Come rinnovare i certificati di siti di Windows Azure Pack autenticazione

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3070790
Sintomi
Si supponga che l'installazione predefinita di Windows Azure Pack utilizza i certificati autofirmati. Se i certificati autofirmati del sito di autenticazione admin (WindowsAuthSite) e del sito di autenticazione tenant (AuthSite) non vengono sostituiti da molto tempo, i certificati scadono e l'autenticazione non riesce.

Workaround
Per ovviare a questo problema, rinnovare i certificati di siti di Windows Azure Pack l'autenticazione. A tale scopo, eseguire un file di script Windows PowerShell nei server di cui sono installati i WindowsAuthSite e i ruoli di AuthSite. Vengono eseguiti i comandi di script nel file di script, come illustrato nell'esempio riportato di seguito:
# Make sure that you run the command on the server where you have WindowsAuthSite or the AuthSite installed.# Note: You will have to update the $Server, $userid, $password, and $PassPhrase variables. # SQL Server DNS name# Add the instance name if you are using a named instance# Examples:#       sqlserver.contoso.com#       sqlserver.contoso.com\InstanceName$Server = "sqlserver.contoso.com" # SQL user and password$userid = "sa"$password = "MyPassword" # PassPhrase that you defined during the installation of WAP.$PassPhrase = "MyWindowsAzurePackPassPhrase" $ConfigconnectionString = [string]::Format('Data Source={0};Initial Catalog=Microsoft.MgmtSvc.Config;User Id={1};Password={2};Integrated Security=false', $server, $userid, $password) # Set Namespace to AuthSite or WindowsAuthSite$NameSpace = "AuthSite"  Try{    # 1. Obtain the current signing certificate thumbprint.    $setting = Get-MgmtSvcSetting -Namespace $NameSpace -Name Authentication.SigningCertificateThumbprint    $oldThumbprint = $setting.Value     # 2. Remove the old certificate from the global config store.    $Result = Set-MgmtSvcDatabaseSetting -Namespace $NameSpace -Name Authentication.SigningCertificate -Value $Null -ConnectionString $ConfigconnectionString -PassPhrase $PassPhrase -Force -confirm:$false     # 3. Reinitialize the authentication service to generate a new signing certificate, and reconfigure.    Initialize-MgmtSvcFeature -Name $NameSpace -Passphrase $PassPhrase -ConnectionString $ConfigconnectionString -Verbose }Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error creating a new signing certificate for {0}.", $NameSpace)) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} Try{    # 4. (optional) Remove the old signing certificate that is no longer being used.    Get-Item Cert:\LocalMachine\My\$oldThumbprint | Remove-Item -Force -Verbose}Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error deleting old signing certificate.")) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} # 5. Reset services to update any (old) cached configuration.Iisreset
Status
Microsoft ha confermato che questo è un problema nei prodotti Microsoft elencati nella sezione "Si applica a".
Informazioni

Scenari in cui si è verificati in questo numero

  • Federazione tra AdminSite e WindowsAuthSite (configurazione predefinita).
  • Federazione tra TenantSite e AuthSite (configurazione predefinita).
  • Federazione tra TenantSite e Azure Active Directory Federation Services (ADFS) utilizzando AuthSite come archivio di identità.
Per informazioni su Windows Azure Pack AD ADFS, vedereConfigurare Active Directory Federation Services per Windows Azure Pack.

Dopo aver eseguito il file di script riportato nella sezione "Workaround" per creare nuovi certificati, è necessario ristabilire la relazione di trust tra il portale e i siti di autenticazione e quindi aggiornare i metadati di ADFS per AuthSite.

Note
  • Per ulteriori informazioni su come ristabilire la relazione di trust tra il portale e i siti di autenticazione, vederePorte in Windows Azure e FQDN RECONFIGURE Pack.
  • Per aggiornare i metadati di ADFS per AuthSite, aprire Gestione AD FS e quindi selezionare l'opzione di Aggiornamento da metadati di federazione .

Scenari che non sono esperto in questo numero

  • Federazione tra TenantSite e ADFS utilizzando Active Directory come archivio di identità
  • Federazione tra TenantSite e ADFS utilizzando un programma di terze parti come archivio di identità in ADFS o federazione con un altro partner federato

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3070790 - Ultima revisione: 06/19/2015 16:43:00 - Revisione: 1.0

Microsoft Azure Subscriptions, Accounts and Billing

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3070790 KbMtit
Feedback