Boas práticas pós-instalação

 

Aplica-se a: Windows Azure Pack

Depois de instalar o Windows Azure Pack para Windows Server, execute as seguintes boas práticas.

Substitua certificados auto-assinados não assinados por certificados fidedignos

Cada Windows componente Azure Pack é instalado num site Serviços de Informação Internet (IIS) que, por padrão, está configurado com um certificado auto-assinado. Como estes certificados auto-assinados não são emitidos por nenhuma das autoridades de certificação de raiz fidedignas que o browser carrega no arranque, o browser apresenta um aviso de segurança quando se tenta estabelecer ligação com qualquer um dos sites. Para evitar esta experiência, recomendamos que substitua os certificados auto-assinados que são utilizados pela MgmtSvc-TenantSite (portal de gestão para inquilinos) e mgmtSvc-TenantPublicAPI como serviços públicos por certificados emitidos por uma autoridade de certificação de raiz confiável. O MgmtSvc-AdminSite (portal de gestão para administradores) também pode beneficiar de uma substituição do certificado auto-assinado.

Nota

Por padrão, os serviços que não são acedidos pelos utilizadores, como as APIs e os fornecedores de recursos, ignoram erros de validação de certificados. Os serviços são acedidos através da Propriedade ServicePointManager.ServerCertificateValidationCallback. Se esta ação apresentar uma preocupação de segurança, pode substituir os certificados auto-assinados não assinados por um certificado válido emitido por uma autoridade de certificação reconhecida e anular a validação ou definir o valor em falso.

As definições de configuração que regem esta sobreposição de validação estão no ficheiro Web.config de cada website da seguinte forma:

  • Para o portal de gestão para administradores e para o portal de gestão para inquilinos, a MgmtSvc-AdminSite e a MgmtSvc-TenantSite:

    <configuração>

      <appSettings>

        <adicionar key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuração>

  • Para os websites da API de Gestão de Serviços, MgmtSvc-AdminAPI, MgmtSvc-TenantAPI e MgmtSvc-TenantPublicAPI:

    <configuração>

      <appSettings>

        <adicionar key="DisableSslCertValidation" valor="falso" />

      </appSettings>

    </configuração>

Para cada uma destas chaves, o valor padrão é verdadeiro. Concede autorização para a utilização de certificados não fidedqui os casos em falso, pelo que a utilização de certificados não fidedquirovados é proibida.

Importante

A <secção /appSettings dos ficheiros> Web.config são encriptados por padrão. Para modificar a <secção /appSettings dos ficheiros> Web.config, tem de desencriptar o ficheiro, aplicar alterações e, em seguida, reencrimar os ficheiros. Para desencriptar e reencrimar os ficheiros Web.config, execute os seguintes cmdlets Windows PowerShell no computador onde está localizado o ficheiro Web.config:

  • Desencriptar: Unprotect-MgmtSvcConfiguration  –Namespace namespace <namespace>

  • Para reen encriptar: Protect-MgmtSvcConfiguration –Espaço de nomes namespace <>

Onde <o espaço de> nome é um dos seguintes:

  • InquilinoPublicaPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • Local de Inquilinos