Práticas recomendadas de pós-instalação

  • Artigo

 

Aplica-se a: Windows Azure Pack

Depois de instalar o Windows Azure Pack for Windows Server, execute as práticas recomendadas a seguir.

Substituir certificados autoassinados não confiáveis por certificados confiáveis

Cada Windows componente do Azure Pack é instalado em um site do Serviços de Informações da Internet (IIS) que, por padrão, é configurado com um certificado autoassinado. Uma vez que esse certificado autoassinado não é emitido por nenhuma das autoridades de certificação de raiz confiáveis que seu navegador carrega na inicialização, seu navegador exibe um aviso de segurança quando se tenta conectar a qualquer um desses sites. Para evitar essa experiência, recomendamos substituir os certificados autoassinados que são usados pelo MgmtSvc-TenantSite (portal de gerenciamento para locatários) e MgmtSvc-TenantPublicAPI como serviços voltados para o público com certificados emitidos por uma autoridade de certificação raiz confiável. O MgmtSvc-AdminSite (portal de gerenciamento para administradores) também pode se beneficiar de uma substituição do certificado autoassinado.

Observação

Por padrão, os serviços que não são acessados por usuários, como as APIs e os provedores de recursos, ignoram os erros de validação de certificado. Os serviços são acessados por meio da propriedade ServicePointManager.ServerCertificateValidationCallback. Se essa ação representar uma preocupação de segurança, substitua os certificados autoassinados não confiáveis por um certificado válido emitido por uma autoridade de certificação reconhecida e desative a substituição de validação, ou defina o valor como false

As definições de configuração que governam essa substituição de validação estão em cada arquivo Web.config do site, da seguinte maneira:

  • Para o portal de gerenciamento para administradores e para o portal de gerenciamento para locatários, MgmtSvc-AdminSite e MgmtSvc-TenantSite:

    <Configuração>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Para sites da API de Gerenciamento de Serviços (MgmtSvc-AdminAPI, MgmtSvc-TenantAPI e MgmtSvc-TenantPublicAPI):

    <Configuração>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Para cada uma dessas chaves, o valor padrão é true. Ele concede permissão para o uso de certificados não confiáveis, portanto, quando o valor estiver definido como false, o uso de certificados não confiáveis não será permitido.

Importante

A <seção /appSettings> dos arquivos Web.config são criptografados por padrão. Para modificar a <seção /appSettings> dos arquivos Web.config, você deve descriptografar o arquivo, aplicar alterações e criptografar novamente os arquivos. Para descriptografar e criptografar novamente os arquivos Web.config, execute os seguintes cmdlets do Windows PowerShell no computador em que o arquivo Web.config está localizado:

  • Para descriptografar: Unprotect-MgmtSvcConfiguration –Namespace namespace <>

  • Para criptografar novamente: Protect-MgmtSvcConfiguration –Namespace <>

Onde <o namespace> é um dos seguintes:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite