Prácticas recomendadas posteriores a la instalación

  • Artículo

 

Se aplica a: Windows Azure Pack

Después de instalar el Windows Azure Pack para Windows Server, realice los siguientes procedimientos recomendados.

Reemplazar los certificados autofirmados que no son de confianza por certificados de confianza

Cada Windows componente de Azure Pack se instala en un sitio web de Internet Information Services (IIS) que, de forma predeterminada, está configurado con un certificado autofirmado. Como estos certificados autofirmados no están emitidos por ninguna de las entidades de certificación raíz de confianza que el explorador carga en el inicio, el explorador muestra una advertencia de seguridad cuando intenta conectarse a cualquiera de los sitios. Para evitar esta experiencia, se recomienda reemplazar los certificados autofirmados que usa MgmtSvc-TenantSite (portal de administración para inquilinos) y MgmtSvc-TenantPublicAPI como servicios orientados públicamente con certificados emitidos por una entidad de certificación raíz de confianza. MgmtSvc-AdminSite (portal de administración para administradores) también puede beneficiarse de un reemplazo del certificado autofirmado.

Nota:

De forma predeterminada, los servicios a los que no tienen acceso los usuarios, como las API y los proveedores de recursos, omiten los errores de validación de certificados. Se accede a los servicios a través de la propiedad ServicePointManager.ServerCertificateValidationCallback. Si esta acción plantea algún problema de seguridad, puede reemplazar los certificados autofirmados que no son de confianza por un certificado válido emitido por una entidad de certificación reconocida y desactivar la invalidación de la validación o establecer su valor en false.

Los valores de configuración que controlan la invalidación de la validación se encuentran en el archivo Web.config de cada sitio web, como se indica a continuación:

  • Para el portal de administración para administradores y para el portal de administración para inquilinos, MgmtSvc-AdminSite y MgmtSvc-TenantSite:

    <configuración>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Para los sitios web de la API de administración de servicios, MgmtSvc-AdminAPI, MgmtSvc-TenantAPI y MgmtSvc-TenantPublicAPI:

    <configuración>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Para cada una de estas claves, el valor predeterminado es true. Esto concede permiso para usar certificados que no son de confianza, por lo que cuando el valor se establece en false, no se permite el uso de certificados que no son de confianza.

Importante

La <sección /appSettings> de los archivos de Web.config se cifra de forma predeterminada. Para modificar la <sección /appSettings> de los archivos de Web.config, debe descifrar el archivo, aplicar cambios y volver a cifrar los archivos. Para descifrar y volver a cifrar los archivos Web.config, ejecute los cmdlets de Windows PowerShell siguientes en el equipo donde se encuentra el archivo Web.config:

  • Para descifrar: Unprotect-MgmtSvcConfiguration –Espacio de nombres <>

  • Para volver a cifrar: Protect-MgmtSvcConfiguration –Espacio de nombres del espacio de nombres <>

Donde <el espacio de nombres> es uno de los siguientes:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite