インストール後のベスト プラクティス

  • [アーティクル]

 

適用対象: Azure Pack Windows

Windows Azure Pack for Windows Server をインストールした後、次のベスト プラクティスを実行します。

信頼されていない自己署名証明書を信頼されている証明書に置き換える

各Windows Azure Pack コンポーネントは、既定で自己署名証明書で構成されているインターネット インフォメーション サービス (IIS) Web サイトにインストールされます。 これらの自己署名証明書は、ブラウザーの起動時に読み込まれる信頼されたルート証明機関から発行されていないため、いずれかのサイトに接続しようとすると、ブラウザーにセキュリティの警告が表示されます。 このエクスペリエンスを回避するには、 MgmtSvc-TenantSite (テナント の管理ポータル) と MgmtSvc-TenantPublicAPI によって公開されているサービスとして使用される自己署名証明書を、信頼されたルート証明機関によって発行された証明書に置き換えることをお勧めします。 MgmtSvc-AdminSite (管理者向けの管理ポータル) は、自己署名証明書を置き換えるメリットもあります。

注意

既定では、API やリソース プロバイダーなど、ユーザーがアクセスしないサービスは証明書の検証のエラーを無視します。 サービスには、 ServicePointManager.ServerCertificateValidationCallback プロパティを使用してアクセスします。 このアクションにセキュリティ上の懸念がある場合は、信頼されていない自己署名証明書を、認識された証明機関が発行する有効な証明書に置き換えて、検証のオーバーライドをオフにするか、値を false に設定することができます。

検証のオーバーライドを制御する構成設定は、次に示す各 Web サイトの Web.config ファイルにあります。

  • 管理者用の管理ポータルとテナント用の管理ポータルの 場合、MgmtSvc-AdminSiteMgmtSvc-TenantSite:

    <構成>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • サービス管理の API Web サイトの場合 (MgmtSvc-AdminAPIMgmtSvc-TenantAPI、および MgmtSvc-TenantPublicAPI):

    <構成>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

これらの各キーの既定値は true です。 これにより信頼されていない証明書を使用するアクセス許可が付与されるため、この値を false に設定すると、信頼されていない証明書の使用が許可されなくなります。

重要

<Web.config ファイルの /appSettings> セクションは、既定で暗号化されます。 Web.config ファイルの </appSettings> セクションを変更するには、ファイルの暗号化を解除し、変更を適用してから、ファイルを再暗号化する必要があります。 Web.config ファイルの暗号化解除および再暗号化を行うには、Web.config ファイルがあるコンピューターで次の Windows PowerShell コマンドレットを実行します。

  • 復号化するには: Unprotect-MgmtSvcConfiguration –Namespace 名前空間<>

  • 再暗号化するには: Protect-MgmtSvcConfiguration –Namespace 名前空間<>

名前空間<>は次のいずれかです。

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite