Поделиться через

Рекомендованные действия после установки

  • Статья

 

Область применения: Windows Azure Pack

После установки Windows Пакета Azure для Windows Server выполните следующие рекомендации.

Замените недоверенные самозаверяющие сертификаты доверенными

Каждый компонент Windows Пакета Azure устанавливается на веб-сайте службы IIS (IIS), который по умолчанию настроен с помощью самозаверяющего сертификата. Поскольку такие самозаверяющие сертификаты выпускаются недоверенными корневыми ЦС, загружаемыми браузером при запуске, браузер выводит предупреждение безопасности при попытке подключиться к таким сайтам. Чтобы избежать этого, рекомендуется заменить самозаверяющие сертификаты, используемые mgmtSvc-TenantSite (портал управления для клиентов) и MgmtSvc-TenantPublicAPI как общедоступные службы сертификатами, выданными доверенным корневым центром сертификации. MgmtSvc-AdminSite (портал управления для администраторов) также может воспользоваться заменой самозаверяющего сертификата.

Примечание

По умолчанию службы, к которым не обращаются пользователи, такие как API и поставщики ресурсов, пропускают ошибки проверки сертификатов. Доступ к службам осуществляется через свойство ServicePointManager.ServerCertificateValidationCallback. Если это действие представляет угрозу безопасности, можно заменить недоверенные самозаверяющие сертификаты действительным сертификатом, выпущенным признанным центром сертификации, и отключить переопределения проверки или назначить значение false.

Настройки конфигурации, определяющие переопределения проверки, находятся в каждом файле Web.config веб-сайта:

  • Для портала управления для администраторов и портала управления для клиентов, MgmtSvc-AdminSite и MgmtSvc-TenantSite:

    <Конфигурации>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Для веб-сайтов API управления службами MgmtSvc-AdminAPI, MgmtSvc-TenantAPI и MgmtSvc-TenantPublicAPI:

    <Конфигурации>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Для каждого из этих ключей значение по умолчанию — true. Он предоставляет разрешение использовать ненадежные сертификаты, поэтому в случае значения false использование ненадежных сертификатов запрещено.

Важно!

Раздел </appSettings> файлов Web.config шифруется по умолчанию. Чтобы изменить <раздел /appSettings> файлов Web.config, необходимо расшифровать файл, применить изменения, а затем повторно зашифровать файлы. Чтобы расшифровать и повторно зашифровать файлы Web.config, выполните следующие командлеты Windows PowerShell на том компьютере, на котором расположен файл Web.config:

  • Расшифровка: Unprotect-MgmtSvcConfiguration – <Пространство имен>

  • Для повторного шифрования: Protect-MgmtSvcConfiguration –пространство имен пространства имен <>

Где <пространство имен> является одним из следующих элементов:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite