Udostępnij za pośrednictwem

Najlepsze rozwiązania dotyczące po instalacji

  • Artykuł

 

Dotyczy: Windows Azure Pack

Po zainstalowaniu Windows Azure Pack for Windows Server wykonaj następujące najlepsze rozwiązania.

Zastępowanie niezaufanych certyfikatów z podpisem własnym zaufanymi certyfikatami

Każdy składnik Windows Azure Pack jest instalowany w witrynie internetowej Internet Information Services (IIS), która jest domyślnie skonfigurowana przy użyciu certyfikatu z podpisem własnym. Ponieważ certyfikaty z podpisem własnym nie są wydawane przez żaden z zaufanych głównych urzędów certyfikacji, których certyfikaty są ładowane do przeglądarki przy starcie, w przeglądarce zostanie wyświetlone ostrzeżenie o zabezpieczeniach podczas próby połączenia z taką witryną. Aby uniknąć tego środowiska, zalecamy zastąpienie certyfikatów z podpisem własnym, które są używane przez witrynę MgmtSvc-TenantSite (portal zarządzania dla dzierżaw) i MgmtSvc-TenantPublicAPI jako publiczne usługi z certyfikatami wystawionymi przez zaufany główny urząd certyfikacji. Witryna MgmtSvc-AdminSite (portal zarządzania dla administratorów) może również skorzystać z zastąpienia certyfikatu z podpisem własnym.

Uwaga

Domyślnie usługi, które nie są dostępne przez użytkowników, takie jak interfejsy API i dostawcy zasobów, ignorują błędy weryfikacji certyfikatu. Usługi są dostępne za pośrednictwem właściwości ServicePointManager.ServerCertificateValidationCallback. Jeśli ta akcja stanowi problem z zabezpieczeniami, możesz zastąpić niezaufane certyfikaty z podpisem własnym prawidłowym certyfikatem wystawionym przez rozpoznany urząd certyfikacji i wyłączyć zastąpienie walidacji lub ustawić wartość false.

Ustawienia konfiguracji, które zarządzają tym przesłonięciem weryfikacji, znajdują się w pliku Web.config każdej witryny internetowej w następujący sposób:

  • W portalu zarządzania dla administratorów i portalu zarządzania dla dzierżaw, MgmtSvc-AdminSite i MgmtSvc-TenantSite:

    <konfiguracja>

      <Appsettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • W przypadku witryn internetowych interfejsu API zarządzania usługami MgmtSvc-AdminAPI, MgmtSvc-TenantAPI i MgmtSvc-TenantPublicAPI:

    <konfiguracja>

      <Appsettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Dla każdego z tych kluczy wartość domyślna to true. Udziela uprawnień do używania niezaufanych certyfikatów, więc gdy wartość jest ustawiona na fałsz, użycie niezaufanych certyfikatów jest niedozwolone.

Ważne

<Sekcja /appSettings> plików Web.config są domyślnie szyfrowane. Aby zmodyfikować sekcję </appSettings> plików Web.config, należy odszyfrować plik, zastosować zmiany, a następnie ponownie zaszyfrować pliki. Aby odszyfrować i ponownie zaszyfrować pliki Web.config, uruchom następujące polecenia cmdlet Windows PowerShell na komputerze, na którym znajduje się plik Web.config:

  • Aby odszyfrować: Unprotect-MgmtSvcConfiguration —przestrzeń nazw przestrzeni nazw <>

  • Aby ponownie zaszyfrować: Protect-MgmtSvcConfiguration – przestrzeń nazw przestrzeni nazw <>

Gdzie <przestrzeń nazw> jest jedną z następujących opcji:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • Witryna administracyjna

  • Witryna dzierżawy