   RequestType	Le type de demande peut être pour MultipleCSR, soit différents certificats destinés à divers points de terminaison, ou SingleCSR, soit un seul certificat pour tous les points de terminaison. Ce champ n’est pas obligatoire pour un certificat VPN.

   Pour tous les certificats, à l’exception du certificat VPN, tapez :

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeDEVICE'
       DeviceName = 'myTEA1'
       NodeSerialNumber = 'VM1500-00025'
       externalFQDN = 'azurestackedge.contoso.com'
       requestType = 'MultipleCSR'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

   Si vous créez un certificat VPN, tapez :

   $edgeCSRparams = @{
       CertificateType = 'AzureStackEdgeVPN'
       externalFQDN = 'azurestackedge.contoso.com'
       OutputRequestPath = "C:\certrequest"
   }
   New-AzsCertificateSigningRequest @edgeCSRparams
   

5. Les fichiers de demande de certificat se trouvent dans le répertoire que vous avez spécifié dans le paramètre OutputRequestPath ci-dessus. Quand vous utilisez le paramètre MultipleCSR, vous devez compter les quatre fichiers suivants avec l’extension .req :

   Noms de fichiers	Type de demande de certificat
   Commençant par votre DeviceName	Demande de certificat de l’interface utilisateur web locale
   Commençant par votre NodeSerialNumber	Demande de certificat de nœud
   À compter de login	Demande de certificat de point de terminaison Azure Resource Manager
   À compter de wildcard	Demande de certificat de stockage de blobs Elle contient un caractère générique, car elle couvre tous les comptes de stockage que vous pouvez créer sur l’appareil.
   À compter de AzureStackEdgeVPNCertificate	Demande de certificat client VPN.

   Vous verrez également un dossier INF. Celui-ci contient un fichier d’informations management.<edge-nom_appareil> en texte clair, expliquant les détails du certificat.

6. Envoyez ces fichiers à votre autorité de certification (interne ou publique). Assurez-vous que votre autorité de certification crée des certificats en utilisant votre demande générée qui est conforme aux exigences de certificat Azure Stack Edge Pro pour les certificats de nœud, les certificats de point de terminaison et les certificats d’interface utilisateur locale.

Préparer les certificats pour le déploiement

Les fichiers de certificat que vous obtenez auprès de l’autorité de certification doivent être importés et exportés avec des propriétés qui correspondent aux exigences de certificat de l’appareil Azure Stack Edge Pro. Effectuez les étapes suivantes sur le système avec lequel vous avez généré les demandes de signature de certificat.

• Pour importer les certificats, suivez les étapes décrites dans Importer des certificats sur les clients accédant à votre appareil Azure Stack Edge Pro.

• Pour exporter les certificats, suivez les étapes décrites dans Exporter des certificats du client accédant à l’appareil Azure Stack Edge Pro.

Valider les certificats

Tout d’abord, vous allez générer une structure de dossiers appropriée, puis placer les certificats dans les dossiers correspondants. Vous ne pourrez valider les certificats à l’aide de l’outil qu’après cette opération.

1. Démarrez PowerShell en tant qu'administrateur.

2. Pour générer la structure de dossiers appropriée, à l’invite, tapez :

   New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

3. Convertissez le mot de passe PFX en chaîne sécurisée. Tapez :

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

4. Ensuite, validez les certificats. Tapez :

   Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Étapes suivantes

Charger des certificats sur votre appareil.