English Français

Introduction

Introduction

There are quite a few usages for X509 certificates in Windows Azure. This blog post contains a short reminder about certificates and it explains how certificates are used with Windows Azure. Il y a un certain nombre d’utilisations classiques de certificats de type X509 avec Windows Azure. Ce billet reprend quelques informations générales sur les certificats avant de montrer comment cela s’applique avec Windows Azure.
14-NOV-2011 Update: A few other blog posts on how to manage the certificates can be found with the Windows Azure and Certificates tags on this blog màj 14-NOV-2011: quelques autres billets sur le sujets peuvent être trouvés sur ce sujet avec les tags Windows Azure et Certificates

 

A reminder about certificates

Un rappel sur les certificats

Full certificates, which are commonly stored as .pfx files on Windows, contain a key pair, i.e. a private key and a corresponding public key.
The private key is the secret (like a password) of the certificate.
The public key is ment to be known by everybody. It is used to check that the owner of the private key has the private key (without disclosing the private key itself; this is done by checking with the public key that the result of a computation that could only be done with the private key).
Les certificats complets, qui sont typiquement stokés dans des fichiers .pfx sur Windows, contiennent un bi-clef, c’est-à-dire une clef privée et la clef publique correspondante.
La clef privée est le secret (comme un mot de passe) du certificat.
La clef publique peut être connue par tout le monde. Elle sert à vérifier que le détenteur de la clef privée a la clef privée (sans dévoiler la clef elle-même; cela est fait en vérifiant avec la clef publique un calcul qui ne peut être réalisé qu’avec la clef privée).

image

 

Public key only certificates, commonly stored as .cer files on Windows, only contain the public key part or the key pair. Les certificats avec clef publique uniquement, typiquement stockés dans des fichiers .cer sur Windows, contiennent uniquement la partie publique du bi-clef.

image

 

Both certificate types contain metadata which explains what this certificate is for, who issued it (typically a certificate authority like Verisign, Thawte, GTE Cyber Trust, and others), who it was issued to (a web site for instance, …). Les deux types de certificats contiennent des métadonnées qui expliquent ce pour quoi le certificat est fait, qui l’a fourni (typiquement une autorité de certification comme Verisign, Thawte, GTE Cyber Trust, et d’autres), à qui il a été fourni (un site web par exemple, …).
The key pair is for computation.
Metadata is to explain what this computation is for. It is the same metadata for the .pfx certificate and the .cer certificate.
Le bi-clef est pour les calculs.
Les métadonnées sont là pour expliquer à quoi sert le calcul. Ce sont les mêmes métadonnées que l’on retrouve pour le certificat .pfx et le certificat .cer.
Metadata contains a field called Thumbprint which is commonly used as the certificate identity. When one wants to refer to a particular certificate, it can do it thru its thumbprint. Les métadonnées contiennent en particulier un champ appelé empreinte numérique qui est souvent utilisée comme identifiant du certificat. Quand on veut parler d’un certificat en particulier, on peut le faire via son empreinte numérique.

image 

 

Here a few common usage of certificates. Voici quelques scénarios d’usage des certificats.
A computer can sign some data with the private key, and the signature can be checked by anyone with the public key.
This is typically what an HTTPS web site does: it proves to the browser that the web site obtained a certificate for the URL it claims to be hosted on (https://www.mybank.com).
Un ordinateur signe des données avec la clef privée, et cette signature peut être vérifiée par n’importe qui disposant de la clef publique.
C’est typiquement ce qu’un site Web HTTPS fait: cela prouve au navigateur que le site a obtenu un certificat pour l’URL à laquelle il prétend se trouver (https://www.mybank.com).

image

Two computers can share secret data they encrypt with the private key: Deux ordinateurs peuvent partager un secret qu’ils chiffrent avec la clef privée:

image

A computer can encrypt some data with the public key. This data can only be decrypted by the computer holding the private key: Un ordinateur peut chiffrer des données avec la clef publique. Cette donnée peut uniquement être déchiffrée par l’ordinateur qui possède la clef privée:

image

 

Common scenarios with Windows Azure

Scenarios classiques avec Windows Azure

Here are the common scenarios for certificates with Windows Azure. Voici maitenant quelques scénarios classiques pour les certificats avec Windows Azure.
Deploy and manage Windows Azure artifacts from a workstation:
- Windows Azure has the .cer
- workstation has the .pfx
The workstation has the secret which proves to Windows Azure that it can manage the platform.
Déployer et gérer des éléments Windows Azure depuis le poste de travail:
- Windows Azure a le .cer
- le poste de travail a le .pfx
Le poste de travail détient le secret qui prouve à Windows Azure qu’il peut gérer la plateforme Windows Azure.

image 
image
(Windows Azure)

image

(Workstation)

 

Expose an HTTPS Web Site:
- Windows Azure has the .pfx
Each Web Role instance node has a copy of the certificate and can prove it thru HTTPS protocol.
Exposer un site Web HTTPS:
- Windows Azure a le .pfx
Chaque instance du Web Role a une copie du certificat et peut le prouver à travers le protocole HTTPS.

 image
(Windows Azure)

image

image

image

(Workstation)

 

Share an administrator password for Remote Desktop access.
- Windows Azure has the .pfx file
- Workstation has the .pfx file too
The remote desktop password is encrypted on the workstation so that it can be decrypted on Windows Azure to create the user while deploying.
Partager un mot de passe d’administrateur pour un accès de type bureau à distance.
- Windows Azure a le fichier .pfx
- Le poste de travail a le fichier .pfx aussi
Le mot de passe pour l’accès via le bureau à distance est chiffré sur le poste de travail de façon à pouvoir être déchiffré sur Windows Azure pour créer ce compte lors du déploiement.

image
(Windows Azure)

image
(Workstation)

 

Please also refer to
- Overview of Certificates in Windows Azure (MSDN)
- Load Balanced HTTPS on Azure
- Windows Azure + Certificates here
Voir aussi
- Vue d'ensemble des certificats dans Windows Azure (MSDN)
- HTTPS avec répartition de charge sur Azure
- Windows Azure et Certificats ici

Smile

Benjamin