使用扩展的 Azure IaaS VM 上的多个证书

适用于：✔️ Linux VM ✔️ Windows VM

本文介绍如何处理使用扩展的 Microsoft Azure 基础结构即服务（IaaS）虚拟机（VM）上生成多个证书的问题。

现象

此问题的症状因用于 IaaS VM 的平台而异，如下表所示。

IaaS VM 平台	现象
Windows	浏览 Microsoft 管理控制台的“证书”管理单元时，可以找到许多具有 Windows Azure CRP 证书生成器使用者名称的证书实例。 （在经典 RedDog 前端 （RDFE） VM 上，证书的使用者名称为 适用于扩展的 Windows Azure 服务管理。）
Linux	在 /var/lib/waagent 文件夹中，可以找到包含 40 个十六进制数字和 .crt （certificate） 文件扩展名（例如 ，0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF01234567.crt）的多个文件。

对于 Windows VM，请参阅以下部分，了解如何验证这些症状。

Windows

在 Windows 中，如果查看 C：\WindowsAzure\logs\WaAppAgent.log 日志文件，你会注意到类似于以下文本的模式：

[01/16/2017 21:42:25.50] [INFO]  Imported Certificate: DC=Windows Azure CRP Certificate Generator.
[01/16/2017 21:42:25.50] [INFO]  Certificate thumbprint: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9.
[01/16/2017 21:42:25.50] [INFO]  Certificate 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 is found.
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash FC2FFCDEE6A8C6033EE4986B4D5080E3E2083CC9.
...
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1E1A0BF89A1FDD0722F4F94083A6CCDF94EFC78A.
[01/16/2017 21:42:25.50] [INFO]  Comparing normalizedHash: 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 and hash 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9.
[01/16/2017 21:42:25.50] [INFO]  Certificate 1D59A4E7F60F6D978124ED7D3E177B0D6A6806C9 is found.
[01/16/2017 21:42:25.50] [INFO]  Certificate with the subject: DC=Windows Azure CRP Certificate Generator will not be added because it already exists in the store.
[01/16/2017 21:42:25.50] [INFO]  Successfully imported cert TenantEncryptionCert into the store My

如果看到此类模式，请按照以下步骤验证是否有多个具有相同使用者名称的证书：

1. 在 Windows “开始 ” 菜单上，搜索并选择MMC.exe 以打开Microsoft管理控制台。

2. 在 Microsoft管理控制台的“文件 ”菜单上，选择“ 添加/删除管理单元”。

3. 在“添加或删除管理单元”对话框中的“可用管理单元”列表中，选择“证书”，然后选择“添加”按钮。

4. 在“证书”管理单元对话框中，选择“计算机帐户”，然后选择“下一步>完成”。

5. 在 “添加或删除管理单元 ”对话框中，选择“ 确定 ”按钮。

6. 在控制台树中，展开 “证书”（本地计算机），展开 “个人”，然后选择“ 证书”。 此时会显示证书列表。 所有证书都具有 Windows Azure CRP 证书生成器的“颁发者”列值（如果使用经典 RDFE VM，则为扩展管理 Windows Azure 服务）。

原因：每天停止和启动 VM

如果每天停止并启动 VM，则可能会出现多证书问题。 以这种方式使用 VM 时，必须在每次 VM 重启后颁发新的证书。

解决方案 1：删除旧证书

可以删除旧证书，只保留最新的证书。 如果需要，VM 代理会自动重新创建证书。

解决方案 2：更新 VM 代理

可以更新到较新版本的 VM 代理，以便自动删除旧证书。 有关详细信息，请参阅下表。

VM 操作系统	指向 VM 代理安装说明的链接
Windows	Azure Windows VM 代理概述
Linux	Azure Linux VM 代理概述

参考

• 排查 Azure 中 Windows VM 上的扩展证书问题

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。