安装后最佳实践

  • 项目

 

适用于:Windows Azure Pack

安装 Windows Server Windows Azure Pack 后,请执行以下最佳做法。

使用受信任证书替换不受信任的自签名证书

每个Windows Azure Pack 组件都安装在默认情况下使用自签名证书配置的Internet Information Services (IIS) 网站上。 因为自签名证书不是您的浏览器启动时加载的任何受信任的根证书颁发机构签发的,因此您的浏览器在您尝试连接到任意这些网站时将显示安全警告。 为避免这种体验,我们建议将 MgmtSvc-TenantSite (管理门户使用的自签名证书替换为租户) 和 MgmtSvc-TenantPublicAPI 作为面向公众的服务,这些证书由受信任的根证书颁发机构颁发的证书。 管理员) 的 MgmtSvc-AdminSite (管理门户还可以受益于自签名证书的替代。

注意

默认情况下,用户不访问的服务(如 API 和资源提供程序)将忽略证书验证错误。 通过 ServicePointManager.ServerCertificateValidationCallback 属性访问服务。 如果此操作存在安全隐患,可以使用认可的证书颁发机构签发的有效证书替换不受信任的自签名证书,并且关闭验证替代或将其设置为 false

管理此验证替代的配置设置位于每个网站的 Web.config 文件中,如下所示:

  • 对于管理员的管理门户,以及租户的管理门户、 MgmtSvc-AdminSiteMgmtSvc-TenantSite

    <configuration>

      <appSettings>

        <add key=“Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation” value=“false” />

      </appSettings>

    </configuration>

  • 对于服务管理 API 网站(MgmtSvc-AdminAPIMgmtSvc-TenantAPIMgmtSvc-TenantPublicAPI):

    <configuration>

      <appSettings>

        <add key=“DisableSslCertValidation” value=“false” />

      </appSettings>

    </configuration>

对于这些键,默认值为 true。 它授予使用不受信任的证书的权限,因此将该值设置为 false 时,不允许使用不受信任的证书。

重要

<默认情况下,Web.config文件的 /appSettings> 部分已加密。 若要修改 <Web.config文件的 /appSettings> 部分,必须解密文件、应用更改,然后重新加密文件。 要解密和重新加密 Web.config 文件,请在 Web.config 文件所在的计算机上运行以下 Windows PowerShell cmdlet:

  • 解密:Unprotect-MgmtSvcConfiguration –Namespace 命名空间<>

  • 若要重新加密:Protect-MgmtSvcConfiguration –Namespace <命名空间>

其中 <命名空间> 是下列项之一:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite