Como renovar certificados de sites de autenticação do Windows Azure Pack

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3070790
Sintomas
Suponha que a instalação predefinida do Windows Azure Pack utiliza certificados auto-assinados. Se os certificados auto-assinados do site de autenticação da administração (WindowsAuthSite) e do site de autenticação de Tenants (AuthSite) não são substituídos durante muito tempo, os certificados expiram e a autenticação falha.

Como contornar
Para contornar este problema, renove certificados de sites de autenticação do Windows Azure Pack. Para tal, execute um Windows PowerShell ficheiro de script em servidores onde estão instaladas o WindowsAuthSite e as funções de AuthSite. Os comandos de script são executados no ficheiro de script, como no exemplo seguinte:
# Make sure that you run the command on the server where you have WindowsAuthSite or the AuthSite installed.# Note: You will have to update the $Server, $userid, $password, and $PassPhrase variables. # SQL Server DNS name# Add the instance name if you are using a named instance# Examples:#       sqlserver.contoso.com#       sqlserver.contoso.com\InstanceName$Server = "sqlserver.contoso.com" # SQL user and password$userid = "sa"$password = "MyPassword" # PassPhrase that you defined during the installation of WAP.$PassPhrase = "MyWindowsAzurePackPassPhrase" $ConfigconnectionString = [string]::Format('Data Source={0};Initial Catalog=Microsoft.MgmtSvc.Config;User Id={1};Password={2};Integrated Security=false', $server, $userid, $password) # Set Namespace to AuthSite or WindowsAuthSite$NameSpace = "AuthSite"  Try{    # 1. Obtain the current signing certificate thumbprint.    $setting = Get-MgmtSvcSetting -Namespace $NameSpace -Name Authentication.SigningCertificateThumbprint    $oldThumbprint = $setting.Value     # 2. Remove the old certificate from the global config store.    $Result = Set-MgmtSvcDatabaseSetting -Namespace $NameSpace -Name Authentication.SigningCertificate -Value $Null -ConnectionString $ConfigconnectionString -PassPhrase $PassPhrase -Force -confirm:$false     # 3. Reinitialize the authentication service to generate a new signing certificate, and reconfigure.    Initialize-MgmtSvcFeature -Name $NameSpace -Passphrase $PassPhrase -ConnectionString $ConfigconnectionString -Verbose }Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error creating a new signing certificate for {0}.", $NameSpace)) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} Try{    # 4. (optional) Remove the old signing certificate that is no longer being used.    Get-Item Cert:\LocalMachine\My\$oldThumbprint | Remove-Item -Force -Verbose}Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error deleting old signing certificate.")) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} # 5. Reset services to update any (old) cached configuration.Iisreset
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação

Cenários que surgem neste problema

  • Federação entre AdminSite e WindowsAuthSite (predefinição).
  • Federação entre TenantSite e AuthSite (predefinição).
  • Federação entre TenantSite e Azure Active Directory Federation Services (AD FS) utilizando AuthSite como arquivo de identidade.
Para obter informações sobre o AD FS para o Windows Azure Pack, consulteConfigurar serviços de Federação do Active Directory para o Windows Azure Pack.

Depois de executar o ficheiro de script que é mencionado na secção "Como contornar" para criar novos certificados, tem de restabelecer a relação de fidedignidade entre o portal e os sites de autenticação e, em seguida, actualizar metadados de AD FS para AuthSite.

Notas
  • Para mais informações sobre como restabelecer a relação de fidedignidade entre o portal e os sites de autenticação, consulteReconfigure FQDNs e as portas num Windows Azure Pack.
  • Para actualizar os metadados de AD FS para AuthSite, abrir a gestão de AD FS e, em seguida, seleccione a opção de Actualização de metadados de Federação .

Cenários que não surgem este problema

  • Federação entre TenantSite e o AD FS através da utilização do Active Directory como arquivo de identidade
  • Federação entre TenantSite e o AD FS, utilizando um programa de terceiros como arquivo de identidade no AD FS ou federação com outro parceiro de Federação

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3070790 - Última Revisão: 06/19/2015 16:45:00 - Revisão: 1.0

Microsoft Azure Subscriptions, Accounts and Billing

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3070790 KbMtpt
Comentários