Certificat d’authentification de serveur CMG

S’applique à : Configuration Manager (branche actuelle)

La première étape lorsque vous définissez une passerelle de gestion cloud (CMG) consiste à obtenir le certificat d’authentification du serveur. Le CMG crée un service HTTPS auquel les clients basés sur Internet se connectent. Le serveur requiert un certificat d’authentification de serveur pour créer le canal sécurisé. Vous pouvez acquérir un certificat à cet effet auprès d’un fournisseur public ou l’émettre à partir de votre infrastructure à clé publique (PKI).

Lorsque vous créez le CMG dans la console Configuration Manager, vous fournissez ce certificat. Le nom commun (CN) de ce certificat définit le nom de service de la CMG.

Notes

Vous aurez peut-être besoin de certificats supplémentaires pour les clients et les points de gestion. Ces certificats sont couverts dans la troisième étape du processus d’installation de CMG, configurez l’authentification client.

Rappel de la terminologie CMG utilisée dans cet article :

  • Nom du service: nom commun (CN) du certificat d’authentification du serveur CMG. Les clients et le rôle système de site de point de connexion CMG communiquent avec ce nom de service. Par exemple : GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nom de déploiement: première partie du nom du service, ainsi que l’emplacement Azure pour le déploiement du service cloud. Le composant gestionnaire de service cloud du point de connexion de service utilise ce nom lorsqu’il déploie CMG dans Azure. Le nom de déploiement se trouve toujours dans un domaine Azure. L’emplacement Azure dépend de la méthode de déploiement, par exemple :

    • Jeu d’échelle de machine virtuelle : GraniteFalls.WestUS.CloudApp.Azure.Com
    • Déploiement classique : GraniteFalls.CloudApp.Net

    Important

    Cet article utilise des exemples avec une échelle de machine virtuelle définie comme méthode de déploiement recommandée dans les versions 2107 et ultérieures. Si vous utilisez un déploiement classique, notez la différence lorsque vous lisez cet article et préparez le certificat d’authentification du serveur.

Choisir le type de certificat

Tout d’abord, déterminez l’endroit où vous souhaitez obtenir le certificat. Plusieurs facteurs sont à prendre en compte.

Les clients doivent faire confiance au certificat d’authentification du serveur CMG pour établir le canal HTTPS avec le service CMG. Il existe deux méthodes pour accomplir cette relation d’confiance :

  1. Utiliser un certificat provenant d’un fournisseur de certificats public et approuvé globalement.

    • Windows clients incluent des autorités de certification racines (CA) de confiance de ces fournisseurs. À l’aide d’un certificat émis par l’un de ces fournisseurs, vos clients l’trustent automatiquement.

    • Il existe un coût associé à ce certificat, qui est spécifique au fournisseur.

  2. Utilisez un certificat émis par une ca d’entreprise à partir de votre infrastructure à clé publique (PKI).

    • La plupart des implémentations pKI d’entreprise ajoutent les CA racines de confiance Windows clients. Par exemple, si vous utilisez les services de certificats Active Directory avec une stratégie de groupe. Si vous émettrez le certificat d’authentification de serveur CMG à partir d’une ca que vos clients ne font pas automatiquement confiance, ajoutez le certificat racine approuvé de l’ac aux clients basés sur Internet.

      Si vous prévoyez d’installer le client Configuration Manager à partir d’Intune,vous pouvez également utiliser les profils de certificat Intune pour mettre en service des certificats sur les clients. Pour plus d’informations, voir Configurer un profil de certificat.

    • Votre organisation peut avoir un coût interne pour émettre des certificats, mais il n’y a généralement aucun coût externe associé à ce certificat.

Important

Avant d’obtenir ce certificat, assurez-vous que le nom du service est globalement unique pour le service cloud et le compte de stockage. Assurez-vous également que le nom utilise les caractères pris en charge. Pour plus d’informations, voir Nom global unique.

Comparaison récapitulatif des types de certificats

Fournisseur public Enterprise PKI
Confiance du client Approuvé dans Windows par défaut Automatique avec certaines implémentations, sinon doit être déployé
Cost Oui Pas typique
Exemple de nom de service GraniteFalls.contoso.com GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME requis Oui Non pour le nom du service de domaine Azure ( GraniteFalls.WestUS.CloudApp.Azure.Com )

Notes

Le certificat d’authentification de serveur CMG prend en charge les caractères génériques. Certaines autorités de certification émettre des certificats à l’aide d’un caractère générique pour le préfixe de nom de service. Par exemple, *.contoso.com. Certaines organisations utilisent des certificats génériques pour simplifier leur PKI et réduire les coûts de maintenance.

Pour plus d’informations sur l’utilisation d’un certificat générique avec un CMG, voir Configurer un certificat CMG.

Nom global unique

Ce certificat requiert un nom global unique pour identifier le service dans Azure. Avant de demander un certificat, confirmez que le nom de déploiement Azure que vous souhaitez est unique. Par exemple, GraniteFalls.WestUS.CloudApp.Azure.Com.

Jeu d’échelle de machine virtuelle

  1. Connectez-vous au Portail Azure.

  2. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource sous services Azure.

  3. Recherchez l’ensemble d’échelles de machine virtuelle. Sélectionnez Créer.

  4. Sélectionnez le groupe d’abonnements et de ressources que vous utiliserez pour CMG.

  5. Dans le champ Nom de jeu d’échelle de la machine virtuelle, tapez le préfixe que vous souhaitez. Par exemple, GraniteFalls.

  6. Sélectionnez la région que vous utiliserez pour CMG. Par exemple, (États-Unis) Ouest des États-Unis.

L’interface reflète si le nom de domaine est disponible ou déjà utilisé par un autre service.

Important

Ne créez pas le service dans le portail, utilisez simplement ce processus pour vérifier la disponibilité du nom.

Compte de stockage CMG activé pour le contenu

Si vous activez également CMG pour le contenu, confirmez qu’il s’agit également d’un nom de compte de stockage Azure unique. Si le nom de déploiement CMG est unique, mais pas le compte de stockage, Configuration Manager ne parvient pas à mettre en service le service dans Azure. Répétez le processus ci-dessus dans le portail Azure avec les modifications suivantes :

  • Recherchez Stockage compte.

  • Testez votre nom dans le champ Stockage de compte.

Important

Le préfixe du nom DNS doit comporter entre 3 et 24 caractères et contenir des chiffres et des lettres minuscules uniquement. N’utilisez pas de caractères spéciaux, comme un tiret ( - ). Par exemple: granitefalls.

Émettre le certificat

Le certificat d’authentification de serveur CMG prend en charge les configurations suivantes :

  • Longueur de clé 2 048 bits ou 4 096 bits

  • Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, voir vue d’ensemble des certificats CNG v3.

Utiliser un certificat de fournisseur public

Un fournisseur de certificat tiers ne peut pas créer de certificat pour un domaine Azure comme , car Microsoft possède cloudapp.azure.com ces domaines. Vous pouvez uniquement obtenir un certificat émis pour un domaine que vous possédez. La raison principale de l’acquisition d’un certificat auprès d’un fournisseur tiers est que vos clients font déjà confiance au certificat racine de ce fournisseur.

Le processus spécifique pour obtenir ce certificat varie selon le fournisseur. Pour plus d’informations, contactez votre fournisseur de certificats tiers.

Pour le nom commun du certificat de serveur web :

  • Vous avez fait en sorte que le nom de déploiement soit globalement unique dans Azure pour le service cloud et le compte de stockage. Par exemple, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Pour déterminer le nom du service, appendez __ le préfixe de nom de déploiement ( ) au nom de domaine de votre organisation ( GraniteFalls contoso.com ).

  • Utilisez ce nom de service pour le nom commun du certificat (CN). Par exemple, GraniteFalls.contoso.com.

Ensuite, vous devez créer un alias CNAME DNS.

Utiliser un certificat pKI d’entreprise

L’émission d’un certificat de serveur web à partir de l’PKI de votre organisation varie selon le produit. Les instructions de déploiement du certificat de service pour les points de distribution basés sur le cloud sont pour les services de certificats Active Directory. Ce processus s’applique généralement au certificat d’authentification du serveur CMG.

Pour le nom commun du certificat de serveur web :

  • Vous avez fait en sorte que le nom de déploiement soit globalement unique dans Azure pour le service cloud et le compte de stockage. Par exemple, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Pour déterminer le nom du service, vous avez deux options :

    • Utilisez votre nom de domaine (recommandé). Append the deployment name prefix ( ) to GraniteFalls your organization’s domain name ( contoso.com ). Par exemple, GraniteFalls.contoso.com. Pour cette option, vous devez également créer un alias CNAME DNS.

    • Utilisez le nom de déploiement Azure. Cette option ne nécessite pas d’alias CNAME DNS. Par exemple :

      • Pour le cloud public Azure : GraniteFalls.WestUS.CloudApp.Azure.Com .

      • Pour le cloud Azure US Government : GraniteFalls.usgovcloudapp.net .

      Notes

      Si le nom de déploiement Azure change, vous devez redéployer le service pour modifier ce nom de service. Par exemple, si votre nom de service se trouve dans le domaine, vous ne pouvez pas convertir le service cloud classique CMG en un jeu cloudapp.net d’échelle de machine virtuelle. Si vous utilisez votre nom de domaine pour le nom du service CMG, vous pouvez mettre à jour le CNAME DNS pour le nouveau nom de déploiement.

  • Utilisez ce nom de service pour le nom commun du certificat (CN).

Créer un alias CNAME DNS

Si le nom du service CMG utilise le nom de domaine de votre organisation ( ), vous devez créer un enregistrement de nom GraniteFalls.contoso.com canonique DNS (CNAME). Cet alias mapplait le nom du service au nom de déploiement.

Créez un enregistrement CNAME dans le DNS public de votre organisation. Le service CMG dans Azure et tous les clients qui l’utilisent doivent résoudre le nom du service. Par exemple :

  • Contoso nomme ses CMGFalls.

  • Le nom de déploiement dans Azure est GraniteFalls.WestUS.CloudApp.Azure.Com .

  • Dans l’espace de noms DNS public de Contoso, l’administrateur DNS crée un enregistrement CNAME pour le nom du service au nom de déploiement contoso.com GraniteFalls.contoso.com Azure. GraniteFalls.WestUS.CloudApp.Azure.Com

Lorsque vous créez le CMG, alors que le certificat est le CN, Configuration Manager extrait uniquement le préfixe de nom de service, par exemple GraniteFalls.contoso.com :Falls . Il append ce préfixe au domaine de service Azure ( ) avec cloudapp.azure.com la région ( ) pour créer le nom de westus déploiement. Par exemple, GraniteFalls.WestUS.CloudApp.Azure.Com. L’alias CNAME dans l’espace de noms DNS pour votre domaine ( ) permet de rassembler ces deux noms de domaine contoso.com complets.

La stratégie de client Configuration Manager inclut le nom du service CMG, GraniteFalls.contoso.com . Le client résout le nom du service via l’alias CNAME en nom de GraniteFalls.WestUS.CloudApp.Azure.Com déploiement. Il peut ensuite résoudre l’adresse IP du nom de déploiement pour communiquer avec le service dans Azure.

Étapes suivantes

Poursuivez votre configuration CMG en configurant Azure Active Directory (Azure AD) :