Charger, importer, exporter et supprimer des certificats sur Azure Stack Edge Pro GPU

  • Article

S’APPLIQUE À :Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Pour garantir une communication sécurisée et fiable entre votre appareil Azure Stack Edge et les clients qui s’y connectent, vous pouvez utiliser des certificats auto-signés ou apporter vos propres certificats. Cet article explique comment gérer ces certificats, notamment comment les charger, les importer et les exporter. Vous pouvez également afficher les dates d’expiration des certificats et supprimer vos anciens certificats de signature.

Pour en savoir plus sur la création de ces certificats, consultez Créer des certificats à l’aide d’Azure PowerShell.

Charger des certificats sur votre appareil

Si vous apportez vos propres certificats, les certificats que vous avez créés pour votre appareil résident par défaut dans le magasin personnel sur votre client. Ces certificats doivent être exportés sur votre client dans des fichiers de format appropriés qui peuvent ensuite être chargés sur votre appareil.

Prérequis

Avant de charger vos certificats racines et vos certificats de point de terminaison sur l’appareil, assurez-vous que les certificats sont exportés dans le format approprié.

Charger des certificats

Pour charger des certificats racines et de point de terminaison sur l’appareil, utilisez l’option + Ajouter un certificat dans la page Certificats de l’interface utilisateur web locale. Suivez ces étapes :

  1. Téléchargez d’abord le certificat racine. Dans l’interface utilisateur web locale, accédez à Certificats.

  2. Sélectionnez + Ajouter un certificat.

    Screenshot showing Add Certificate screen when adding a Signing Chain certificate to an Azure Stack Edge device. The Save Certificate button is highlighted.

  3. Enregistrez le certificat.

Charger le certificat du point de terminaison

  1. Ensuite, téléchargez les certificats de point de terminaison.

    Screenshot showing Add Certificate screen when adding Endpoint certificates to an Azure Stack Edge device. The Save Certificate button is highlighted.

    Choisissez les fichiers de certificat au format .pfx et entrez le mot de passe que vous avez fourni lors de l’exportation du certificat. L’application du certificat Azure Resource Manager peut prendre quelques minutes.

    Si la chaîne de signature n’est pas mise à jour d’abord et que vous essayez de charger les certificats de point de terminaison, vous obtiendrez une erreur.

    Screenshot showing Apply Certificate error when an Endpoint certificate is uploaded without first uploading a Signing Chain certificate on an Azure Stack Edge device.

    Revenez en arrière et chargez le certificat de chaîne de signature, puis chargez et appliquez les certificats de point de terminaison.

Important

Si le nom de l’appareil ou le domaine DNS est modifié, de nouveaux certificats doivent être créés. Les certificats clients et les certificats d’appareil doivent ensuite être mis à jour avec les nouveaux nom d’appareil et domaine DNS.

Charger des certificats Kubernetes

Les certificats Kubernetes peuvent être destinés à Edge Container Registry ou au tableau de bord Kubernetes. Dans chaque cas, un certificat et un fichier de clé doivent être chargés. Pour créer et charger des certificats Kubernetes, procédez comme suit :

  1. Vous utiliserez openssl pour créer le certificat de tableau de bord Kubernetes ou Edge Container Registry. Veillez à installer openssl sur le système que vous utiliserez pour créer les certificats. Sur un système Windows, vous pouvez utiliser Chocolatey pour installer openssl. Une fois que vous avez installé Chocolatey, ouvrez PowerShell et saisissez :

    choco install openssl

  2. Utilisez openssl pour créer ces certificats. Un fichier de certificat cert.pem et un fichier de clé key.pem sont créés.

    • Pour Edge Container Registry, utilisez la commande suivante :

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<ecr.endpoint-suffix>"

      Voici un exemple de sortie :

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=ecr.dbe-1d6phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

    • Pour le certificat de tableau de bord Kubernetes, utilisez la commande suivante :

      openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=<<kubernetes-dashboard.endpoint-suffix> OR <endpoint-suffix>>"

      Voici un exemple de sortie :

      PS C:\WINDOWS\system32> openssl req -newkey rsa:4096 -nodes -sha256 -keyout key.pem -x509 -days 365 -out cert.pem -subj "/CN=kubernetes-dashboard.dbe-1d8phq2.microsoftdatabox.com"
Generating a RSA private key
.....................++++....++++
writing new private key to 'key.pem'
-----
PS C:\WINDOWS\system32>

  3. Chargez le certificat Kubernetes et le fichier de clé correspondant que vous avez générés précédemment.

    • Pour Edge Container Registry

      Screenshot showing Add Certificate screen when adding an Edge Container Registry certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

    • Pour le tableau de bord Kubernetes

      Screenshot showing Add Certificate screen when adding a Kubernetes dashboard certificate to an Azure Stack Edge device. Browse buttons for the certificate and key file are highlighted.

Importer des certificats sur le client qui accède à l’appareil

Vous pouvez utiliser les certificats générés par l’appareil ou apporter vos propres certificats. Si vous utilisez les certificats générés par l’appareil, vous devez les télécharger sur votre client avant de pouvoir les importer dans le magasin de certificats approprié. Consultez Télécharger des certificats sur le client qui accède à l’appareil.

Dans les deux cas, les certificats que vous avez créés et chargés sur votre appareil doivent être importés sur votre client Windows (qui accède à l’appareil) dans le magasin de certificats approprié.

Importer des certificats au format DER

Pour importer des certificats sur un client Windows, procédez comme suit :

  1. Cliquez avec le bouton droit sur le fichier et sélectionnez Installer le certificat. Cette action démarre l’Assistant Importation de certificat.

    Screenshot the context menu for a file in Windows File Explorer. The Install Certificate option is highlighted.

  2. Pour Emplacement du magasin, sélectionnez Ordinateur local, puis sélectionnez Suivant.

    Screenshot of the Certificate Import Wizard on a Windows client. The Local Machine storage location is highlighted.

  3. Sélectionnez Placer tous les certificats dans le magasin suivant, puis sélectionnez Parcourir.

    • Pour effectuer l’importation dans le magasin personnel, accédez au magasin personnel de votre hôte distant, puis sélectionnez Suivant.

      Screenshot of Certificate Import Wizard in Windows with the Personal certificate store selected. The Certificate Store option and Next button are highlighted.

    • Pour effectuer l’importation dans le magasin de confiance, accédez à l’autorité de certification racine approuvée, puis sélectionnez Suivant.

      Screenshot of Certificate Import Wizard in Windows with the Trusted Root Certification Authority certificate store selected. The Certificate Store option and Next button are highlighted.

  4. Cliquez sur Terminer. Un message indiquant que l’importation a réussi s’affiche.

Afficher l’expiration du certificat

Si vous apportez vos propres certificats, les certificats expirent généralement après 1 an ou 6 mois. Pour afficher la date d’expiration de votre certificat, accédez à la page Certificats dans l’interface utilisateur web locale de votre appareil. Si vous sélectionnez un certificat spécifique, vous pouvez afficher la date d’expiration de votre certificat.

Supprimer un certificat de chaîne de signature

Vous pouvez supprimer un certificat de chaîne de signature ancien et arrivé à expiration de votre appareil. Dans ce cas, tous les certificats dépendants dans la chaîne de signature ne seront plus valides. Seuls les certificats de chaîne de signature peuvent être supprimés.

Pour supprimer un certificat de chaîne de signature de votre appareil Azure Stack Edge, procédez comme suit :

  1. Dans l’interface utilisateur web locale de votre appareil, accédez à CONFIGURATION>Certificats.

  2. Sélectionnez le certificat de chaîne de signature que vous souhaitez supprimer. Puis sélectionnez Supprimer.

    Screenshot of the Certificates blade of the local Web UI of an Azure Stack Edge device. The Delete option for the signing certificates is highlighted.

  3. Dans le volet Supprimer le certificat, vérifiez l’empreinte numérique du certificat, puis sélectionnez Supprimer. La suppression du certificat ne peut pas être annulée.

    Screenshot of the Delete Certificate screen for a Signing Certificate on an Azure Stack Edge device. The certificate thumbprint and Delete button are highlighted.

    Une fois la suppression du certificat terminée, tous les certificats dépendants dans la chaîne de signature ne sont plus valides.

  4. Pour afficher les mises à jour d’état, actualisez l’affichage. Le certificat de chaîne de signature ne s’affiche plus et les certificats dépendants présentent l’état Non valide.

Étapes suivantes

Résoudre les problèmes de certificat