Dela via

Metodtips efter installationen

  • Artikel

 

Gäller för: Windows Azure Pack

När du har installerat Windows Azure Pack för Windows Server utför du följande metodtips.

Ersätt ej betrodda självsignerade certifikat med betrodda certifikat

Varje Windows Azure Pack-komponent installeras på en Internet Information Services -webbplats (IIS) som som standard är konfigurerad med ett självsignerat certifikat. Eftersom dessa självsignerande certifikat inte har utfärdats av någon av de betrodda rotcertifikatutfärdare som webbläsaren läser in vid start, visar webbläsaren en säkerhetsvarning när du försöker ansluta till någon av webbplatserna. För att undvika den här upplevelsen rekommenderar vi att du ersätter de självsignerade certifikat som används av MgmtSvc-TenantSite (hanteringsportalen för klienter) och MgmtSvc-TenantPublicAPI som offentligt riktade tjänster med certifikat som utfärdas av en betrodd rotcertifikatutfärdare. MgmtSvc-AdminSite (hanteringsportal för administratörer) kan också dra nytta av en ersättning av det självsignerade certifikatet.

Anteckning

Som standard ignorerar tjänster som inte används av användare, till exempel API:er och resursprovidrar, certifikatverifieringsfel. Tjänster nås via egenskapen ServicePointManager.ServerCertificateValidationCallback. Om den här åtgärden utgör ett säkerhetsproblem kan du ersätta de obetrodda självsignerade certifikaten med ett giltigt certifikat som utfärdas av en erkänd certifikatutfärdare och inaktivera verifierings åsidosättningen eller ange värdet falskt.

Konfigurationsinställningarna som styr den här verifieringsidosättningen finns i varje webbplats Web.config-fil på följande sätt:

  • För hanteringsportalen för administratörer och för hanteringsportalen för klienter, MgmtSvc-AdminSite och MgmtSvc-TenantSite:

    <konfiguration>

      <appSettings>

        <add key="Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation" value="false" />

      </appSettings>

    </configuration>

  • För service management API-webbplatserna MgmtSvc-AdminAPI, MgmtSvc-TenantAPI och MgmtSvc-TenantPublicAPI:

    <konfiguration>

      <appSettings>

        <add key="DisableSslCertValidation" value="false" />

      </appSettings>

    </configuration>

För var och en av dessa nycklar är standardvärdet sant. Det ger behörighet att använda ej betrodda certifikat, så när värdet är inställt på falskt tillåts inte användning av ej betrodda certifikat.

Viktigt

Avsnittet </appSettings> i Web.config-filerna krypteras som standard. Om du vill ändra <avsnittet /appSettings> i Web.config filer måste du dekryptera filen, tillämpa ändringar och sedan kryptera filerna igen. Om du vill dekryptera och kryptera om Web.config filer kör du följande Windows PowerShell-cmdletar på den dator där Web.config filen finns:

  • Dekryptera: Unprotect-MgmtSvcConfiguration –Namespace namespace <>

  • Så här krypterar du om: Protect-MgmtSvcConfiguration – Namnområdesnamnområde <>

Där <namnområdet> är något av följande:

  • TenantPublicAPI

  • TenantAPI

  • AdminAPI

  • AdminSite

  • TenantSite