Renouveler des certificats pour le contrôleur de réseau

Article
05/15/2024

S’applique à : Azure Stack HCI, versions 23H2 et 22H2 ; Windows Server 2022 et Windows Server 2019

Cet article fournit des instructions sur le renouvellement ou la modification des certificats de contrôleur de réseau, automatiquement et manuellement. Si vous rencontrez des problèmes lors du renouvellement de vos certificats de contrôleur de réseau, contactez Support Microsoft.

Dans votre infrastructure SDN (Software Defined Networking), le contrôleur de réseau utilise une authentification basée sur des certificats pour sécuriser les canaux de communication vers les composants de niveau supérieur avec des clients de gestion et des communications vers les composants de niveau inférieur avec des appareils réseau, tels que le logiciel Load Balancer. Les certificats du contrôleur de réseau sont fournis avec une certaine période de validité, au-delà de laquelle ils deviennent non valides et ne peuvent plus être utilisés. Nous vous recommandons vivement de les renouveler avant leur expiration.

Pour obtenir une vue d’ensemble du contrôleur de réseau, consultez Qu’est-ce que le contrôleur de réseau ?

Quand renouveler ou modifier des certificats de contrôleur de réseau

Vous pouvez renouveler ou modifier des certificats de contrôleur de réseau quand :

Les certificats arrivent à expiration. Vous pouvez en effet renouveler des certificats de contrôleur de réseau à tout moment avant leur expiration.

Notes

Si vous renouvelez des certificats existants avec la même clé, vous n’avez rien de plus à faire.
Vous souhaitez remplacer un certificat auto-signé par un certificat signé par une autorité de certification.

Notes

Lors d’un changement de certificat, veillez à utiliser le même nom d’objet que l’ancien certificat.

Types de certificats du contrôleur de réseau

Dans Azure Stack HCI, chaque machine virtuelle du contrôleur de réseau utilise deux types de certificats :

Certificat REST. Certificat unique pour les communications vers les composants de niveau supérieur avec les clients REST (comme Windows Admin Center) et pour les communications vers les composants de niveau inférieur avec les hôtes Hyper-V et les équilibreurs de charge logiciels. Ce même certificat est présent sur toutes les machines virtuelles du contrôleur de réseau. Pour renouveler des certificats REST, consultez la section Renouveler des certificats REST.
Certificat de nœud du contrôleur de réseau. Certificat sur chaque machine virtuelle du contrôleur de réseau pour l’authentification entre nœuds. Pour renouveler les certificats de nœud du contrôleur de réseau, consultez la section Renouveler des certificats de nœud.

Avertissement

Ne laissez pas ces certificats expirer. Renouvelez-les avant l’expiration pour éviter tout problème d’authentification. En outre, ne supprimez aucun certificat expiré existant avant de les renouveler. Pour connaître la date d’expiration d’un certificat, consultez Afficher l’expiration du certificat.

Afficher l’expiration du certificat

Utilisez la cmdlet suivante sur chaque machine virtuelle du contrôleur de réseau pour vérifier la date d’expiration d’un certificat :

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

Pour obtenir l’expiration d’un certificat REST, remplacez « Certificate-subject-name » par restIPAddress ou RestName du contrôleur de réseau. Vous pouvez obtenir cette valeur à partir de la cmdlet Get-NetworkController.
Pour obtenir l’expiration d’un certificat de nœud, remplacez « Certificate-subject-name » par le nom de domaine complet (FQDN) de la machine virtuelle du contrôleur de réseau. Vous pouvez obtenir cette valeur à partir de la cmdlet Get-NetworkController.

Renouveler les certificats de contrôleur de réseau

Vous pouvez renouveler vos certificats de contrôleur de réseau automatiquement ou manuellement.

Renouvellement automatique
Renouvellement manuel

L’applet Start-SdnCertificateRotation de commande vous permet d’automatiser le renouvellement de vos certificats de contrôleur de réseau. Le renouvellement automatique des certificats permet de réduire les temps d’arrêt ou les pannes non planifiées causées par des problèmes d’expiration de certificat.

Voici les scénarios dans lesquels vous pouvez utiliser l’applet de Start-SdnCertificateRotation commande pour renouveler automatiquement les certificats de contrôleur de réseau :

Certificats auto-signés. Utilisez l’applet de Start-SdnCertificateRotation commande pour générer des certificats auto-signés et renouveler ces certificats dans tous les nœuds du contrôleur de réseau.
Apportez votre propre certificat. Vous apportez vos propres certificats, auto-signés ou signés par l’autorité de certification, et vous utilisez l’applet de commande pour le Start-SdnCertificateRotation renouvellement des certificats. L’applet de commande installe les certificats sur tous les nœuds du contrôleur de réseau et les distribue à d’autres composants d’infrastructure SDN.
Certificats préinstallés. Les certificats requis sont déjà installés sur les nœuds du contrôleur de réseau. Utilisez l’applet de Start-SdnCertificateRotation commande pour renouveler ces certificats auprès d’autres composants d’infrastructure SDN.

Pour plus d’informations sur la création et la gestion des certificats SDN, consultez Gérer les certificats pour la mise en réseau à définition logicielle.

Configuration requise

Voici les conditions requises pour le renouvellement automatique du certificat :

Vous devez exécuter l’applet de Start-SdnCertificateRotation commande sur l’un des nœuds du contrôleur de réseau. Pour obtenir des instructions d’installation, consultez Installer le module SdnDiagnostics.
Vous devez disposer des informations d’identification des deux types de comptes suivants pour autoriser la communication entre les nœuds du contrôleur de réseau :
- Credential pour spécifier un compte d’utilisateur avec des privilèges d’administrateur local sur le contrôleur de réseau.
- NcRestCredential pour spécifier un compte d’utilisateur avec accès à l’API REST du contrôleur de réseau. Il s’agit d’un membre de ClientSecurityGroupGet-NetworkController. Ce compte est utilisé pour appeler l’API REST afin de mettre à jour la ressource d’informations d’identification avec le nouveau certificat.
Pour plus d’informations sur la configuration de l’autorisation pour la communication northbound du contrôleur de réseau, consultez Autorisation pour la communication northbound.

Renouveler automatiquement des certificats auto-signés

Vous pouvez utiliser l’applet de Start-SdnCertificateRotation commande pour générer de nouveaux certificats auto-signés et les renouveler automatiquement à tous les nœuds du contrôleur de réseau. Par défaut, l’applet de commande génère des certificats avec une période de validité de trois ans, mais vous pouvez spécifier une autre période de validité.

Effectuez ces étapes sur l’un des nœuds du contrôleur de réseau pour générer des certificats auto-signés et les renouveler automatiquement :

Pour générer des certificats auto-signés, exécutez l’applet de Start-SdnCertificateRotation commande. Vous pouvez utiliser le -Force paramètre avec l’applet de commande pour éviter toute invite de confirmation ou d’entrées manuelles pendant le processus de rotation.
- Pour générer des certificats auto-signés avec la période de validité de trois ans par défaut, exécutez les commandes suivantes :
```
Import-Module -Name SdnDiagnostics -Force
Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
```
- Pour générer des certificats auto-signés avec une période de validité spécifique, utilisez le NotAfter paramètre pour spécifier la période de validité.
  
  Par exemple, pour générer des certificats auto-signés avec une période de validité de cinq ans, exécutez les commandes suivantes :
```
Import-Module -Name SdnDiagnostics -Force
Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
```
Entrez les informations d’identification. Vous recevez deux invites pour fournir deux types d’informations d’identification :
- Dans la première invite, entrez le mot de passe pour protéger le certificat généré. Le nom d’utilisateur peut être n’importe quoi et n’est pas utilisé.
- Dans la deuxième invite, utilisez les informations d’identification qui disposent d’un accès administrateur à tous les nœuds du contrôleur de réseau.
Une fois les nouveaux certificats générés, vous recevez un avertissement pour confirmer si vous souhaitez poursuivre le processus de rotation des certificats. Le texte d’avertissement affiche la liste des certificats de contrôleur de réseau qui seront remplacés par les certificats nouvellement générés. Tapez Y pour confirmer.

Voici un exemple de capture d’écran de l’avertissement :
Une fois que vous avez confirmé la poursuite de la rotation des certificats, vous pouvez afficher les status des opérations en cours dans la fenêtre de commande PowerShell.

Important

Ne fermez pas la fenêtre PowerShell tant que l’applet de commande n’est pas terminée. Selon votre environnement, comme le nombre de nœuds de contrôleur de réseau dans le cluster, la fin peut prendre plusieurs minutes ou plus d’une heure.

Voici un exemple de capture d’écran de la fenêtre de commande PowerShell montrant le status des opérations en cours :

Renouveler automatiquement vos propres certificats

En plus de générer des certificats de contrôleur de réseau auto-signés, vous pouvez également apporter vos propres certificats, auto-signés ou signés par l’autorité de certification, et utiliser l’applet de Start-SdnCertificateRotation commande pour renouveler ces certificats.

Effectuez ces étapes sur l’un des nœuds du contrôleur de réseau pour renouveler automatiquement vos propres certificats :

Préparez vos certificats au .pfx format et enregistrez-les dans un dossier sur l’un des nœuds du contrôleur de réseau à partir duquel vous exécutez l’applet de Start-SdnCertificateRotation commande. Vous pouvez utiliser le -Force paramètre avec l’applet de commande pour éviter toute invite de confirmation ou d’entrées manuelles pendant le processus de rotation.

Pour démarrer le renouvellement de certificat, exécutez les commandes suivantes :

Import-Module -Name SdnDiagnostics -Force
Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)

Entrez les informations d’identification. Vous recevez deux invites pour fournir deux types d’informations d’identification :
- Dans la première invite, entrez le mot de passe de votre certificat. Le nom d’utilisateur peut être n’importe quoi et n’est pas utilisé.
- Dans la deuxième invite, utilisez les informations d’identification qui disposent d’un accès administrateur à tous les nœuds du contrôleur de réseau.
Vous recevez un avertissement pour confirmer si vous souhaitez poursuivre le processus de rotation des certificats. Le texte d’avertissement affiche la liste des certificats de contrôleur de réseau qui seront remplacés par ceux qui viennent d’être générés. Tapez Y pour confirmer.

Voici un exemple de capture d’écran de l’avertissement :
Après avoir confirmé la poursuite de la rotation des certificats, vous pouvez afficher les status des opérations en cours dans la fenêtre de commande PowerShell.

Important

Ne fermez pas la fenêtre PowerShell tant que l’applet de commande n’est pas terminée. Selon votre environnement, par exemple le nombre de nœuds de contrôleur de réseau dans le cluster, la fin peut prendre plusieurs minutes ou plus d’une heure.

Renouveler automatiquement les certificats préinstallés

Dans ce scénario, les certificats requis sont installés sur les nœuds du contrôleur de réseau. Utilisez l’applet Start-SdnCertificateRotation de commande pour renouveler ces certificats sur d’autres composants d’infrastructure SDN.

Effectuez ces étapes sur l’un des nœuds du contrôleur de réseau pour renouveler automatiquement les certificats préinstallés :

Installez les certificats du contrôleur de réseau sur tous les nœuds du contrôleur de réseau selon votre méthode préférée. Vérifiez que les certificats sont approuvés par d’autres composants d’infrastructure SDN, notamment les serveurs SDN MUX et les hôtes SDN.
Create configuration de la rotation des certificats :
1. Pour générer la configuration de rotation des certificats par défaut, exécutez les commandes suivantes :
```
Import-Module -Name SdnDiagnostics -Force
$certConfig = New-SdnCertificateRotationConfig
$certConfig
```
2. Passez en revue la configuration de rotation des certificats par défaut pour vérifier si les certificats détectés automatiquement sont ceux que vous souhaitez utiliser. Par défaut, il récupère le dernier certificat émis à utiliser.
  
  Voici un exemple de configuration de rotation de certificat :
```
PS C:\Users\LabAdmin> $certConfig

Name					Value
----					-----
ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
ClusterCredentialType 		X509
ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
```
  où :
  - ws22ncx.corp.contoso.com affiche l’empreinte numérique du certificat pour chaque nœud du contrôleur de réseau.
  - ClusterCredentialType affiche le type d’authentification cluster du contrôleur de réseau. Si le type d’authentification n’est pas X509, le certificat de nœud n’est pas utilisé et n’est pas affiché dans la sortie.
  - NcRestCert affiche l’empreinte numérique du certificat REST du contrôleur de réseau.
3. (Facultatif) Si le généré $certConfig n’est pas correct, vous pouvez le modifier en spécifiant l’empreinte numérique d’un nouveau certificat. Par exemple, pour modifier l’empreinte numérique du certificat REST du contrôleur de réseau, exécutez la commande suivante :
```
$certConfig.NcRestCert = <new certificate thumbprint>
```
Démarrez la rotation des certificats. Vous pouvez utiliser le -Force paramètre avec l’applet de commande pour éviter toute invite de confirmation ou d’entrées manuelles pendant le processus de rotation.
```
Import-Module -Name SdnDiagnostics -Force
Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
```
Lorsque vous êtes invité à entrer des informations d’identification, entrez les informations d’identification qui disposent d’un accès administrateur à tous les nœuds du contrôleur de réseau.
Vous recevez un avertissement pour confirmer si vous souhaitez poursuivre la rotation automatique des certificats. L’avertissement affiche la liste des certificats de contrôleur de réseau qui seront remplacés par vos propres certificats. Tapez Y pour confirmer.

Voici un exemple de capture d’écran de l’avertissement qui vous invite à confirmer la rotation des certificats :
Après avoir confirmé la poursuite de la rotation des certificats, vous pouvez afficher les status des opérations en cours dans la fenêtre de commande PowerShell.

Important

Ne fermez pas la fenêtre PowerShell tant que l’applet de commande n’est pas terminée. Selon votre environnement, par exemple le nombre de nœuds de contrôleur de réseau dans le cluster, la fin peut prendre plusieurs minutes ou plus d’une heure.

Utilisez les instructions suivantes pour renouveler manuellement les certificats REST et les certificats de nœud du contrôleur de réseau.

Important

Si vos certificats de contrôleur de réseau ont déjà expiré, suivez les instructions de la section renouvellement automatique pour renouveler les certificats.

Renouveler des certificats REST

Vous devez utilisez le certificat REST du contrôleur de réseau pour :

La communication vers les composants de niveau supérieur avec des clients REST
Le chiffrement des informations d’identification
La communication vers les composants de niveau inférieur avec les hôtes et les machines virtuelles Load Balancer logicielles

Lorsque vous mettez à jour un certificat REST, vous devez mettre à jour les clients de gestion et les périphériques réseau pour utiliser le nouveau certificat.

Pour renouveler un certificat REST, procédez comme suit :

Assurez-vous que le certificat sur les machines virtuelles du contrôleur de réseau n’a pas expiré avant de le renouveler. Consultez la section Afficher l’expiration du certificat.
Procurez-vous le nouveau certificat et placez-le dans le magasin personnel de l’ordinateur local (LocalMachine\My). S’il s’agit d’un certificat auto-signé, placez-le dans le magasin racine (LocalMachine\Root) de chaque machine virtuelle du contrôleur de réseau. Pour plus d’informations sur la création d’un certificat ou son émission à partir d’une autorité de certification, consultez Gérer les certificats pour la mise en réseau définie par logiciel.

Attribuez le nouveau certificat à une variable :

$cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}

Copiez le certificat sur toutes les machines virtuelles du contrôleur de réseau.

Fournissez des autorisations de lecture et d’autorisation pour l’autorité NT/le service réseau sur le certificat :

$targetCertPrivKey = $Cert.PrivateKey
$privKeyCertFile = Get-Item -path
"$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
$privKeyAcl = Get-Acl $privKeyCertFile
$permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
$accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
$privKeyAcl.AddAccessRule($accessRule)
Set-Acl $privKeyCertFile.FullName $privKeyAcl

(Uniquement pour le certificat auto-signé) Copiez la clé publique du certificat sur tous les ordinateurs hôtes et les machines virtuelles Load Balancer logicielles.
Modifiez les paramètres du contrôleur de réseau pour utiliser le nouveau certificat.

Copier le certificat sur toutes les machines virtuelles du contrôleur de réseau

Suivez ces étapes pour copier un certificat sur toutes les machines virtuelles du contrôleur de réseau.

Procurez-vous le nouveau certificat et placez-le dans le magasin personnel de l’ordinateur local (My – cert:\localmachine\my).

Sur la première machine virtuelle du contrôleur de réseau, exportez le certificat dans un fichier PFX (Personal Information Exchange).

$mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
# Here, $cert is the new certificate

Sur les autres machines virtuelles du contrôleur de réseau, importez le certificat et les clés privées à partir d’un fichier PFX dans le magasin de destination :

$mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
# Ensure that you copy the pfx file into the local machine before importing the cert

Copiez la clé publique du certificat sur tous les ordinateurs hôtes et les machines virtuelles Load Balancer logicielles (uniquement pour le certificat auto-signé)

Si vous utilisez un certificat auto-signé, placez-le dans le magasin racine de l’ordinateur local (LocalMachine\Root) pour chacun des composants suivants :

Chaque machine virtuelle du contrôleur de réseau.
Chaque machine hôte Azure Stack HCI et chaque machine virtuelle Load Balancer logicielle. Cela garantit que le certificat est approuvé par les entités homologues.

Voici un exemple de commande permettant d’importer la clé publique de certificat qui a déjà été exportée :

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Modifier les paramètres du contrôleur de réseau pour utiliser le nouveau certificat

Modifiez les paramètres du nœud du contrôleur de réseau, du cluster et de l’application pour utiliser le nouveau certificat.

Pour la communication vers les composants de niveau supérieur

Pour modifier le certificat utilisé par le contrôleur de réseau pour la communication vers les composants de niveau supérieur, exécutez la commande suivante sur l’une des machines virtuelles du contrôleur de réseau :

Set-NetworkController -ServerCertificate \$cert

Pour le chiffrement des informations d’identification

Pour modifier le certificat utilisé par le contrôleur de réseau pour chiffrer les informations d'identification, exécutez la commande suivante sur l’une des machines virtuelles du contrôleur de réseau :

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Pour la communication vers les composants de niveau inférieur

Pour modifier le certificat utilisé par le contrôleur de réseau pour communiquer avec les hôtes et les machines virtuelles Load Balancer logicielles, exécutez la commande suivante :

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Renouveler des certificats de nœud

Pour renouveler le certificat de nœud du contrôleur de réseau, procédez comme suit sur chaque machine virtuelle du contrôleur de réseau :

Procurez-vous le nouveau certificat et placez-le dans le magasin personnel de l’ordinateur local (LocalMachine\My). S’il s’agit d’un certificat auto-signé, placez-le dans le magasin racine (LocalMachine\Root) de chaque machine virtuelle du contrôleur de réseau. Pour plus d’informations sur la création d’un certificat ou son émission à partir d’une autorité de certification, consultez Gérer les certificats pour la mise en réseau définie par logiciel.

Attribuez le nouveau certificat à une variable :

$cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}

Fournissez des autorisations de lecture et d’autorisation pour l’autorité NT/le service réseau sur le certificat :

$targetCertPrivKey = $Cert.PrivateKey
$privKeyCertFile = Get-Item -path
"$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
$privKeyAcl = Get-Acl $privKeyCertFile
$permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
$accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
$privKeyAcl.AddAccessRule($accessRule)
Set-Acl $privKeyCertFile.FullName $privKeyAcl

Exécutez la commande suivante pour modifier le certificat de nœud :

Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert

Réimporter des certificats dans Windows Admin Center

Si vous avez renouvelé le certificat REST du contrôleur de réseau et que vous utilisez Windows Admin Center pour gérer le SDN, vous devez supprimer le cluster Azure Stack HCI de Windows Admin Center et l’ajouter à nouveau. En procédant ainsi, vous vous assurez que Windows Admin Center importe le certificat renouvelé et l’utilise pour la gestion SDN.

Procédez comme suit pour réimporter le certificat renouvelé dans Windows Admin Center :

Dans Windows Admin Center, sélectionnez Gestionnaire de cluster dans le menu déroulant supérieur.
Sélectionnez le cluster que vous souhaitez supprimer, puis sélectionnez Supprimer.
Sélectionnez Ajouter, entrez le nom du cluster, puis sélectionnez Ajouter.
Une fois le cluster chargé, sélectionnez Infrastructure SDN. Cela force Windows Admin Center à réimporter automatiquement le certificat renouvelé.

Étapes suivantes

Mettre à jour l’infrastructure SDN pour Azure Stack HCI

Partager via