Tutoriel : Configurer des certificats pour votre appareil Azure Stack Edge Pro 2

  • Article

Ce tutoriel explique comment configurer des certificats pour votre appareil Azure Stack Edge Pro 2 en utilisant l’interface utilisateur web locale.

Le temps nécessaire pour cette étape peut varier en fonction de l’option spécifique que vous choisissez et de la façon dont le workflow de certificat est établi dans votre environnement.

Ce tutoriel vous fournira des informations sur :

  • Prérequis
  • Configurer des certificats pour l’appareil physique
  • Configurer le chiffrement au repos

Prérequis

Avant de configurer votre appareil Azure Stack Edge Pro 2, vérifiez que :

  • Vous avez installé l’appareil physique, comme indiqué dans Installer Azure Stack Edge Pro 2.

  • Si vous envisagez d’apporter vos propres certificats :

    • Vos certificats doivent être prêts au format approprié, y compris le certificat de chaîne de signature.
    • Si votre appareil est déployé sur Azure Government, Azure Government Secret et pas sur le cloud public Azure, un certificat de chaîne de signature est nécessaire pour pouvoir activer votre appareil.

    Pour plus d’informations sur les certificats, consultez Préparer les certificats à charger sur votre appareil Azure Stack Edge.

Configurer des certificats pour un appareil

  1. Ouvrez la page Certificats dans l’interface utilisateur web locale de votre appareil. Cette page affiche les certificats disponibles sur votre appareil. L’appareil est livré avec des certificats autosignés, également appelés certificats d’appareil. Vous pouvez également apporter vos propres certificats.

  2. Suivez cette étape uniquement si vous n’avez pas changé le nom de l’appareil ni le domaine DNS quand vous avez configuré les paramètres d’appareil précédemment et que vous ne voulez pas utiliser vos propres certificats.

    Vous n’avez pas besoin d’effectuer de configuration dans cette page. Il vous suffit de vérifier que l’état de tous les certificats est valide dans cette page.

    Screenshot of the Certificates page in the local web UI of Azure Stack Edge. The Certificates menu item is highlighted.

    Vous êtes prêt à configurer le chiffrement au repos avec les certificats d’appareil existants.

  3. Suivez le reste des étapes uniquement si vous avez changé le nom de l’appareil ou le domaine DNS de votre appareil. Dans ce cas, l’état de vos certificats d’appareil est Non valide. C’est parce que le nom de l’appareil et le domaine DNS dans les paramètres subject name et subject alternative des certificats sont obsolètes.

    Vous pouvez sélectionner un certificat pour voir les détails de l’état.

    Screenshot of Certificate Details for a certificate on the Certificates page in the local web UI of an Azure Stack Edge device. The selected certificate and certificate details are highlighted.

  4. Si vous avez changé le nom de l’appareil ou le domaine DNS de votre appareil et que vous ne fournissez pas de nouveaux certificats, l’activation de l’appareil est bloquée. Pour utiliser un nouvel ensemble de certificats sur votre appareil, choisissez une des options suivantes :

    • Générer tous les certificats d’appareil. Sélectionnez cette option, puis effectuez les étapes décrites dans Générer des certificats d’appareil, si vous envisagez d’utiliser des certificats d’appareil générés automatiquement et que vous devez générer de nouveaux certificats d’appareil. Vous devez uniquement utiliser ces certificats d’appareil pour les tests, et non avec des charges de travail de production.

    • Apportez votre propre certificat. Sélectionnez cette option, puis effectuez les étapes décrites dans Apporter vos propres certificats si vous souhaitez utiliser vos propres certificats de point de terminaison signés et les chaînes de signature correspondantes. Nous vous recommandons de toujours apporter vos propres certificats pour les charges de travail de production.

    • Vous pouvez choisir d’apporter certains de vos propres certificats et de générer quelques certificats d’appareil. L’option Générer tous les certificats d’appareil regénère uniquement les certificats d’appareil.

  5. Quand vous avez un ensemble complet de certificats valides pour votre appareil, sélectionnez < Précédent pour commencer. Vous pouvez maintenant configurer le chiffrement au repos.

Générer des certificats d'appareil

Suivez ces étapes pour générer des certificats d’appareil.

Suivez ces étapes pour regénérer et télécharger les certificats d’appareil Azure Stack Edge Pro 2 :

  1. Dans l’interface utilisateur locale de votre appareil, accédez à Configuration > Certificats. Sélectionnez Générer des certificats.

    Screenshot of the Certificates page in the local web UI of an Azure Stack Edge device. The Generate Certificates button is highlighted.

  2. Dans la Générer des certificats d’appareil, sélectionnez Générer.

    Screenshot of the Generate Certificates pane for an Azure Stack Edge device. The Generate button is highlighted.

    Les certificats des appareils sont désormais générés et appliqués. La génération et l’application des certificats prennent quelques minutes.

    Important

    Pendant que l’opération de génération de certificats est en cours, n’apportez pas vos propres certificats et essayez de les ajouter via l’option + Ajouter un certificat.

    Vous êtes averti quand l’opération est terminée. Pour éviter tout problème éventuel de cache, redémarrez votre navigateur.

    Screenshot showing the notification that certificates were successfully generated on an Azure Stack Edge device.

  3. Une fois les certificats générés :

    • Vérifiez que l’état de tous les certificats est indiqué comme étant valide.

      Screenshot of newly generated certificates on the Certificates page of an Azure Stack Edge device. Certificates with Valid state are highlighted.

    • Vous pouvez sélectionner un nom de certificat spécifique et afficher les détails qui s’y rapportent.

      Screenshot of Local web UI certificate details highlighted on the Certificates page of an Azure Stack Edge device.

    • La colonne Télécharger est maintenant renseignée. Cette colonne contient des liens permettant de télécharger les certificats regénérés.

      Screenshot of the Certificates page on an Azure Stack Edge device. The download links for generated certificates are highlighted.

  4. Sélectionnez le lien de téléchargement d’un certificat et, lorsque vous y êtes invité, enregistrez le certificat.

    Screenshot of the Certificates page on an Azure Stack Edge device. A download link has been selected. The link and the download options are highlighted.

  5. Répétez ce processus pour tous les certificats que vous souhaitez télécharger.

    Screenshot showing downloaded certificates in Windows File Explorer. Certificates for an Azure Stack Edge device are highlighted.

    Les certificats générés par l’appareil sont enregistrés sous forme de certificats DER avec le format de nom suivant :

    <Device name>_<Endpoint name>.cer. Ces certificats contiennent la clé publique pour les certificats correspondants installés sur l’appareil.

Vous devez installer ces certificats sur le système client que vous utilisez pour accéder aux points de terminaison de l’appareil Azure Stack Edge. Ces certificats établissent une relation de confiance entre le client et l’appareil.

Pour importer et installer ces certificats sur le client que vous utilisez pour accéder à l’appareil, suivez les étapes décrites dans Importer des certificats sur les clients accédant à votre appareil Azure Stack Edge Pro - GPU.

Si vous utilisez l’Explorateur Stockage Azure, vous devez installer des certificats sur votre client au format PEM et donc convertir les certificats générés par l’appareil au format PEM.

Important

  • Le lien de téléchargement est uniquement disponible pour les certificats générés par l’appareil et non si vous apportez vos propres certificats.
  • Vous pouvez décider d’avoir une combinaison de certificats générés par l’appareil et de certificats que vous apportez tant que les autres exigences du certificat sont remplies. Pour plus d'informations, consultez Exigences des certificats.

Apportez vos propres certificats

Vous pouvez apporter vos propres certificats.

Procédez comme suit pour télécharger vos propres certificats, y compris la chaîne de signature.

  1. Pour télécharger le certificat, sur la page Certificat, sélectionnez + Ajouter un certificat.

    Screenshot of the Add Certificate pane in the local web UI of an Azure Stack Edge device. The Certificates menu item, Plus Add Certificate button, and Add Certificate pane are highlighted.

  2. Vous pouvez ignorer cette étape si vous avez ajouté tous les certificats dans le chemin de certificat pendant l’exportation des certificats au format .pfx. Si vous n’avez pas inclus tous les certificats dans votre exportation, chargez la chaîne de signature, puis sélectionnez Valider et ajouter. Vous devez le faire avant de charger vos autres certificats.

    Dans certains cas, vous pouvez apporter une chaîne de signature seule à d’autres fins, par exemple, pour vous connecter à votre serveur de mises à jour pour Windows Server Update Services (WSUS).

    Screenshot of the Add Certificate pane for a Signing Chain certificate in the local web UI of an Azure Stack Edge device. The certificate type, certificate entries, and Validate And Add button are highlighted.

  3. Chargez d’autres certificats. Par exemple, vous pouvez télécharger les certificats de point de terminaison de stockage d’objets Blob et Azure Resource Manager.

    Screenshot of the Add Certificate pane for endpoints for an Azure Stack Edge device. The certificate type and certificate entries are highlighted.

    Vous pouvez également télécharger le certificat de l’interface utilisateur web locale. Après avoir téléchargé ce certificat, vous devez démarrer votre navigateur et effacer le cache. Vous devez ensuite vous connecter à l’interface utilisateur web locale de l’appareil.

    Local web UI

    Vous pouvez également télécharger le certificat de nœud.

    Screenshot of the Add Certificate pane for the Local Web UI certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    La page du certificat devrait s’actualiser pour refléter les nouveaux certificats ajoutés. À tout moment, vous pouvez sélectionner un certificat et afficher les détails pour vous assurer qu’ils correspondent au certificat que vous avez chargé.

    Screenshot of the Add Certificate pane for a node certificate for an Azure Stack Edge device. The certificate type and certificate entries highlighted.

    Remarque

    À l’exception du cloud public Azure, les certificats de chaîne de signature doivent être apportés avant l’activation de toutes les configurations cloud (Azure Government ou Azure Stack).

Configurer le chiffrement au repos

  1. Dans la vignette Sécurité, sélectionnez Configurer pour le chiffrement au repos.

    Notes

    Il s’agit d’un paramètre obligatoire. Tant qu’il n’est pas configuré correctement, vous ne pouvez pas activer l’appareil.

    En usine, une fois les appareils imagés, le chiffrement BitLocker du niveau de volume est activé. Une fois que vous recevez l’appareil, vous devez configurer le chiffrement au repos. Le pool de stockage et les volumes sont recréés et vous pouvez fournir des clés BitLocker pour activer le chiffrement au repos et ainsi créer une deuxième couche de chiffrement pour vos données au repos.

  2. Dans le volet Chiffrement au repos, fournissez une clé encodée en base 64 de 32 caractères. Il s’agit d’une configuration qui a lieu une seule fois et cette clé est utilisée pour protéger la clé de chiffrement réelle. Vous pouvez choisir de générer automatiquement cette clé.

    Screenshot of the local web UI

    Vous pouvez également entrer votre propre clé de chiffrement ASE-256 bits encodée en base 64.

    Screenshot of the local web UI

    La clé est enregistrée dans un fichier de clé dans la page Détails du cloud après l’activation de l’appareil.

  3. Sélectionnez Appliquer. Cette opération prend plusieurs minutes et l’état de l’opération s’affiche.

    Screenshot of the

  4. Une fois que l’état est Terminé, votre appareil est prêt à être activé. Sélectionnez < Revenir à Démarrer.

Étapes suivantes

Ce tutoriel vous fournira des informations sur :

  • Prérequis
  • Configurer des certificats pour l’appareil physique
  • Configurer le chiffrement au repos

Pour savoir comment activer votre appareil Azure Stack Edge Pro 2, consultez :

Activer un appareil Azure Stack Edge Pro 2