後續安裝最佳作法

 

適用於: Windows Azure Pack

在您安裝 Windows Server 適用的 Windows Azure Pack 之後,請執行以下最佳作法。

在 Internet Information Services (IIS) 網站上所安裝的每個 Windows Azure 組件 元件預設都會使用自我簽署憑證進行設定。由於瀏覽器啟動時會載入信任根憑證授權單位,而這些自我簽署的憑證並非由其中任何授權單位核發,因此當您嘗試連接到這些網站時,瀏覽器會顯示安全性警告。我們建議您使用信任根憑證授權單位所核發的憑證取代 MgmtSvc-TenantSite (租用戶的管理入口網站) 和 MgmtSvc-TenantPublicAPI (公開開放存取的服務) 所使用的自我簽署憑證,避免上述情況發生。此外,建議您一併替換 MgmtSvc-AdminSite (系統管理員的管理入口網站) 使用的自我簽署憑證,避免不必要的麻煩。

System_CAPS_note注意事項

根據預設,並非由使用者存取的服務 (例如,API 和資源提供者) 會忽略憑證驗證錯誤。可透過 ServicePointManager.ServerCertificateValidationCallback 屬性存取服務。如果此動作有安全性考量,您可以使用可辨識之憑證授權單位核發的有效憑證來取代未受信任的自我簽署憑證,並且關閉驗證覆寫功能,或將此值設定為 false

每個網站的 Web.config 檔案都有掌控此驗證覆寫功能的組態設定,內容如下所示:

  • 適用於系統管理員的管理入口網站和租用戶的管理入口網站、MgmtSvc-AdminSiteMgmtSvc-TenantSite

    <configuration>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • 適用於服務管理 API 網站 (MgmtSvc-AdminAPIMgmtSvc-TenantAPIMgmtSvc-TenantPublicAPI):

    <configuration>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

對於上述的每個索引鍵,預設值都是 true。它會授與使用未受信任之憑證的權限,因此當此值設定為 false 時,表示不允許使用未受信任的憑證。

System_CAPS_important重要事項

Web.config 檔案中的 </appSettings> 區段預設會經過加密。若要修改 Web.config 檔案的 </appSettings> 區段,您必須將檔案解密、套用變更,然後重新加密檔案。若要將 Web.config 檔案解密然後重新加密,請在 Web.config 檔案所在的電腦上執行下列 Windows PowerShell 指令程式:

  • 解密:Unprotect-MgmtSvcConfiguration –Namespace <namespace>

  • 重新加密:Protect-MgmtSvcConfiguration –Namespace <namespace>

<namespace> 是下列其中一項:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite

顯示: