Bewährte Methoden nach der Installation

  • Artikel

 

Gilt für: Windows Azure Pack

Nachdem Sie das Windows Azure Pack für Windows Server installiert haben, führen Sie die folgenden bewährten Methoden aus.

Ersetzen nicht vertrauenswürdiger selbstsignierter Zertifikate durch vertrauenswürdige Zertifikate

Jede Windows Azure Pack-Komponente wird auf einer Internetinformationsdienste (IIS)-Website installiert, die standardmäßig mit einem selbst signierten Zertifikat konfiguriert ist. Da diese selbstsignierten Zertifikate von keiner der vertrauenswürdigen Stammzertifizierungsstellen ausgestellt werden, die beim Start vom Browser geladen werden, zeigt der Browser eine Sicherheitswarnung an, wenn Sie eine Verbindung mit einer dieser Websites herstellen. Um diese Erfahrung zu vermeiden, empfehlen wir Ihnen, die selbst signierten Zertifikate zu ersetzen, die von der MgmtSvc-TenantSite (Verwaltungsportal für Mandanten) und MgmtSvc-TenantPublicAPI als öffentlich zugängliche Dienste mit Zertifikaten ersetzt werden, die von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt werden. Die MgmtSvc-AdminSite (Verwaltungsportal für Administratoren) kann auch von einem Ersatz des selbst signierten Zertifikats profitieren.

Hinweis

Von Diensten, auf die nicht von Benutzern zugegriffen wird, z. B. APIs und Ressourcenanbieter, werden Zertifikatüberprüfungsfehler standardmäßig ignoriert. Dienste werden über die ServicePointManager.ServerCertificateValidationCallback-Eigenschaft zugegriffen. Bei Sicherheitsbedenken können Sie die nicht vertrauenswürdigen selbstsignierten Zertifikate durch gültige, von einer anerkannten Zertifizierungsstelle ausgestellte Zertifikate ersetzen und das Überschreiben der Zertifikatüberprüfung deaktivieren oder auf false festlegen.

Sie finden die Konfigurationseinstellungen, durch die das Überschreiben der Überprüfung gesteuert wird, in der Datei Web.config jeder Website wie folgt:

  • Für das Verwaltungsportal für Administratoren und für das Verwaltungsportal für Mandanten, MgmtSvc-AdminSite und MgmtSvc-TenantSite:

    <Konfiguration>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Für die Dienstverwaltungs-API-Websites MgmtSvc-AdminAPI, MgmtSvc-TenantAPI und MgmtSvc-TenantPublicAPI:

    <Konfiguration>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Für jeden dieser Schlüssel ist der Standardwert true. Er gewährt die Berechtigung, nicht vertrauenswürdige Zertifikate zu verwenden. Wenn der Wert auf false eingestellt wird, ist die Verwendung nicht vertrauenswürdiger Zertifikate daher nicht zulässig.

Wichtig

Der <Abschnitt "/appSettings"> der Web.config Dateien ist standardmäßig verschlüsselt. Um den <Abschnitt "/appSettings> " der Web.config-Dateien zu ändern, müssen Sie die Datei entschlüsseln, Änderungen anwenden und dann die Dateien erneut verschlüsseln. Um die Datei Web.config zu entschlüsseln und anschließend wieder zu verschlüsseln, führen Sie auf dem Computer, auf dem sich die Datei Web.config befindet, folgende Windows PowerShell-Cmdlets aus:

  • So entschlüsseln Sie: Unprotect-MgmtSvcConfiguration –Namespace-Namespace <>

  • So verschlüsseln Sie: Protect-MgmtSvcConfiguration –Namespace-Namespace <>

Bei <dem Namespace> handelt es sich um eine der folgenden Aktionen:

  • MandantenPublicAPI

  • MandantenAPI

  • AdminAPI

  • AdminSite

  • Mandantenwebsite