Activer la prise en charge https pour microsoft Connected Cache sur Linux

Cet article fournit des instructions pas à pas pour activer la prise en charge https sur les nœuds Microsoft Connected Cache pour Entreprise s’exécutant sur un ordinateur hôte Linux.

Le processus d’installation nécessite la génération d’une demande de signature de certificat (CSR) sur votre ordinateur hôte, la signature de la demande de signature de certificat à l’aide d’une infrastructure à clé publique ou d’entreprise, puis l’importation sur l’ordinateur hôte.

Conditions préalables

Avant de configurer la fonctionnalité HTTPS, vérifiez que les conditions suivantes sont remplies :

• Le nœud de cache se trouve sur la version du logiciel en disponibilité générale

  1. Ouvrez Portail Azure et accédez à la ressource Connected Cache for Enterprise qui héberge vos nœuds de cache.
  2. Sous Gestion des nœuds du cache, recherchez le nœud de cache sur lequel vous souhaitez activer HTTPS.
  3. Vérifiez que le nœud se trouve sur la version en disponibilité générale : doit afficher « Oui » ou « N/A » dans la colonne Migrée .
  4. S’il n’est pas sur la version en disponibilité générale (« Non » dans la colonne Migrée ), sélectionnez le nœud de cache, accédez à l’onglet Déploiement et suivez les instructions pour redéployer le cache connecté.

• Accès à une autorité de certification

  Vous devez accéder à votre infrastructure à clé publique d’entreprise ou à une autorité de certification publique. Si vous utilisez une infrastructure à clé publique d’entreprise, case activée les exigences de votre organization pour soumettre une demande de signature de certificat à l’autorité de certification.

• Documenter les méthodes de connexion client

  Notez l’adresse IP ou le nom d’hôte (FQDN) que vos clients utilisent pour se connecter à votre serveur de cache connecté. Cette valeur sera utilisée comme entrée SAN (Subject Alternative Name) pendant le processus de génération d’une demande de signature de certificat.

• Garantir la disponibilité du port 443

  Pour établir une connexion HTTPS avec le cache connecté, le port 443 doit être disponible sur votre ordinateur hôte. Exécutez la commande suivante pour case activée :

  sudo ss -tulpn | grep :443
  

  Passez en revue la sortie :

  • Aucune sortie : le port 443 n’est pas utilisé. Passez à la configuration https.
  • La sortie contient LISTEN (par exemple, tcp LISTEN 0 128 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=1234,fd=6))) — Le port 443 est déjà utilisé par un autre service. Identifiez et arrêtez le service en conflit avant que le cache connecté puisse utiliser le port 443.

  Astuce

  La ss sortie affiche le nom du processus et le PID dans la dernière colonne. Dans l’exemple ci-dessus, nginx (PID 1234) utilise le port 443. Arrêtez ou reconfigurez le service en conflit avant de continuer. Par exemple, exécutez sudo systemctl stop nginx pour arrêter nginx.

• Vérifier la configuration du pare-feu

  Si votre pare-feu ou proxy d’entreprise intercepte le trafic HTTPS vers votre serveur de cache connecté (par exemple, via une inspection TLS), la validation du certificat échoue toujours, quelle que soit la configuration du certificat.

Pour plus d’informations sur les conditions préalables, consultez la page de référence HTTPS sur Linux.

Générer une demande de signature de certificat (CSR)

Important

Chaque nœud de cache a besoin de son propre certificat/csr (ne peut pas être partagé) :

• Utilisez un nommage cohérent : mcc-node1.company.com, mcc-node2.company.com, etc.
• Documenter le certificat qui appartient à quel nœud
• Les certificats génériques ne fonctionnent pas. Le certificat/csr utilisé pour la connexion HTTPS au cache connecté est lié de manière unique à chaque nœud de cache à des fins de sécurité.

1. Ouvrez un terminal et accédez au dossier contenant le package de déploiement extrait.

2. Ajoutez des autorisations d’exécution au script de génération csr :

   sudo chmod +x ./generateCsr.sh
   

3. Configurez les paramètres pour generateCsr.sh et exécutez le script avec les valeurs spécifiées.

   Syntaxe de base

   sudo ./generateCsr.sh [Required Parameters] [Subject Parameters] [SAN Parameters]
   

   Paramètres requis

   Paramètre	Type	Description
   -algo	Chaîne	Algorithme de certificat : RSA, EC, ED25519ou ED448
   -keySizeOrCurve	Chaîne	Pour RSA : taille de clé (2048, 3072, 4096). Pour EC : nom de la courbe (prime256v1, secp384r1)
   -csrName	Chaîne	Nom du fichier CSR généré

   Paramètres de l’objet

   Paramètre	Requis	Description	Exemple
   -subjectCommonName	Oui	Nom commun du certificat	"localhost", "example.com"
   -subjectCountry	Non	Code de pays à deux lettres	"US", "CA", "GB"
   -subjectState	Non	Département ou région	"WA", "TX", "Ontario"
   -subjectOrg	Non	Nom de l’organisation	"MyCompany", "ACME Corp"

   Warning

   La configuration san (Subject Alternative Name) est essentielle pour la validation du certificat. Votre certificat doit correspondre exactement à la façon dont les clients se connectent à votre cache connecté, sinon les clients contournent le nœud de cache.

   Par exemple, si vos clients se connectent via une adresse 192.168.1.100 IP mais que votre certificat a -sanDns "server.local"uniquement , la validation du certificat échoue.

   Paramètres SAN (au moins un requis)

   Paramètre	Description	Exemple
   -sanDns	Noms DNS (séparés par des virgules)	"localhost,example.com,api.example.com"
   -sanIp	Adresses IP (séparées par des virgules)	"127.0.0.1,192.168.1.100"
   -sanUri	URI (séparés par des virgules)	"https://example.com,http://localhost"
   -sanEmail	adresses Email (séparées par des virgules)	"admin@example.com,user@domain.com"
   -sanRid	ID inscrits (séparés par des virgules)
   -sanDirName	Noms de répertoires (séparés par des virgules)
   -sanOtherName	Autres noms (séparés par des virgules)

   Pour obtenir plus de détails et des exemples basés sur des scénarios sur les paramètres de script CSR, consultez la page de référence HTTPS sur Linux.

4. Vérifiez que le processus de génération de csr s’est terminé avec succès.

   Si vous rencontrez des erreurs, recherchez le fichier horodaté GenerateCsr.log dans le dossier spécifié dans la sortie du script. Recherchez la ligne de sortie qui commence par « Vous pouvez trouver les journaux ici : ... »

   • Format de fichier : GenerateCsr_YYYYMMDD-HHMMSS.log
   • Exemple: GenerateCsr_20251201_143022.log est un fichier créé le 1er décembre 2025 à 14:30:22

5. Localisez le fichier CSR généré dans votre dossier Certificats sur votre ordinateur hôte et transférez-le si nécessaire.

   L’emplacement du dossier Certificates est spécifié dans la sortie du script, en commençant par « Fichier CSR créé à : ... ». Le répertoire se termine par (...\Certificates\certs).

Signer la demande de signature de certificat

1. Sélectionnez une autorité de certification pour signer la demande de signature de certificat.

   Important

   La signature de l’autorité de certification doit correspondre à un certificat racine dans le magasin racine approuvé du client.

   • Infrastructure À clé publique d’entreprise : la plupart des clients utilisent l’infrastructure PKI interne de leur organization pour signer la demande de signature de certificat. Vérifiez auprès de votre équipe informatique ou de sécurité le processus de votre organization pour soumettre une demande de signature de certificat à votre autorité de certification interne.

   • Autorité de certification publique : si vous n’avez pas d’infrastructure à clé publique d’entreprise, vous pouvez utiliser une autorité de certification publique. Les ressources suivantes peuvent vous aider à commencer :

     • Utilitaire de certificat DigiCert
     • Let’s Encrypt CSR Process

2. Envoyez la demande de signature de certificat à l’autorité de certification que vous avez choisie et enregistrez le certificat signé.

   Votre certificat signé doit être au format .crt avec encodage X.509. Si votre autorité de certification fournit d’autres formats, case activée https sur Linux page de référence sur la conversion au format .crt.

   Remarque

   Le cache connecté ne prend actuellement pas en charge les formats protégés par mot de passe (.pfx, .p12, .p7b). La prise en charge de ces fonctionnalités sera bientôt ajoutée dans le cadre de notre feuille de route d’automatisation des certificats.

3. Vérifiez que le certificat signé est au format correct.

   Confirmer l’encodage PEM :

   grep "BEGIN CERTIFICATE" xxxx.crt
   

   Sortie réussie attendue :

   -----BEGIN CERTIFICATE-----
   

4. Déplacez votre certificat signé vers le dossier Certificats sur votre ordinateur hôte Linux.

   Il s’agit du même dossier que celui dans lequel vous avez initialement trouvé votre demande de signature de certificat après sa génération.

   Attention

   Ne partagez pas de clés privées, le cache connecté nécessite uniquement le certificat signé.

Importer un certificat TLS signé

1. Ouvrez un terminal et accédez à l’emplacement du programme d’installation du cache connecté.

2. Ajoutez des autorisations d’exécution au script d’importation de certificat :

   sudo chmod +x ./importCert.sh
   

3. Configurez les paramètres pour importCert.sh et exécutez le script avec les valeurs spécifiées.

   Syntaxe de base

   sudo ./importCert.sh [Required Parameters]
   

   Paramètres requis

   Paramètre	Type	Description
   -certName	Chaîne	Nom de fichier complet de votre certificat TLS signé (avec ou sans extension .crt)

   Exemple

   sudo ./importCert.sh -certName "myTlsCert.crt"
   

4. Vérifiez que le processus d’importation s’est terminé avec succès.

   Si vous rencontrez des erreurs, recherchez le fichier horodaté ImportCert.log dans le dossier spécifié dans la sortie du script. Recherchez la ligne de sortie qui commence par « Vous pouvez trouver les journaux ici : ... »

   • Format de fichier : ImportCert_YYYYMMDD-HHMMSS.log
   • Exemple: ImportCert_20251201_143022.log est un fichier créé le 1er décembre 2025 à 14:30:22

5. Vérifiez que le certificat correct a été importé en exécutant le ShowCertDetails.sh script.

   Remarque

   Le ShowCertDetails.sh script est disponible à partir de Linux package de déploiement v1.10.

   Ajoutez des autorisations d’exécution au script :

   sudo chmod +x ./ShowCertDetails.sh
   

   Exécutez le script :

   sudo ./ShowCertDetails.sh
   

   Ce script affiche l’empreinte numérique et la date d’expiration du certificat TLS actuellement importé dans le nœud de cache.

Pour obtenir des instructions sur la façon de valider davantage l’importation du certificat, consultez https sur Linux page de validation.

Désactiver la prise en charge de HTTPS

Si vous devez rétablir votre cache connecté à la communication HTTP uniquement, procédez comme suit. Ce processus ne supprime rien dans le dossier Certificats : fichiers CSR, certificats ou journaux.

1. Sur votre hôte Linux, ouvrez un terminal et accédez au dossier contenant le package de déploiement extrait.

2. Ajoutez des autorisations d’exécution au script de désactivation TLS :

   sudo chmod +x ./disableTls.sh
   

3. Exécutez le script de désactivation (aucun paramètre requis) :

   sudo ./disableTls.sh
   

4. Vérifiez que le processus de désactivation s’est terminé avec succès.

5. Une fois le protocole HTTPS désactivé, les requêtes HTTP doivent fonctionner tandis que les requêtes HTTPS doivent échouer. Consultez la page de validation HTTPS sur Linux pour obtenir des instructions sur la façon de le tester.

Étapes suivantes

• HTTPS sur la validation Linux
• Résolution des problèmes liés au cache connecté