Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment configurer HTTPS pour prendre en charge vos nœuds de cache Connected Cache for Enterprise et Education.
Vue d'ensemble
Avec la version en disponibilité générale (GA) de Microsoft Connected Cache for Enterprise, les organisations peuvent désormais configurer leurs nœuds de cache pour fournir du contenu via HTTPS. Cette amélioration permet au cache connecté de prendre en charge la livraison sécurisée d’applications Win32 gérées Intune et, pour la première fois, de contenu Microsoft Teams, qui nécessitent tous deux un transport HTTPS. Tous les autres types de contenu continueront d’être remis via HTTP.
À mesure que de plus en plus de services Microsoft et d’éditeurs tiers adoptent des modèles de distribution HTTPS uniquement, l’activation du protocole HTTPS sur votre nœud de cache garantit une compatibilité continue et des performances optimales. Sans prise en charge https, les clients qui demandent des URL sécurisées contournent le cache connecté et la distribution de contenu de secours via les réseaux de distribution de contenu (CDN) basés sur le cloud, ce qui entraîne une utilisation accrue de la bande passante et une réduction de l’efficacité de la mise en cache.
Pour activer la remise HTTPS, les administrateurs doivent générer une demande de signature de certificat (CSR) à partir de l’ordinateur hôte, la signer à l’aide d’une autorité de certification approuvée et réimporter le certificat signé sur l’ordinateur hôte. Dans les pages suivantes, vous trouverez des instructions d’installation guidées et des scripts pour les environnements Windows et Linux afin de simplifier ce processus.
Avantages de l’activation de la prise en charge https
L’activation de la prise en charge https sur votre nœud de cache connecté garantit que votre organization reste compatible avec l’évolution des exigences de distribution de contenu Microsoft et bénéficie d’une sécurité et de performances améliorées. Les principaux avantages sont les suivants :
Accès au contenu Microsoft Teams : le contenu Microsoft Teams est disponible uniquement via HTTPS. Sans prise en charge du protocole HTTPS, le cache connecté ne peut pas mettre en cache ou distribuer ce contenu, ce qui entraîne des téléchargements directs à partir du cloud.
Livraison continue des applications Win32 gérées par Intune : Microsoft Intune appliquera bientôt la livraison HTTPS uniquement pour toutes les applications Win32 gérées. Les nœuds de cache sans prise en charge du protocole HTTPS seront ignorés et les clients reviendront à la livraison CDN. La date d’application est à déterminer, mais une fois définie, les clients seront avertis bien à l’avance et disposeront de suffisamment de temps pour s’adapter.
Réduction de la consommation de bande passante et amélioration de la rentabilité : en mettant en cache le contenu HTTPS localement, le cache connecté réduit la dépendance aux CDN cloud, réduit les coûts de sortie et préserve la bande passante réseau, en particulier dans les environnements à bande passante limitée.
Amélioration de la sécurité et de la conformité : HTTPS garantit une distribution chiffrée et authentifiée du contenu, en s’alignant sur les stratégies de sécurité d’entreprise et les exigences réglementaires. Il protège contre la falsification, l’écoute clandestine et l’emprunt d’identité.
Prise en charge transparente du secours et du double protocole : le cache connecté prend en charge les remises HTTP et HTTPS. Si HTTPS n’est pas configuré ou échoue, les clients reviennent automatiquement à la livraison CDN. Cette fonctionnalité à deux protocoles garantit un accès ininterrompu au contenu sans impact sur les performances de téléchargement ou la livraison p2P (P2P) via l’optimisation de la distribution (DO).
Prise en charge de HTTP uniquement vers HTTPS
Auparavant, si un client demandait du contenu via une URL HTTPS, le cache connecté ne pouvait pas traiter la demande, car il ne prenait pas en charge la gestion des certificats TLS ou n’écoutait pas sur le port 443. Par conséquent, le client contourne immédiatement le cache et récupère le contenu directement à partir du CDN.
Bien que le cache connecté garantissait précédemment une livraison sécurisée par le biais de mécanismes tels que la validation de hachage et le renforcement du conteneur, ces méthodes ne pouvaient pas répondre aux exigences des éditeurs passant à la livraison HTTPS uniquement. Par conséquent, le cache connecté prend désormais en charge https pour maintenir la compatibilité avec les normes d’éditeur en constante évolution et garantir un accès continu aux types de contenu existants et nouveaux.
Important
Microsoft Intune appliquera bientôt (date à déterminer) la remise HTTPS uniquement pour toutes les applications Win32 managées.
Pour poursuivre la mise en cache connectée pour Intune remise de contenu, tous les clients Intune doivent effectuer la configuration HTTPS sur leurs nœuds de cache avant cette date.
Les clients qui utilisent des environnements Configuration Manager (SCCM) ou hybrides suivent un processus différent. Des conseils supplémentaires pour ces scénarios seront bientôt publiés.
Configuration du certificat TLS
Pour établir une connexion HTTPS sécurisée, le cache connecté doit présenter un certificat TLS valide aux appareils clients. Au lieu de générer et de distribuer des certificats en interne ou de s’appuyer sur des certificats auto-signés( qui posent des risques opérationnels et de sécurité), le cache connecté utilise un modèle basé sur la csr pour les raisons suivantes :
Sécurité et approbation : la méthode CSR permet au cache connecté de générer une paire de clés publique/privée localement et d’importer un certificat signé par une autorité de certification approuvée. Le report de la signature de l’autorité de certification au client garantit que le certificat est vérifiable par les appareils clients à l’aide de leurs magasins d’approbation d’autorité de certification préinstallés.
Compatibilité entreprise : de nombreuses organisations gèrent déjà leur propre infrastructure PKI. Le modèle CSR permet aux administrateurs informatiques de signer des certificats à l’aide de leurs autorités de certification approuvées existantes, ce qui garantit une intégration transparente avec les stratégies de sécurité d’entreprise.
Éviter l’exposition à la clé privée : en générant la paire de clés sur le nœud de cache et en n’exportant jamais la clé privée, le modèle CSR garantit que le matériel de chiffrement sensible reste sécurisé et local pour le nœud de cache.
Maintenance des certificats TLS
Les certificats TLS utilisés par les nœuds de cache connecté Microsoft nécessitent une maintenance continue pour garantir une livraison sécurisée et ininterrompue du contenu. Cela inclut la surveillance de la validité des certificats, le renouvellement des certificats arrivant à expiration et la révocation ou la désactivation des certificats si nécessaire.
Renouveler les certificats arrivant à expiration
Pour renouveler un certificat, vous n’avez pas besoin de régénérer votre csr (étape 1). Nous vous recommandons de signer à nouveau votre csr existant (étape 2) et d’importer le certificat résultant à l’aide de la commande d’importation (étape 3). Si votre processus de signature peut être automatisé, créez un script qui signe et importe à intervalles réguliers.
Désactiver la prise en charge de HTTPS
Si la remise HTTPS n’est plus requise ou si un certificat est révoqué, exécutez le script de désactivation fourni sur l’ordinateur hôte du cache connecté.
Le script supprime la configuration HTTPS sur le conteneur, mais ne supprime pas le certificat, la paire de clés ou la demande de signature de certificat du nœud de cache.
Cette action rétablit le cache connecté à la remise HTTP uniquement. Le contenu nécessitant https (par exemple, Microsoft Teams, Intune les applications Win32) ne sera plus mis en cache et revient à la distribution CDN.
Stratégie de rétention des certificats
- Les certificats actifs sont conservés pendant la durée de leur validité.
- Les certificats inactifs (expirés ou révoqués) sont conservés pendant 18 mois après la désactivation à des fins d’audit et de conformité.
Cette stratégie s’aligne sur les normes de sécurité et de confidentialité internes de Microsoft et garantit la traçabilité de l’utilisation des certificats dans les déploiements d’entreprise.
Améliorations futures
Surveiller les status de certificat
Le cache connecté offre une visibilité sur tous les certificats TLS actifs et inactifs via le Portail Azure. Chaque entrée de certificat inclut :
- Nom de domaine
- Autorité de certification émettrice
- Dates de problème et d’expiration
- ID d’empreinte numérique
Les administrateurs doivent régulièrement consulter cette liste pour s’assurer que les certificats restent valides et approuvés. Le cache connecté affiche des alertes lorsqu’un certificat approche de l’expiration.
Automatisation de la signature de certificat
Bien que l’automatisation puisse sembler idéale, le cache connecté ne peut pas encore effectuer de manière sécurisée la signature de certificat au nom de l’entreprise en raison des contraintes suivantes :
Gestion des informations d’identification : l’automatisation de la signature des certificats nécessite le cache connecté pour stocker et gérer les informations d’identification pour accéder aux autorités de certification d’entreprise ou publiques. Cela introduit des risques de sécurité importants, en particulier dans la mesure où le cache connecté s’exécute dans un environnement Linux conteneurisé.
Divers modèles PKI d’entreprise : les entreprises utilisent un large éventail de configurations d’autorité de certification, notamment des modèles locaux, cloud et hybrides. L’automatisation de la signature nécessite que le cache connecté prend en charge toutes les variantes, ce qui est peu pratique et sujet aux erreurs.
Principe de sécurité des privilèges minimum : la délégation de la signature à l’administrateur informatique garantit que seul le personnel autorisé peut approuver et distribuer des certificats, ce qui réduit la surface d’attaque.
Étapes suivantes
Pour activer la prise en charge https sur votre nœud de cache connecté Microsoft, suivez le guide de configuration approprié en fonction de votre environnement hôte. Ces guides vous guident tout au long de la génération d’une demande de signature de certificat (CSR), de sa signature avec une autorité de certification approuvée et de l’importation du certificat signé dans le cache connecté.
Pour configurer la prise en charge https sur un ordinateur hôte Linux , consultez
Pour configurer la prise en charge https sur un ordinateur hôte Windows , consultez
- Aide sur l’interface CLI/proxy : bientôt disponible.