Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
reseau:cloud:azure:syncroazure:certificat

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
reseau:cloud:azure:syncroazure:certificat [2026/02/01 19:10] – créée techer.charles_educ-valadon-limoges.frreseau:cloud:azure:syncroazure:certificat [2026/02/01 21:58] (Version actuelle) – [Vérifier] techer.charles_educ-valadon-limoges.fr
Ligne 1: Ligne 1:
 ====== Proxy d'application : générer et utiliser un certificat wildcard *.domaine.fr avec Let’s Encrypt ====== ====== Proxy d'application : générer et utiliser un certificat wildcard *.domaine.fr avec Let’s Encrypt ======
 +===== Présentation =====
  
 La publication d'une application locale utilise par défaut le nom de domaine **.msappproxy.net**. La publication d'une application locale utilise par défaut le nom de domaine **.msappproxy.net**.
Ligne 5: Ligne 6:
 L'utilisation d'un nom de domaine personnalisé à la place du nom de domaine **.msappproxy.net** nécessite les démarches suivantes :  L'utilisation d'un nom de domaine personnalisé à la place du nom de domaine **.msappproxy.net** nécessite les démarches suivantes : 
   * Activer un domaine personnalisé dans Azure   * Activer un domaine personnalisé dans Azure
 +  * Configurer un CNAME dans le DNS du domaine personnalisé vers l’URL d’Azure Application Proxy. Par exemple : 
 +    * app.mondomaine.fr → app-mondomainefr.msappproxy.net
   * Téléverser dans Azure un certificat SSL correspondant au domaine personnalisé avec les caractéristiques suivantes:   * Téléverser dans Azure un certificat SSL correspondant au domaine personnalisé avec les caractéristiques suivantes:
     * Être un PFX     * Être un PFX
Ligne 13: Ligne 16:
 Les SAN sont obligatoires pour Chrome/Edge (sinon NET::ERR_CERT_COMMON_NAME_INVALID) Les SAN sont obligatoires pour Chrome/Edge (sinon NET::ERR_CERT_COMMON_NAME_INVALID)
 </WRAP> </WRAP>
 +
 +Si tout est bien configuré, Azure gère correctement HTTPS et le navigateur verra un certificat :
 +  * CN = app.mondomaine.fr
 +  * Délivré par l'Autorité de certification du domaine personnalisé
 +
 +{{ :reseau:cloud:azure:syncroazure:designer.png |}}
 +
 +<WRAP center round info>
 +Attention
 +Let’s Encrypt ne permet les certificats wildcard que via validation DNS, jamais par validation HTTP.
 +</WRAP>
 +
 +===== Installer Certbot =====
 +
 +  * Installer Python3 + venv + pip
 +
 +<code>
 +apt update && apt upgrade -y
 +apt install python3 python3-pip python3-venv
 +</code>
 +
 +  * Créer un environnement Certbot
 +
 +<code>
 +python3 -m venv /opt/certbot/
 +</code>
 +
 +  * Installer Certbot dedans
 +
 +<code>
 +/opt/certbot/bin/pip install --upgrade pip
 +/opt/certbot/bin/pip install certbot
 +</code>
 +
 +  * Créer un lien pour l’utiliser directement :
 +
 +<code>
 +ln -s /opt/certbot/bin/certbot /usr/bin/certbot
 +</code>
 +
    
 +
 +===== Lancer Certbot en mode DNS manuel (wildcard) =====
 +
 +  * Exécutez :
 +
 +<code>
 +certbot certonly --manual --preferred-challenges=dns -d *.educ-valadon-limoges.fr -d educ-valadon-limoges.fr
 +</code>
 +
 +  * Certbot affiche la chaîne TXT à placer dans votre DNS. Exemple :
 +
 +<code>
 +Créer un enregistrement :
 +Nom : _acme-challenge.domaine.fr
 +Valeur : D7Jks829skdllQWmy9fJsd9S3Xke
 +</code>
 +
 +===== Ajouter l’enregistrement DNS TXT =====
 +
 +  * Dans votre gestionnaire DNS :
 +
 +^Type^Nom^Valeur^
 +|TXT|_acme-challenge.domaine.fr|clé fournie par Certbot|
 +
 +  * Attendre 1 à 2 minutes (ou plus selon votre hébergeur DNS)
 +Ensuite, retournez dans le terminal et validez.
 +
 +===== Récupérer les fichiers générés =====
 +
 +  * Certbot génére les certificats dans **/etc/letsencrypt/live/domaine.fr/** :
 +
 +^Fichier^Rôle^
 +|fullchain.pem|Certificat complet (inclut autorités intermédiaires)|
 +|privkey.pem|Clé privée|
 +|cert.pem|Certificat individuel|
 +
 +
 +===== Convertir les fichiers en PFX pour Azure =====
 +
 +Azure exige un fichier PFX avec certificat + clé privée.
 +
 +<code>
 +openssl pkcs12 -export \
 +  -out wildcard-domaine-fr.pfx \
 +  -  -inkey /etc/letsencrypt/live/domaine.fr/privkey.pem \
 +  -   -in /etc/letsencrypt/live/domaine.fr/fullchain.pem \
 +  -   -password pass:VotreMotDePassePFX``
 +</code>
 +
 +  * Gardez le mot de passe : Azure vous le demandera.
 +
 +===== Importer le certificat dans Azure Application Proxy =====
 +
 +  * Se connecter au Azure Portal
 +  * Allez dans Entra ID → Application d'entreprise
 +  * Sélectionnez votre application publiée
 +  * Accéder à la rubrique Proxy d'application
 +  * Cliquer sur le lien de téléchargement du certificat
 +    * Téléversez wildcard-domaine-fr.pfx
 +    * Entrez le mot de passe PFX
 +  * Enregistrez
 +
 +
 +Azure utilise maintenant votre wildcard pour ce domaine.
 +
 +
 +===== Vérifier =====
 +
 +Dans le navigateur accédez à  https://app.domaine.fr
 +
 +Vous devez voir :
 +  * Icône de connexion sécurisée
 +  * Certificat émis pour : *.domaine.fr
 +  * Aucune alerte "site non sécurisé"
 + 
 +===== Configurer le renouvellement automatique du certificat =====
 +Le certificat est valide 4 mois.
 +
reseau/cloud/azure/syncroazure/certificat.1769969426.txt.gz · Dernière modification : 2026/02/01 19:10 de techer.charles_educ-valadon-limoges.fr