설치 후 모범 사례

  • 아티클

 

적용 대상: Windows Azure Pack

Windows Azure Pack for Windows Server를 설치한 후 다음 모범 사례를 수행합니다.

신뢰할 수 없는 자체 서명된 인증서를 신뢰할 수 있는 인증서로 바꾸기

각 Windows Azure Pack 구성 요소는 기본적으로 자체 서명된 인증서로 구성된 IIS(인터넷 정보 서비스) 웹 사이트에 설치됩니다. 이처럼 자체 서명된 인증서는 브라우저가 시작될 때 로드하는 신뢰할 수 있는 루트 인증 기관 중 하나에서 발급된 것이 아니므로 사용자가 이러한 사이트에 연결하려는 경우 브라우저에서 보안 경고를 표시합니다. 이 환경을 방지하려면 MgmtSvc-TenantSite(테넌트에 대한 관리 포털) 및 MgmtSvc-TenantPublicAPI 에서 사용하는 자체 서명된 인증서를 신뢰할 수 있는 루트 인증 기관에서 발급한 인증서로 공개적으로 연결된 서비스로 바꾸는 것이 좋습니다. MgmtSvc-AdminSite(관리자용 관리 포털)에서는 자체 서명된 인증서를 대체할 수도 있습니다.

참고

기본적으로 API 및 리소스 공급자와 같이 사용자가 액세스하지 않는 서비스는 인증서 유효성 검사 오류를 무시합니다. ServicePointManager.ServerCertificateValidationCallback 속성을 통해 서비스에 액세스합니다. 이 작업으로 인해 보안 문제가 발생하는 경우 신뢰할 수 없는 자체 서명된 인증서를 인식된 인증 기관에서 발급된 유효한 인증서로 바꾸고 유효성 검사 재정의를 끄거나 값을 false로 설정할 수 있습니다.

이 유효성 검사 재정의를 관리하는 구성 설정은 다음과 같이 각 웹 사이트의 Web.config 파일에 있습니다.

  • 관리자용 관리 포털 및 테넌트에 대한 관리 포털의 경우 MgmtSvc-AdminSiteMgmtSvc-TenantSite:

    <구성>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • 서비스 관리 API 웹 사이트의 경우 MgmtSvc-AdminAPI, MgmtSvc-TenantAPIMgmtSvc-TenantPublicAPI:

    <구성>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

이러한 각 키의 기본값은 true입니다. 이 경우 신뢰할 수 없는 인증서를 사용할 수 있는 권한이 부여되므로, 값을 false로 설정하면 신뢰할 수 없는 인증서의 사용이 허용되지 않습니다.

중요

<Web.config 파일의 /appSettings> 섹션은 기본적으로 암호화됩니다. Web.config 파일의 /appSettings> 섹션을 수정<하려면 파일의 암호를 해독하고 변경 내용을 적용한 다음 파일을 다시 암호화해야 합니다. Web.config 파일의 암호를 해독한 다음 다시 암호화하려면 Web.config 파일이 있는 컴퓨터에서 다음 Windows PowerShell cmdlet을 실행합니다.

  • 암호 해독: Unprotect-MgmtSvcConfiguration-Namespace  네임스페 <이스>

  • 다시 암호화하려면 Protect-MgmtSvcConfiguration –네임스페이스 네임스페이스 <>

여기서 <네임스페> 이스는 다음 중 하나입니다.

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite