Meilleures pratiques postinstallation

  • Article

 

S’applique à : Windows Azure Pack

Après avoir installé le Windows Azure Pack pour Windows Server, effectuez les meilleures pratiques suivantes.

Remplacez les certificats auto-signés non approuvés par des certificats approuvés

Chaque composant Azure Pack Windows est installé sur un site web Internet Information Services (IIS) qui, par défaut, est configuré avec un certificat auto-signé. Étant donné que ces certificats auto-signés ne sont pas émis par l'une des autorités de certification racine de confiance que votre navigateur charge au démarrage, votre navigateur affiche un avertissement de sécurité quand vous essayez de vous connecter à l'un des sites. Pour éviter cette expérience, nous vous recommandons de remplacer les certificats auto-signés utilisés par mgmtSvc-TenantSite (portail de gestion pour les locataires) et MgmtSvc-TenantPublicAPI en tant que services accessibles publiquement par des certificats émis par une autorité de certification racine approuvée. Le MgmtSvc-AdminSite (portail de gestion pour les administrateurs) peut également bénéficier d’un remplacement du certificat auto-signé.

Notes

Par défaut, les services auxquels les utilisateurs n'accèdent pas, comme les API et fournisseurs de ressources, ignorent les erreurs de validation des certificats. Les services sont accessibles via la propriété ServicePointManager.ServerCertificateValidationCallback. Si cette action risque d'entraîner un problème de sécurité, vous pouvez remplacer les certificats auto-signés non approuvés par des certificats valides émis par une autorité de certification reconnue, et désactiver la priorité de validation ou définir la valeur sur false.

Les paramètres de configuration qui régissent la priorité de validation se trouvent dans chaque fichier Web.config du site Web, comme suit :

  • Pour le portail de gestion pour les administrateurs et pour le portail de gestion pour les locataires, MgmtSvc-AdminSite et MgmtSvc-TenantSite :

    <configuration>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation » value="false » />

      </appSettings>

    </configuration>

  • Pour les sites Web d'API de gestion des services (MgmtSvc-AdminAPI, MgmtSvc-TenantAPI et MgmtSvc-TenantPublicAPI) :

    <configuration>

      <appSettings>

        <add key="DisableSslCertValidation » value="false » />

      </appSettings>

    </configuration>

Pour chacune de ces clés, la valeur par défaut est true. Cela permet l'utilisation de certificats non approuvés ; donc, si vous réglez cette valeur sur false l'utilisation de certificats non approuvés est impossible.

Important

La <section /appSettings> des fichiers Web.config est chiffrée par défaut. Pour modifier la <section /appSettings> des fichiers Web.config, vous devez déchiffrer le fichier, appliquer des modifications, puis chiffrer à nouveau les fichiers. Pour déchiffrer et rechiffrer les fichiers Web.config, exécutez les applets de commande Windows PowerShell suivantes sur l'ordinateur où se trouve le fichier Web.config :

  • Pour déchiffrer : Espace de noms Unprotect-MgmtSvcConfiguration –Namespace <>

  • Pour rechiffrer : Protect-MgmtSvcConfiguration –Espace de noms <>

Où <l’espace de noms> est l’un des éléments suivants :

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite