Vue d’ensemble des certificats pour Azure Cloud ServicesCertificates overview for Azure Cloud Services

Dans Azure, des certificats sont utilisés pour les services cloud (certificats de service) et pour l’authentification auprès de l’API de gestion (certificats de gestion).Certificates are used in Azure for cloud services (service certificates) and for authenticating with the management API (management certificates). Cette rubrique offre une vue d’ensemble de ces deux types de certificats et vous explique comment les créer et les déployer dans Azure.This topic gives a general overview of both certificate types, how to create and deploy them to Azure.

Les certificats utilisés dans Azure sont des certificats x.509 v3 et peuvent être signés par un autre certificat approuvé ou être auto-signés.Certificates used in Azure are x.509 v3 certificates and can be signed by another trusted certificate or they can be self-signed. Un certificat auto-signé est signé par son propre créateur et n’est donc pas approuvé par défaut.A self-signed certificate is signed by its own creator, therefore it is not trusted by default. La plupart des navigateurs peuvent ignorer ce problème.Most browsers can ignore this problem. Les certificats auto-signés ne doivent être utilisés que par vous au moment où vous développez et testez vos services cloud.You should only use self-signed certificates when developing and testing your cloud services.

Les certificats utilisés par Azure peuvent contenir une clé privée ou publique.Certificates used by Azure can contain a private or a public key. Les certificats comportent une empreinte numérique qui permet de les identifier sans ambiguïté.Certificates have a thumbprint that provides a means to identify them in an unambiguous way. Cette empreinte numérique est utilisée dans le fichier de configuration Azure pour identifier le certificat qu’un service cloud doit utiliser.This thumbprint is used in the Azure configuration file to identify which certificate a cloud service should use.

Notes

Azure Cloud Services n’accepte pas de certificat chiffré AES256-SHA256.Azure Cloud Services does not accept AES256-SHA256 encrypted certificate.

Que sont les certificats de service ?What are service certificates?

Les certificats de service sont associés aux services cloud et sécurisent les communications à destination et en provenance du service.Service certificates are attached to cloud services and enable secure communication to and from the service. Par exemple, si vous avez déployé un rôle web, vous pouvez fournir un certificat qui peut authentifier un point de terminaison HTTPS exposé.For example, if you deployed a web role, you would want to supply a certificate that can authenticate an exposed HTTPS endpoint. Les certificats de service, définis dans votre définition de service, sont déployés automatiquement sur la machine virtuelle qui exécute une instance de votre rôle.Service certificates, defined in your service definition, are automatically deployed to the virtual machine that is running an instance of your role.

Vous pouvez charger les certificats de service dans Azure par l’intermédiaire du portail Azure ou à l’aide du modèle de déploiement classique.You can upload service certificates to Azure either using the Azure portal or by using the classic deployment model. Les certificats de service sont associés à un service cloud spécifique.Service certificates are associated with a specific cloud service. Ils sont attribués à un déploiement dans le fichier de définition de service.They are assigned to a deployment in the service definition file.

Les certificats de service peuvent être gérés séparément de vos services et par différentes personnes.Service certificates can be managed separately from your services, and may be managed by different individuals. Par exemple, un développeur peut charger un package de services qui fait référence à un certificat précédemment chargé dans Azure par un responsable informatique.For example, a developer may upload a service package that refers to a certificate that an IT manager has previously uploaded to Azure. Un responsable informatique peut gérer et renouveler ce certificat (en modifiant la configuration du service) sans avoir à charger un nouveau package de services.An IT manager can manage and renew that certificate (changing the configuration of the service) without needing to upload a new service package. La mise à jour sans nouveau package de service est possible par le fait que le nom logique, ainsi que le nom et l’emplacement du magasin du certificat sont spécifiés dans le fichier de définition de service, alors que l’empreinte numérique du certificat est spécifiée dans le fichier de configuration de service.Updating without a new service package is possible because the logical name, store name, and location of the certificate is in the service definition file and while the certificate thumbprint is specified in the service configuration file. Pour mettre à jour le certificat, il est uniquement nécessaire de charger un nouveau certificat et de modifier la valeur d’empreinte numérique dans le fichier de configuration de service.To update the certificate, it's only necessary to upload a new certificate and change the thumbprint value in the service configuration file.

Notes

L’article Forum aux questions sur Cloud Services comporte des informations utiles sur les certificats.The Cloud Services FAQ article has some helpful information about certificates.

Que sont les certificats de gestion ?What are management certificates?

Les certificats de gestion vous permettent de vous authentifier dans le modèle de déploiement classique.Management certificates allow you to authenticate with the classic deployment model. De nombreux programmes et outils (tels que Visual Studio ou le Kit de développement logiciel (SDK) Azure) utilisent ces certificats pour automatiser la configuration et le déploiement de divers services Azure.Many programs and tools (such as Visual Studio or the Azure SDK) use these certificates to automate configuration and deployment of various Azure services. Ces certificats ne sont pas réellement associés aux services cloud.These are not really related to cloud services.

Avertissement

Soyez prudent !Be careful! Ces types de certificat permettent à toute personne qui s’authentifie par leur biais de gérer l’abonnement auquel ils sont associés.These types of certificates allow anyone who authenticates with them to manage the subscription they are associated with.

LimitesLimitations

Le nombre de certificats de gestion est limité à 100 par abonnement.There is a limit of 100 management certificates per subscription. Il existe également une limite de 100 certificats de gestion pour l’ensemble des abonnements figurant sous un identificateur d’utilisateur d’administrateur de service spécifique.There is also a limit of 100 management certificates for all subscriptions under a specific service administrator’s user ID. Si l’identificateur d’utilisateur de l’administrateur de compte a déjà été utilisé pour ajouter 100 certificats de gestion et que d’autres certificats sont nécessaires, vous pouvez ajouter un coadministrateur pour disposer des certificats supplémentaires.If the user ID for the account administrator has already been used to add 100 management certificates and there is a need for more certificates, you can add a co-administrator to add the additional certificates.

Création d’un certificat auto-signéCreate a new self-signed certificate

Vous pouvez créer un certificat auto-signé au moyen de n’importe quel outil disponible, à condition qu’il remplisse les conditions suivantes :You can use any tool available to create a self-signed certificate as long as they adhere to these settings:

  • Certificat X.509.An X.509 certificate.

  • Contient une clé privée.Contains a private key.

  • Créé pour l’échange de clés (fichier .pfx).Created for key exchange (.pfx file).

  • Le nom du sujet doit correspondre au domaine servant à accéder au service cloud.Subject name must match the domain used to access the cloud service.

    Vous ne pouvez pas acquérir un certificat SSL pour le domaine cloudapp.net (ou pour tout domaine lié à Azure). Le nom d'objet du certificat doit correspondre au nom de domaine personnalisé utilisé pour accéder à votre application.You cannot acquire an SSL certificate for the cloudapp.net (or for any Azure-related) domain; the certificate's subject name must match the custom domain name used to access your application. Par exemple, contoso.net, mais pas contoso.cloudapp.net.For example, contoso.net, not contoso.cloudapp.net.

  • Chiffrement à 2 048 bits au minimum.Minimum of 2048-bit encryption.

  • Certificat de service uniquement : le certificat côté client doit résider dans le magasin de certificats personnel .Service Certificate Only: Client-side certificate must reside in the Personal certificate store.

Vous disposez de deux méthodes simples pour créer un certificat sur Windows : avec l’utilitaire makecert.exe ou avec IIS.There are two easy ways to create a certificate on Windows, with the makecert.exe utility, or IIS.

Makecert.exeMakecert.exe

Cet utilitaire a été déconseillé et n’est plus documenté ici.This utility has been deprecated and is no longer documented here. Pour plus d’informations, consultez cet article MSDN.For more information, see this MSDN article.

PowerShellPowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Notes

Pour utiliser le certificat avec une adresse IP au lieu d’un domaine, utilisez l’adresse IP dans le paramètre -DnsName.If you want to use the certificate with an IP address instead of a domain, use the IP address in the -DnsName parameter.

Si vous souhaitez utiliser ce certificat avec le portail de gestion, exportez-le vers un fichier .cer :If you want to use this certificate with the management portal, export it to a .cer file:

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Internet Information Services (IIS)Internet Information Services (IIS)

De nombreuses pages sur Internet vous expliquent comment procéder avec IIS.There are many pages on the internet that cover how to do this with IIS. ici une procédure détaillée particulièrement claire.Here is a great one I found that I think explains it well.

LinuxLinux

Cet article décrit comment créer des certificats avec SSH.This article describes how to create certificates with SSH.

Étapes suivantesNext steps

Pour télécharger votre certificat de service sur le portail Azure.Upload your service certificate to the Azure portal.

Chargez un certificat d’API de gestion dans le portail Azure.Upload a management API certificate to the Azure portal.