Partager via


Créer des certificats pour votre instance Azure Stack Edge Pro GPU avec l’outil Azure Stack Hub Readiness Checker

S’APPLIQUE À : Oui pour la référence SKU Pro GPUAzure Stack Edge Pro : GPUOui pour la référence SKU Pro 2Azure Stack Edge Pro 2Oui pour la référence SKU Pro RAzure Stack Edge Pro ROui pour la référence SKU Mini RAzure Stack Edge Mini R

Cet article explique comment créer des certificats pour votre instance Azure Stack Edge Pro avec l’outil Azure Stack Hub Readiness Checker.

Utilisation de l’outil Azure Stack Hub Readiness Checker

Utilisez l’outil Azure Stack Hub Readiness Checker pour créer des demandes de signature de certificat (CSR) destinées au déploiement d’un appareil Azure Stack Edge Pro. Vous pouvez créer ces demandes après avoir passé commande de l’appareil Azure Stack Edge Pro, en attendant son arrivée.

Remarque

Utilisez cet outil uniquement à des fins de test ou de développement, mais pas pour des appareils de production.

L’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) permet de demander les certificats suivants :

  • Certificat Azure Resource Manager
  • Certificat de l’interface utilisateur locale
  • Certificat de nœud
  • Certificat d’objet blob
  • Certificat VPN

Prérequis

Pour créer des demandes de signature de certificat destinées au déploiement d’un appareil Azure Stack Edge Pro, assurez-vous que :

  • Vous disposez d’un client exécutant Windows 10 ou Windows Server 2016, ou une version ultérieure.
  • Vous avez téléchargé l'outil Microsoft Azure Stack Hub Readiness Checker sur ce système depuis PowerShell Gallery.
  • Vous disposez des informations suivantes pour les certificats :
    • Nom de l’appareil
    • Numéro de série du nœud
    • Nom de domaine pleinement qualifié externe (FQDN)

Générer les demandes de signature de certificat

Suivez ces étapes pour préparer les certificats de l’appareil Azure Stack Edge Pro :

  1. Exécutez PowerShell en tant qu’administrateur (5.1 ou version ultérieure).

  2. Installez l’outil Azure Stack Hub Readiness Checker. À l’invite PowerShell, tapez :

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker
    

    Pour obtenir la version installée, saisissez :

    Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker  | ft Name, Version 
    
  3. Créez un répertoire pour tous les certificats si vous n’en avez pas déjà un. Tapez :

    New-Item "C:\certrequest" -ItemType Directory
    
  4. Pour créer une demande de certificat, fournissez les informations suivantes. Si vous générez un certificat VPN, certaines de ces entrées ne s’appliquent pas.

    Input Description
    OutputRequestPath Chemin du fichier sur votre client local, où vous souhaitez que les demandes de certificat soient créées.
    DeviceName Nom de votre appareil dans la page Appareil de l’interface utilisateur web locale de votre appareil.
    Ce champ n’est pas obligatoire pour un certificat VPN.
    NodeSerialNumber Node serial number du nœud d’appareil indiqué dans la page Vue d’ensemble de l’interface utilisateur web locale de votre appareil.
    Ce champ n’est pas obligatoire pour un certificat VPN.
    ExternalFQDN Valeur DNS domain dans la page Appareil de l’interface utilisateur web locale de votre appareil.
    RequestType Le type de demande peut être pour MultipleCSR, soit différents certificats destinés à divers points de terminaison, ou SingleCSR, soit un seul certificat pour tous les points de terminaison.
    Ce champ n’est pas obligatoire pour un certificat VPN.

    Pour tous les certificats, à l’exception du certificat VPN, tapez :

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeDEVICE'
        DeviceName = 'myTEA1'
        NodeSerialNumber = 'VM1500-00025'
        externalFQDN = 'azurestackedge.contoso.com'
        requestType = 'MultipleCSR'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    

    Si vous créez un certificat VPN, tapez :

    $edgeCSRparams = @{
        CertificateType = 'AzureStackEdgeVPN'
        externalFQDN = 'azurestackedge.contoso.com'
        OutputRequestPath = "C:\certrequest"
    }
    New-AzsCertificateSigningRequest @edgeCSRparams
    
  5. Les fichiers de demande de certificat se trouvent dans le répertoire que vous avez spécifié dans le paramètre OutputRequestPath ci-dessus. Quand vous utilisez le paramètre MultipleCSR, vous devez compter les quatre fichiers suivants avec l’extension .req :

    Noms de fichiers Type de demande de certificat
    Commençant par votre DeviceName Demande de certificat de l’interface utilisateur web locale
    Commençant par votre NodeSerialNumber Demande de certificat de nœud
    À compter de login Demande de certificat de point de terminaison Azure Resource Manager
    À compter de wildcard Demande de certificat de stockage de blobs Elle contient un caractère générique, car elle couvre tous les comptes de stockage que vous pouvez créer sur l’appareil.
    À compter de AzureStackEdgeVPNCertificate Demande de certificat client VPN.

    Vous verrez également un dossier INF. Celui-ci contient un fichier d’informations management.<edge-nom_appareil> en texte clair, expliquant les détails du certificat.

  6. Envoyez ces fichiers à votre autorité de certification (interne ou publique). Assurez-vous que votre autorité de certification crée des certificats en utilisant votre demande générée qui est conforme aux exigences de certificat Azure Stack Edge Pro pour les certificats de nœud, les certificats de point de terminaison et les certificats d’interface utilisateur locale.

Préparer les certificats pour le déploiement

Les fichiers de certificat que vous obtenez auprès de l’autorité de certification doivent être importés et exportés avec des propriétés qui correspondent aux exigences de certificat de l’appareil Azure Stack Edge Pro. Effectuez les étapes suivantes sur le système avec lequel vous avez généré les demandes de signature de certificat.

Valider les certificats

Tout d’abord, vous allez générer une structure de dossiers appropriée, puis placer les certificats dans les dossiers correspondants. Vous ne pourrez valider les certificats à l’aide de l’outil qu’après cette opération.

  1. Démarrez PowerShell en tant qu'administrateur.

  2. Pour générer la structure de dossiers appropriée, à l’invite, tapez :

    New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"

  3. Convertissez le mot de passe PFX en chaîne sécurisée. Tapez :

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString

  4. Ensuite, validez les certificats. Tapez :

    Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword

Étapes suivantes

Charger des certificats sur votre appareil.