Tutoriel : Configurer des certificats pour votre appareil Azure Stack Edge Pro R

  • Article

Ce tutoriel explique comment configurer des certificats pour votre appareil Azure Stack Edge Pro R en utilisant l’interface utilisateur web locale.

Le temps nécessaire pour cette étape peut varier en fonction de l’option spécifique que vous choisissez et de la façon dont le workflow de certificat est établi dans votre environnement.

Ce tutoriel vous fournira des informations sur :

  • Prérequis
  • Configurer des certificats pour l’appareil physique
  • Configurer le VPN
  • Configurer le chiffrement au repos

Prérequis

Avant de configurer et d’activer votre appareil Azure Stack Edge Pro R, vérifiez que :

  • Vous avez installé l’appareil physique, comme indiqué dans Installer Azure Stack Edge Pro R.
  • Si vous envisagez d’apporter vos propres certificats :
    • Vos certificats doivent être prêts au format approprié, y compris le certificat de chaîne de signature. Pour plus d’informations sur les certificats, accédez à Gérer des certificats.

Configurer des certificats pour un appareil

  1. Dans la page Certificats , vous allez configurer vos certificats. Selon que vous avez ou non modifié le nom de l’appareil ou le domaine DNS dans la page Configuration de l’appareil, vous pouvez choisir l’une des options suivantes pour vos certificats.

    • Si vous n’avez pas modifié le nom de l’appareil ou le domaine DNS à l’étape précédente, vous pouvez ignorer cette étape et passer à la suivante. L’appareil a généré automatiquement des certificats auto-signés pour commencer.

    • Si vous avez modifié le nom de l’appareil ou le domaine DNS, vous noterez que l’état des certificats indique Non valide.

      Local web UI

      Sélectionnez un certificat pour afficher les détails relatifs à l’état.

      Local web UI

      Cela est dû au fait que les certificats ne reflètent pas le nom de l’appareil et le domaine DNS mis à jour (qui sont utilisés dans le nom de l’objet et l’autre nom de l’objet). Pour activer correctement votre appareil, vous pouvez apporter vos propres certificats de point de terminaison signés et les chaînes de signature correspondantes. Vous ajoutez d’abord la chaîne de signature, puis vous chargez les certificats de point de terminaison. Pour plus d’informations, consultez Apporter vos propres certificats sur votre appareil Azure Stack Edge Pro R.

    • Si vous avez changé le nom de l’appareil ou le domaine DNS et que vous n’apportez pas vos propres certificats, l’activation sera bloquée.

Apportez vos propres certificats

Procédez comme suit pour ajouter vos propres certificats, y compris la chaîne de signature.

  1. Pour télécharger le certificat, sur la page Certificat, sélectionnez + Ajouter un certificat.

    Local web UI

  2. Chargez d’abord la chaîne de signature, puis sélectionnez Valider et ajouter.

    Local web UI

  3. Vous pouvez maintenant télécharger d’autres certificats. Par exemple, vous pouvez télécharger les certificats de point de terminaison de stockage d’objets Blob et Azure Resource Manager.

    Local web UI

    Vous pouvez également télécharger le certificat de l’interface utilisateur web locale. Après avoir téléchargé ce certificat, vous devez démarrer votre navigateur et effacer le cache. Vous devrez ensuite vous connecter à l’interface utilisateur web locale de l’appareil.

    Local web UI

    Vous pouvez également télécharger le certificat de nœud.

    Local web UI

    Enfin, vous pouvez charger le certificat VPN.

    Local web UI

    À tout moment, vous pouvez sélectionner un certificat et afficher les détails pour vous assurer qu’ils correspondent au certificat que vous avez chargé.

    La page du certificat devrait s’actualiser pour refléter les nouveaux certificats ajoutés.

    Local web UI

    Remarque

    À l’exception du cloud public Azure, les certificats de chaîne de signature doivent être apportés avant l’activation de toutes les configurations cloud (Azure Government ou Azure Stack).

  4. Sélectionnez < Revenir à Démarrer.

Configurer le VPN

  1. Dans la vignette Sécurité, sélectionnez Configurer pour le VPN.

    Local web UI

    Pour configurer un VPN, vous devez d’abord veiller à disposer de toute la configuration nécessaire dans Azure. Pour plus d’informations, consultez Configurer les prérequis et Configurer des ressources Azure pour un VPN. Une fois cette vérification faite, vous pouvez effectuer la configuration dans l’interface utilisateur locale.

    1. Dans la page VPN, sélectionnez Configurer.
    2. Dans le panneau Configurer un VPN :

    • Activez Paramètres du VPN.

    • Indiquez le secret partagé du VPN. Il s’agit de la clé partagée que vous avez fournie lors de la création de l’objet de connexion VPN Azure.

    • Indiquez l’adresse IP de la passerelle VPN. Il s’agit de l’adresse IP de la passerelle réseau locale Azure.

    • Pour Groupe PFS, sélectionnez Aucun.

    • Pour Groupe DH, sélectionnez Group2.

    • Pour Méthode d’intégrité IPsec, sélectionnez SHA256.

    • Pour Constantes de transformation IPseccipher, sélectionnez GCMAES256.

    • Pour Constantes de transformation d’authentification IPsec, sélectionnez GCMAES256.

    • Pour Méthode de chiffrement IKE, sélectionnez AES256.

    • Sélectionnez Appliquer.

      Configure local UI 2

    1. Pour charger le fichier de configuration de route VPN, sélectionnez Charger.

      Configure local UI 3

      • Accédez au fichier json de configuration VPN que vous avez téléchargé sur votre système local à l’étape précédente.

      • Sélectionnez la région Azure associée à l’appareil, au réseau virtuel et aux passerelles.

      • Sélectionnez Appliquer.

        Configure local UI 4

    2. Pour ajouter des routes propres au client, configurez des plages d’adresses IP accessibles uniquement à l’aide du VPN.

      • Sous Plages d’adresses IP accessibles uniquement à l’aide du VPN, sélectionnez Configurer.

      • Indiquez une plage IPv4 valide et sélectionnez Ajouter. Répétez les étapes pour ajouter d’autres plages.

      • Sélectionnez Appliquer.

        Configure local UI 5

  2. Sélectionnez < Revenir à Démarrer.

Configurer le chiffrement au repos

  1. Dans la vignette Sécurité, sélectionnez Configurer pour le chiffrement au repos. Il s’agit d’un paramètre obligatoire. Tant qu’il n’est pas configuré correctement, vous ne pouvez pas activer l’appareil.

    En usine, une fois les appareils imagés, le chiffrement BitLocker du niveau de volume est activé. Une fois que vous recevez l’appareil, vous devez configurer le chiffrement au repos. Le pool de stockage et les volumes sont recréés et vous pouvez fournir des clés BitLocker pour activer le chiffrement au repos et ainsi créer une deuxième couche de chiffrement pour vos données au repos.

  2. Dans le volet Chiffrement au repos, fournissez une clé encodée en base 64 de 32 caractères. Il s’agit d’une configuration qui a lieu une seule fois et cette clé est utilisée pour protéger la clé de chiffrement réelle. Vous pouvez choisir de générer automatiquement cette clé ou d’en entrer une.

    Local web UI

    La clé est enregistrée dans un fichier de clé dans la page Détails du cloud après l’activation de l’appareil.

  3. Sélectionnez Appliquer. Cette opération prend plusieurs minutes et l’état de l’opération s’affiche dans la vignette Sécurité.

    Local web UI

  4. Une fois que l’état indique Terminé, sélectionnez < Revenir à Démarrer.

Votre appareil est maintenant prêt à être activé.

Étapes suivantes

Ce tutoriel vous fournira des informations sur :

  • Prérequis
  • Configurer des certificats pour l’appareil physique
  • Configurer le VPN
  • Configurer le chiffrement au repos

Pour savoir comment activer votre appareil Azure Stack Edge Pro R, consultez :

Activer un appareil Azure Stack Edge Pro R