如何续订 Windows Azure 包身份验证的站点证书

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3070790
症状
假设默认安装的 Windows Azure 包使用自签名的证书。如果长时间不替换管理身份验证网站 (WindowsAuthSite) 和租户身份验证网站 (AuthSite) 的自签名的证书过期证书和身份验证失败。

替代方法
若要解决此问题工作续订 Windows Azure 包身份验证网站的证书。若要这样做运行 Windows PowerShell 脚本文件在服务器上安装了 WindowsAuthSite 和 AuthSite 的角色。在如下面的示例中所示的脚本文件中执行的脚本命令:
# Make sure that you run the command on the server where you have WindowsAuthSite or the AuthSite installed.# Note: You will have to update the $Server, $userid, $password, and $PassPhrase variables. # SQL Server DNS name# Add the instance name if you are using a named instance# Examples:#       sqlserver.contoso.com#       sqlserver.contoso.com\InstanceName$Server = "sqlserver.contoso.com" # SQL user and password$userid = "sa"$password = "MyPassword" # PassPhrase that you defined during the installation of WAP.$PassPhrase = "MyWindowsAzurePackPassPhrase" $ConfigconnectionString = [string]::Format('Data Source={0};Initial Catalog=Microsoft.MgmtSvc.Config;User Id={1};Password={2};Integrated Security=false', $server, $userid, $password) # Set Namespace to AuthSite or WindowsAuthSite$NameSpace = "AuthSite"  Try{    # 1. Obtain the current signing certificate thumbprint.    $setting = Get-MgmtSvcSetting -Namespace $NameSpace -Name Authentication.SigningCertificateThumbprint    $oldThumbprint = $setting.Value     # 2. Remove the old certificate from the global config store.    $Result = Set-MgmtSvcDatabaseSetting -Namespace $NameSpace -Name Authentication.SigningCertificate -Value $Null -ConnectionString $ConfigconnectionString -PassPhrase $PassPhrase -Force -confirm:$false     # 3. Reinitialize the authentication service to generate a new signing certificate, and reconfigure.    Initialize-MgmtSvcFeature -Name $NameSpace -Passphrase $PassPhrase -ConnectionString $ConfigconnectionString -Verbose }Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error creating a new signing certificate for {0}.", $NameSpace)) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} Try{    # 4. (optional) Remove the old signing certificate that is no longer being used.    Get-Item Cert:\LocalMachine\My\$oldThumbprint | Remove-Item -Force -Verbose}Catch{    $ErrorMessage = $_.Exception.Message    $FailedItem = $_.Exception.ItemName    write-host @([string]::Format("Error deleting old signing certificate.")) -ForegroundColor red    write-host ($FailedItem) -ForegroundColor red    write-host ($ErrorMessage) -ForegroundColor red    exit 1} # 5. Reset services to update any (old) cached configuration.Iisreset
状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题。
更多信息

此问题的经验的方案

  • AdminSite 和 WindowsAuthSite (默认配置) 之间的联盟。
  • TenantSite 和 AuthSite (默认配置) 之间的联盟。
  • 通过标识存储为 AuthSite TenantSite 和 Azure 活动目录的联合身份验证服务 (AD FS) 之间的联盟。
有关 Windows Azure 包的 AD FS 的信息请参阅配置的 Windows Azure 的 活动目录(AD) 联合身份验证服务包.

在您运行脚本文件所述的"替代方法"部分以创建新的证书后必须重新建立门户网站和身份验证的站点之间的信任,然后更新 AuthSite AD FS 的元数据。

备注:

不会出现此问题的方案

  • TenantSite 之间用作标识存储区使用 活动目录(AD) 的 AD FS 的联合身份验证
  • TenantSite 之间通过第三方程序用作标识存储在 AD FS 或与其他联盟伙伴的联盟中的 AD FS 的联合身份验证

警告:本文已自动翻译

属性

文章 ID:3070790 - 上次审阅时间:06/19/2015 16:46:00 - 修订版本: 1.0

Microsoft Azure Subscriptions, Accounts and Billing

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3070790 KbMtzh
反馈