Osvědčené postupy po instalaci

  • Článek

 

Platí pro: Windows Azure Pack

Po instalaci sady Windows Azure Pack pro Windows Server proveďte následující osvědčené postupy.

Nahrazení nedůvěryhodných certifikátů podepsaných svým držitelem důvěryhodnými certifikáty

Každá součást sady Azure Pack Windows je nainstalovaná na webu Internetová informační služba (IIS), který je ve výchozím nastavení nakonfigurovaný s certifikátem podepsaným svým držitelem. Protože tyto certifikáty podepsané svým držitelem nejsou vydány některou z důvěryhodných kořenových certifikačních autorit, které prohlížeč načte při spuštění, zobrazí prohlížeč při pokusu o připojení k některému z webů bezpečnostní výstrahu. Abyste se vyhnuli tomuto prostředí, doporučujeme nahradit certifikáty podepsané svým držitelem, které používají web MgmtSvc-TenantSite (portál pro správu pro tenanty) a MgmtSvc-TenantPublicAPI jako veřejně přístupné služby certifikáty, které vydává důvěryhodná kořenová certifikační autorita. MgmtSvc-AdminSite (portál pro správu pro správce) může také těžit z nahrazení certifikátu podepsaného svým držitelem.

Poznámka

Ve výchozím nastavení služby, ke kterým uživatelé nemají přístup, jako jsou rozhraní API a poskytovatelé prostředků, ignorují chyby ověření certifikátu. Ke službám se přistupuje prostřednictvím vlastnosti ServicePointManager.ServerCertificateValidationCallback. Pokud tato akce představuje problém se zabezpečením, můžete certifikáty podepsané svým držitelem nahradit platným certifikátem vystaveným rozpoznanou certifikační autoritou a vypnout ověřovací přepsání nebo nastavit hodnotu na false.

Nastavení konfigurace, které řídí toto přepsání ověření, jsou v souboru Web.config jednotlivých webů následujícím způsobem:

  • Portál pro správu pro správce a portál pro správu pro tenanty, MgmtSvc-AdminSite a MgmtSvc-TenantSite:

    <konfigurace>

      <Appsettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </konfigurace>

  • Pro weby rozhraní API pro správu služeb , MgmtSvc-AdminAPI, MgmtSvc-TenantAPI a MgmtSvc-TenantPublicAPI:

    <konfigurace>

      <Appsettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </konfigurace>

Pro každý z těchto klíčů je výchozí hodnota true. Uděluje oprávnění k používání nedůvěryhodných certifikátů, takže pokud je hodnota nastavená na false, použití nedůvěryhodných certifikátů je zakázáno.

Důležité

Oddíl </appSettings> souborů Web.config jsou ve výchozím nastavení šifrované. Pokud chcete upravit <oddíl /appSettings> Web.config souborů, musíte soubor dešifrovat, použít změny a potom soubory znovu zašifrovat. Pokud chcete dešifrovat a znovu zašifrovat Web.config soubory, spusťte následující rutiny Windows PowerShell na počítači, kde se nachází soubor Web.config:

  • Dešifrování: Unprotect-MgmtSvcConfiguration –Obor názvů <>

  • Opětovné šifrování: Protect-MgmtSvcConfiguration – obor názvů <>

Kde <obor názvů> je jedna z následujících možností:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • Web pro správu

  • Lokalita tenanta