Créer des certificats pour votre instance Azure Stack Edge Pro GPU avec l’outil Azure Stack Hub Readiness Checker
S’APPLIQUE À : Azure Stack Edge Pro : GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Cet article explique comment créer des certificats pour votre instance Azure Stack Edge Pro avec l’outil Azure Stack Hub Readiness Checker.
Utilisation de l’outil Azure Stack Hub Readiness Checker
Utilisez l’outil Azure Stack Hub Readiness Checker pour créer des demandes de signature de certificat (CSR) destinées au déploiement d’un appareil Azure Stack Edge Pro. Vous pouvez créer ces demandes après avoir passé commande de l’appareil Azure Stack Edge Pro, en attendant son arrivée.
Remarque
Utilisez cet outil uniquement à des fins de test ou de développement, mais pas pour des appareils de production.
L’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) permet de demander les certificats suivants :
- Certificat Azure Resource Manager
- Certificat de l’interface utilisateur locale
- Certificat de nœud
- Certificat d’objet blob
- Certificat VPN
Prérequis
Pour créer des demandes de signature de certificat destinées au déploiement d’un appareil Azure Stack Edge Pro, assurez-vous que :
- Vous disposez d’un client exécutant Windows 10 ou Windows Server 2016, ou une version ultérieure.
- Vous avez téléchargé l'outil Microsoft Azure Stack Hub Readiness Checker sur ce système depuis PowerShell Gallery.
- Vous disposez des informations suivantes pour les certificats :
- Nom de l’appareil
- Numéro de série du nœud
- Nom de domaine pleinement qualifié externe (FQDN)
Générer les demandes de signature de certificat
Suivez ces étapes pour préparer les certificats de l’appareil Azure Stack Edge Pro :
Exécutez PowerShell en tant qu’administrateur (5.1 ou version ultérieure).
Installez l’outil Azure Stack Hub Readiness Checker. À l’invite PowerShell, tapez :
Install-Module -Name Microsoft.AzureStack.ReadinessChecker
Pour obtenir la version installée, saisissez :
Get-InstalledModule -Name Microsoft.AzureStack.ReadinessChecker | ft Name, Version
Créez un répertoire pour tous les certificats si vous n’en avez pas déjà un. Tapez :
New-Item "C:\certrequest" -ItemType Directory
Pour créer une demande de certificat, fournissez les informations suivantes. Si vous générez un certificat VPN, certaines de ces entrées ne s’appliquent pas.
Input Description OutputRequestPath
Chemin du fichier sur votre client local, où vous souhaitez que les demandes de certificat soient créées. DeviceName
Nom de votre appareil dans la page Appareil de l’interface utilisateur web locale de votre appareil.
Ce champ n’est pas obligatoire pour un certificat VPN.NodeSerialNumber
Node serial number
du nœud d’appareil indiqué dans la page Vue d’ensemble de l’interface utilisateur web locale de votre appareil.
Ce champ n’est pas obligatoire pour un certificat VPN.ExternalFQDN
Valeur DNS domain
dans la page Appareil de l’interface utilisateur web locale de votre appareil.RequestType
Le type de demande peut être pour MultipleCSR
, soit différents certificats destinés à divers points de terminaison, ouSingleCSR
, soit un seul certificat pour tous les points de terminaison.
Ce champ n’est pas obligatoire pour un certificat VPN.Pour tous les certificats, à l’exception du certificat VPN, tapez :
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeDEVICE' DeviceName = 'myTEA1' NodeSerialNumber = 'VM1500-00025' externalFQDN = 'azurestackedge.contoso.com' requestType = 'MultipleCSR' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams
Si vous créez un certificat VPN, tapez :
$edgeCSRparams = @{ CertificateType = 'AzureStackEdgeVPN' externalFQDN = 'azurestackedge.contoso.com' OutputRequestPath = "C:\certrequest" } New-AzsCertificateSigningRequest @edgeCSRparams
Les fichiers de demande de certificat se trouvent dans le répertoire que vous avez spécifié dans le paramètre OutputRequestPath ci-dessus. Quand vous utilisez le paramètre
MultipleCSR
, vous devez compter les quatre fichiers suivants avec l’extension.req
:Noms de fichiers Type de demande de certificat Commençant par votre DeviceName
Demande de certificat de l’interface utilisateur web locale Commençant par votre NodeSerialNumber
Demande de certificat de nœud À compter de login
Demande de certificat de point de terminaison Azure Resource Manager À compter de wildcard
Demande de certificat de stockage de blobs Elle contient un caractère générique, car elle couvre tous les comptes de stockage que vous pouvez créer sur l’appareil. À compter de AzureStackEdgeVPNCertificate
Demande de certificat client VPN. Vous verrez également un dossier INF. Celui-ci contient un fichier d’informations management.<edge-nom_appareil> en texte clair, expliquant les détails du certificat.
Envoyez ces fichiers à votre autorité de certification (interne ou publique). Assurez-vous que votre autorité de certification crée des certificats en utilisant votre demande générée qui est conforme aux exigences de certificat Azure Stack Edge Pro pour les certificats de nœud, les certificats de point de terminaison et les certificats d’interface utilisateur locale.
Préparer les certificats pour le déploiement
Les fichiers de certificat que vous obtenez auprès de l’autorité de certification doivent être importés et exportés avec des propriétés qui correspondent aux exigences de certificat de l’appareil Azure Stack Edge Pro. Effectuez les étapes suivantes sur le système avec lequel vous avez généré les demandes de signature de certificat.
Pour importer les certificats, suivez les étapes décrites dans Importer des certificats sur les clients accédant à votre appareil Azure Stack Edge Pro.
Pour exporter les certificats, suivez les étapes décrites dans Exporter des certificats du client accédant à l’appareil Azure Stack Edge Pro.
Valider les certificats
Tout d’abord, vous allez générer une structure de dossiers appropriée, puis placer les certificats dans les dossiers correspondants. Vous ne pourrez valider les certificats à l’aide de l’outil qu’après cette opération.
Démarrez PowerShell en tant qu'administrateur.
Pour générer la structure de dossiers appropriée, à l’invite, tapez :
New-AzsCertificateFolder -CertificateType AzureStackEdgeDevice -OutputPath "$ENV:USERPROFILE\Documents\AzureStackCSR"
Convertissez le mot de passe PFX en chaîne sécurisée. Tapez :
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
Ensuite, validez les certificats. Tapez :
Invoke-AzsCertificateValidation -CertificateType AzureStackEdgeDevice -DeviceName mytea1 -NodeSerialNumber VM1500-00025 -externalFQDN azurestackedge.contoso.com -CertificatePath $ENV:USERPROFILE\Documents\AzureStackCSR\AzureStackEdge -pfxPassword $pfxPassword