Azure IaaS VM 上使用擴充功能的多個憑證

  • 發行項

本文討論如何處理在使用擴充功能的 Microsoft Azure 基礎結構即服務 (IaaS) 虛擬機 (VM) 上產生多個憑證的問題。

徵狀

此問題的徵兆會根據您用於 IaaS VM 的平臺而有所不同,如下表所示。

IaaS VM 平臺 徵狀
Windows 當您流覽 Microsoft Management Console 的 [憑證] 嵌入式管理單元時,您會發現許多具有 Windows Azure CRP 憑證產生器主體名稱的憑證。 (在傳統 RedDog 前端 (RDFE) VM 上,憑證的主體名稱為 Windows Azure Service Management for Extensions.)
Linux /var/lib/waagent 資料夾中,您會發現數個檔案的名稱包含 40 個十六進位數位,而 .crt (憑證) 擴展名 (例如 0123456789ABCDEF0123456789ABCDEF01234567.crt) 。

針對 Windows VM,請參閱下一節以瞭解如何驗證這些徵兆。

Windows

在 Windows 中,如果您檢視 C:\WindowsAzure\logs\WaAppAgent.log 記錄檔,您會注意到類似下列文字的模式:

[01/16/2017 21:42:25.50] [INFO]  Imported Certificate: DC=Windows Azure CRP Certificate Generator.
[01/16/2017 21:42:25.50] [INFO]  Certificate thumbprint: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9.
[01/16/2017 21:42:25.50] [INFO]  Certificate 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 is found.
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash FC2FFCDEE6A8C6033EE4986B4D5080E3E2083CC9.
...
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1E1A0BF89A1FDD0722F4F94083A6CCDF94EFC78A.
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9.
[01/16/2017 21:42:25.50] [INFO]  Certificate 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 is found.
[01/16/2017 21:42:25.50] [INFO]  Certificate with the subject: DC=Windows Azure CRP Certificate Generator will not be added because it already exists in the store.
[01/16/2017 21:42:25.50] [INFO]  Successfully imported cert TenantEncryptionCert into the store My

如果您看到這種模式,請遵循下列步驟來確認您有多個具有相同主體名稱的憑證:

  1. 在 [Windows 開始 ] 功能表上,搜尋並選 取 [MMC.exe ],以開啟 Microsoft Management Console。

  2. 在 Microsoft Management Console 的 [ 檔案 ] 功能表上,選取 [ 新增/移除嵌入式管理單元]

  3. 在 [ 新增或移除嵌入式 管理單元] 對話方塊的 [ 可用的嵌入式管理單元] 清單下,選取 [ 憑證],然後選取 [ 新增 ] 按鈕。

  4. 在 [ 憑證嵌入式 管理單元] 對話框中,選取 [ 計算機帳戶],然後選取 [ 下一個>完成]

  5. 在 [ 新增或移除嵌入式 管理單元] 對話框中,選取 [ 確定] 按鈕。

  6. 在控制台樹中,展開 [ 憑證 (本機計算機) ],展開 [ 個人],然後選取 [ 憑證]。 憑證清單隨即出現。 如果您使用傳統 RDFE VM) ,則所有憑證都有 Windows Azure CRP 憑證產生器 (或適用於擴充功能的 Windows Azure 服務管理的數據行值。

原因:每天停止和啟動 VM

如果您每天停止並啟動 VM,可能會發生多重憑證問題。 當您以這種方式使用 VM 時,必須在每個 VM 重新啟動之後發出新的憑證。

解決方案 1:刪除舊的憑證

您可以刪除舊的憑證,並只保留最新的憑證。 VM 代理程式會視需要自動重新建立憑證。

解決方案 2:更新 VM 代理程式

您可以更新為較新版本的 VM 代理程式,以便自動刪除舊的憑證。 如需詳細資訊,請參閱下表。

VM 作業系統 連結至 VM 代理程式安裝指示
Windows Azure Windows VM 代理程式概觀
Linux Azure Linux VM 代理程式概觀

參考資料

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群