Configuration requise des certificats
S’APPLIQUE À : Azure Stack Edge Pro : GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Cet article décrit les exigences applicables aux certificats qui doivent être satisfaites pour que les certificats puissent être installés sur votre appareil Azure Stack Edge Pro. Les exigences ont trait aux certificats PFX, à l’autorité émettrice, au nom de l’objet et à l’autre nom de l’objet du certificat ainsi qu’aux algorithmes de certificat pris en charge.
Autorité émettrice du certificat
Les exigences d’émission de certificat sont les suivantes :
Les certificats doivent être émis par une autorité de certification interne ou une autorité de certification publique.
L’utilisation de certificats auto-signés n’est pas prise en charge.
Les champs Délivré à et Délivré par ne peuvent pas avoir le même contenu, sauf pour les certificats d’autorité de certification racine.
Algorithmes de certificat
Seuls les certificats RSA (Rivest-Shamir-Adleman) sont pris en charge avec votre appareil. Les certificats ECDSA (Elliptic Curve Digital Signature Algorithm) ne sont pas pris en charge.
Les certificats qui contiennent une clé publique RSA sont appelés certificats RSA. Les certificats qui contiennent une clé publique ECC (Elliptic Curve Cryptographic) sont appelés certificats ECDSA (Elliptic Curve Digital Signature Algorithm).
Les exigences en matière d’algorithmes de certificat sont les suivantes :
Les certificats doivent utiliser l’algorithme de clé RSA.
Seuls les certificats RSA associés au Fournisseur de services de chiffrement Microsoft RSA/Schannel sont pris en charge.
L’algorithme de signature de certificat ne peut pas être Secure Hash Algorithm 1.
La taille de clé minimale est de 4096.
Nom de l’objet et autre nom de l’objet du certificat
Le nom de l’objet et autre nom de l’objet du certificat doivent répondre aux exigences suivantes :
Vous pouvez utiliser un certificat générique unique couvrant tous les espaces de noms dans les champs Autre nom de l’objet (SAN) du certificat. Vous pouvez également utiliser des certificats individuels pour chaque espace de noms. Les deux approches requièrent l’utilisation de caractères génériques pour les points de terminaison si nécessaire, tel que les blobs.
Assurez-vous que le nom de l’objet (nom commun dans le nom d’objet) fait partie de l’autre nom de l’objet dans l’extension de l’autre nom de l’objet.
Vous pouvez utiliser un certificat générique unique couvrant tous les espaces de noms dans les champ SAN du certificat.
Utilisez le tableau suivant lors de la création d’un certificat de point de terminaison :
Type Nom de l’objet (SN) Autre nom de l’objet (SAN) Exemple de nom de sujet Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Stockage Blob *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Interface utilisateur locale <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
Certificat unique à plusieurs SAN pour les deux points de terminaison <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Nœud <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
VPN AzureStackEdgeVPNCertificate.<DnsDomain>
* AzureStackEdgeVPNCertificate est codé en dur.*.<DnsDomain>
<AzureStackVPN>.<DnsDomain>
edgevpncertificate.microsoftdatabox.com
Certificat PFX
Les certificats PFX installés sur votre appareil Azure Stack Edge Pro doivent respecter les conditions suivantes :
Lorsque vous recevez vos certificats de l’autorité SSL, assurez-vous que vous disposez de la chaîne de signature complète pour les certificats.
Lorsque vous exportez un certificat PFX, assurez-vous que vous avez sélectionné l’option Inclure tous les certificats dans la chaîne, si possible.
Utilisez un certificat PFX pour le point de terminaison, l’interface utilisateur locale, le nœud, le VPN et le Wi-Fi, car les clés tant publiques que privées sont requises pour Azure Stack Edge Pro. La clé privée doit être définie pour l’attribut de clé Ordinateur local.
Le chiffrement PFX du certificat doit être 3DES. Il s’agit du chiffrement par défaut utilisé en cas d’exportation à partir d’un client Windows 10 ou d’un magasin de certificats Windows Server 2016. Pour plus d’informations sur 3DES, consultez Triple DES.
Les fichiers PFX de certificat doivent disposer de valeurs Signature numérique et KeyEncipherment valides dans le champ Utilisation de la clé.
Les fichiers PFX de certificat doivent avoir les valeurs Authentification du serveur (1.3.6.1.5.5.7.3.1) et Authentification du client (1.3.6.1.5.5.7.3.2) dans le champ Utilisation avancée de la clé.
Les mots de passe de tous les fichiers PFX de certificat doivent être identiques au moment du déploiement si vous vous servez de l’Outil Azure Stack Readiness Checker. Pour plus d’informations, consultez Créer des certificats pour votre Azure Stack Edge Pro à l’aide de l’Outil Azure Stack Hub Readiness Checker.
Le mot de passe pour le fichier PFX de certificat doit être un mot de passe complexe. Notez ce mot de passe, car vous allez l’utiliser comme paramètre de déploiement.
Utilisez uniquement les certificats RSA associés au Fournisseur de services de chiffrement Microsoft RSA/Schannel.
Pour plus d’informations, consultez Exporter des certificats PFX avec une clé privée.
Étapes suivantes
Créer des certificats pour votre appareil