Procedure consigliate successive all'installazione

  • Articolo

 

Si applica a: Windows Azure Pack

Dopo aver installato il Windows Azure Pack per Windows Server, seguire questa procedura consigliata.

Sostituire i certificati autofirmati non attendibili con certificati attendibili

Ogni Windows componente Azure Pack viene installato in un sito Web Internet Information Services (IIS) che, per impostazione predefinita, è configurato con un certificato autofirmato. Poiché i certificati autofirmati non vengono emessi dalle autorità di certificazione radice attendibili caricate all'avvio del browser, al momento di connettersi a uno di questi siti il browser visualizzerà un avviso di protezione. Per evitare questa esperienza, è consigliabile sostituire i certificati autofirmati usati da MgmtSvc-TenantSite (portale di gestione per i tenant) e MgmtSvc-TenantPublicAPI come servizi pubblici con certificati rilasciati da un'autorità di certificazione radice attendibile. MgmtSvc-AdminSite (portale di gestione per amministratori) può anche trarre vantaggio da una sostituzione del certificato autofirmato.

Nota

Per impostazione predefinita, gli errori di convalida dei certificati vengono ignorati dai servizi cui non accedono gli utenti, come le API e i provider di risorse. I servizi sono accessibili tramite la proprietà ServicePointManager.ServerCertificateValidationCallback. Se questa azione pone problemi di sicurezza, è possibile sostituire i certificati autofirmati non attendibili con un certificato valido emesso da un'autorità di certificazione riconosciuta e disattivare l'override della convalida oppure impostare il valore su false.

Le impostazioni di configurazione tramite cui viene gestito l'override della convalida sono contenute nel file Web.config di ogni sito Web, nel modo indicato di seguito:

  • Per il portale di gestione per gli amministratori e per il portale di gestione per i tenant, MgmtSvc-AdminSite e MgmtSvc-TenantSite:

    <configurazione>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • Per i siti Web dell'API di gestione dei servizi, MgmtSvc-AdminAPI, MgmtSvc-TenantAPI e MgmtSvc-TenantPublicAPI:

    <configurazione>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

Per ciascuna di queste chiavi, il valore predefinito è true. Poiché questo valore concede l'autorizzazione necessaria per utilizzare certificati non attendibili, quando è impostato su false l'utilizzo di certificati non attendibili non è consentito.

Importante

La <sezione /appSettings> dei file Web.config è crittografata per impostazione predefinita. Per modificare la <sezione /appSettings> dei file Web.config, è necessario decrittografare il file, applicare le modifiche e quindi crittografare nuovamente i file. Per decrittografare e crittografare nuovamente i file Web.config, eseguire i cmdlet di PowerShell indicati di seguito nel computer in cui si trovano i file Web.config:

  • Per decrittografare: Uno spazio dei nomi Unprotect-MgmtSvcConfiguration-Namespace <>

  • Per crittografare nuovamente: Protect-MgmtSvcConfiguration -Spazio dei nomi <>

Dove <spazio dei nomi> è uno dei seguenti:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite