Best practices na installatie

  • Artikel

 

Van toepassing op: Windows Azure Pack

Nadat u het Windows Azure Pack voor Windows Server hebt geïnstalleerd, voert u de volgende aanbevolen procedures uit.

Niet-vertrouwde zelfondertekende certificaten vervangen door vertrouwde certificaten

Elk Windows Azure Pack-onderdeel wordt geïnstalleerd op een IIS-website (Internet Information Services) die standaard is geconfigureerd met een zelfondertekend certificaat. Omdat deze zelfondertekende certificaten niet zijn uitgegeven door een van de vertrouwde basiscertificeringsinstanties die uw browser laadt bij het opstarten, geeft uw browser een beveiligingswaarschuwing weer wanneer u probeert verbinding te maken met een van de sites. Om deze ervaring te voorkomen, raden we u aan de zelfondertekende certificaten te vervangen die worden gebruikt door de MgmtSvc-TenantSite (beheerportal voor tenants) en MgmtSvc-TenantPublicAPI als openbaar gerichte services met certificaten die zijn uitgegeven door een vertrouwde basiscertificeringsinstantie. De MgmtSvc-AdminSite (beheerportal voor beheerders) kan ook profiteren van een vervanging van het zelfondertekende certificaat.

Notitie

Standaard negeren services die niet worden geopend door gebruikers, zoals de API's en resourceproviders, certificaatvalidatiefouten. Services worden geopend via de eigenschap ServicePointManager.ServerCertificateValidationCallback. Als deze actie een beveiligingsprobleem vormt, kunt u de niet-vertrouwde zelfondertekende certificaten vervangen door een geldig certificaat dat is uitgegeven door een erkende certificeringsinstantie en de validatie-onderdrukking uitschakelen of de waarde op onwaar instellen.

De configuratie-instellingen die van toepassing zijn op deze validatieoverschrijven, bevinden zich als volgt in het Web.config bestand van elke website:

  • Voor de beheerportal voor beheerders en voor de beheerportal voor tenants, MgmtSvc-AdminSite en MgmtSvc-TenantSite:

    <configuratie>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Voor de Service Management API-websites, MgmtSvc-AdminAPI, MgmtSvc-TenantAPI en MgmtSvc-TenantPublicAPI:

    <configuratie>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Voor elk van deze sleutels is de standaardwaarde waar. Het verleent toestemming om niet-vertrouwde certificaten te gebruiken, dus wanneer de waarde is ingesteld op onwaar, wordt het gebruik van niet-vertrouwde certificaten niet toegestaan.

Belangrijk

De <sectie /appSettings> van de Web.config-bestanden worden standaard versleuteld. Als u de <sectie /appSettings> van de Web.config-bestanden wilt wijzigen, moet u het bestand ontsleutelen, wijzigingen toepassen en de bestanden vervolgens opnieuw versleutelen. Als u de Web.config-bestanden wilt ontsleutelen en opnieuw wilt versleutelen, voert u de volgende Windows PowerShell cmdlets uit op de computer waarop het Web.config bestand zich bevindt:

  • Ontsleutelen: Unprotect-MgmtSvcConfiguration –Namespace namespace <>

  • Opnieuw versleutelen: Protect-MgmtSvcConfiguration –naamruimtenaamruimte <>

Waar <naamruimte> een van de volgende is:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite