Windows Azure Pack –重新配置门户名称、端口并使用信任的证书

原文链接:https://blogs.technet.com/b/privatecloud/archive/2013/12/10/windows-azure-pack-reconfigure-portal-names-ports-and-use-trusted-certificates.aspx

接续安装和配置Windows Azure Pack (WAP) 系列,我们现在要重新配置服务器名称和端口,还要将信任的证书分配给 WAP 门户。

这个系列的博文包括:

在这篇博文中,我们将介绍如何修改 WAP 的租户门户和管理门户的门户名称及端口。

修改完成后,我们要将来自企业 CA 的证书发布到管理门户,还要发布一个证书给租户门户。由于我没有公共 CA 证书,所以要使用来自自己企业 CA 的一个证书,但公共 CA 的概念是一样的,所以就当作我正在使用来自信任 CA (例如VeriSign等)的证书。

  

1: Windows Azure Pack 租户门户

架构

Windows Azure Pack 有不同的组件,提供了不同的功能。

查看 WAP 服务器快捷安装中安装的角色,我们可以看到 WAP 服务器上运行着长长的一列 Web 服务。

这些不同的 Web 服务在 WAP 基础结构中提供不同的角色。

在这篇博文的场景中,我们要操作以下 Web 服务:

  • WAP 租户门户服务 (MgmtSvc-TenantSite): 托管      WAP 租户门户
  • WAP 租户验证服务 (MgmtSvc-AuthSite): 托管租户的验证
  • WAP 管理门户服务 (MgmtSvc-WindowsAdminSite): 托管管理门户
  • WAP 管理员验证服务 (MgmtSvc-WindowsAuthSite): 托管管理员验证

 

      

1: WAP 服务上(快捷安装)运行的Web 站点(角色)列表

      

2: WAP 基础结构示例

当租户访问 WAP 租户门户(公开到互联网)时,他们被重定向到 WAP 租户验证服务,来验证是否允许用户访问系统,WAP 租户验证服务验证了用户之后,用户被重定向回 WAP 租户门户并可访问 WAP 服务。租户验证服务使用基于声明的验证,可以使用不同的验证方法,例如 ADFS 或 .Net。在这个场景中,我们使用默认验证 (.Net),在后续三篇博文中,来自 WAP 产品团队的 Shri 会介绍如何修改 WAP 租户验证服务,让它利用 ADFS。

在 PoC 设置中,这些服务在同一台服务器 (WAP01.contoso.com) 上运行,如"图 1 "所示。

在 WAP 管理员访问 WAP 管理门户(只能在内网访问)的时候,也会发生类似的情况,WAP 管理门户会将管理员重定向到WAP 管理员验证服务,默认使用 Windows 验证。Windows 验证服务验证了用户之后,用户重定向回 WAP 管理门户,并能访问 WAP。

场景 :

在使用 Contoso.com 概念验证(PoC)的基本设置安装和配置 Windows Azure Pack 之后,下一步是配置以下内容:

  • 修改 WAP 门户名称。
  • 配置租户门户和管理门户在 443 端口(https)运行。
  • 用企业 CA 提供的证书代替自签名的证书(从而消除由于自签名证书在 Internet Explorer 中引起的警告)。
  • 修改 WAP 租户门户使用面向内部的 url。
  • 修改 WAP 租户验证站点,使用公共 Web 地址,WAP 租户门户也使用这个地址。

 

服务器的配置如下:

角色

名称

功能

Active Directory

DC01.contoso.com

Active Directory, ADFS,证书服务器

Windows Azure Pack

WAP01.contoso.com

Windows Azure Pack 快捷安装

Service Provider Foundation

SPF01.contoso.com

Service Provider Foundation

SQL Server

DB02.contoso.com

托管 WAP 数据库的SQL 实例

Virtual Machine Manager

VMM01.contoso.com

Virtual Machine Manager 2012 R2 管理一台 Hyper-v 主机

 

门户的 DNS名称分别重命名:

  • WAP 管理门户:wapadmin.contoso.com端口: 443
  • WAP 租户门户内部:WAPCloud.contoso.com 端口: 443
  • WAP 租户验证:wapcloud.contoso.com 端口: 444

免责声明:这个环境仅用于测试。不应该将其视为生产环境的指南,这篇博文中所做的若干决策针对的也不是生产环境。

重新配置Windows Azure Pack 的门户名称

两个 WAP 门户默认(在我们的概念验证中)安装地址是:租户门户https://wap01.contoso.com:30081,管理门户 https://WAP01.contoso.com: 30091 。我们希望修改它们,使用更友好的门户名称。

要做到这点,我们需要执行以下操作:

  • 为新门户创建 DNS 记录。
  • 安装和配置企业 CA。
  • 从 CA 为 WAP Web 服务申请一个证书。
  • 修改端口,并为 WAP 服务分配证书。
  • 用新的 Web 服务修改更新 Windows Azure Pack。

 

为新门户创建 DNS 记录

要创建新的 DNS 记录,请执行以下操作:

  1. 登录 DNS 服务器。
  2. 启动 DNS Manager。
  3. 展开 dc01 > Forward Lookup Zone ><Yourdomain> (例如 contoso.com)
  4. 右键单击< Yourdomain >,选择New Host (A-Record)
  5. 提供 WAP 管理服务器的 DNS 名称和 IP 地址(例如:名称:wapadmin, IP: 192.168.1.40)

  

3: DNS manager 中创建新的 A 记录

  1. 为余下的门户创建另一个 DNS 名称(例如 wapcloud),提供 WAP01 的 IP 地址,因为在 PoC 中全部角色都安装在同一台服务器上。
  2. 验证 DNS 记录在列表中显示。

  

2: DNS Manager中的 DNS 记录列表。

  1. 关闭 DNS Manager.

 

为Windows Azure Pack 使用信任证书

要在我们的 PoC 环境中使用 CA 签名的证书,需要执行以下操作:

  • 安装 CA 服务器
  • 配置 CA 服务器
  • 从 CA 服务器申请 Web 服务器证书
  • 修改网站,使用证书。

 

安装 CA 服务器

要安装 CA 服务器,请执行以下步骤:

  1. 登录要 CA 服务器的服务器 (例如 DC01)
  2. 启动 Server Manager
  3. 选择左侧的 Dashboard
  4. 单击 Add roles and features
  5. 单击 Next,在开始之前,选择安装类型和服务器。
  6. 在 Server Roles 中,选择 Roles 下的 Active Directory Certificate Services
  7. 单击 Next,进入 features。
  8. 在 Role Services 下,选择以下内容: Certification Services, Certificate Enrolment Policy.., Certificate Enrolment Web, Certification Authority..
  9. 接受插件,单击 Next,进入 Web Role Services。
  10. 单击 Install
  11. 验证安装成功完成。

 

配置CA 服务器

请执行以下操作配置新安装的 CA 服务器:

  1. 在 CA 服务器上,以企业管理员组的用户身份启动 Server Manager。
  2. 选择左侧的 AD CS
  3. 在主窗口会显示一条消息。

  

3: Server Manager 中配置CA 服务器

       4.  单击 More。

       5. 在服务器任务细节中,单击 Configure Active Directory Cert..

       6. 选择 All Roles,配置 Web 服务之外的服务,并单击 Next.

       7. 选择 Enterprise CA

       8. 选择 Root CA。 

       9. 选择 Create a new private key并单击Next。

       10. 单击 Next,进入 cryptography。

       11. 单击 Next,进入 CA 名称,保持默认设置。

  

4: CA 服务器的 CN 名称

       12. 选择 5 年,并单击 Next

       13. 单击 Next,进入 Certificate Database

       14. 选择 Windows Integrated auth.. 并单击 Next

       15. 在 Certificate中选择 Choose and assign a certificate for SSL later,并单击 next

       16. 单击 Configure

       17. 单击 Close

 

修改网站使用证书

发放WAP 管理门户证书

来自 CAT 的 Greg 写了一篇博文,介绍了如何实现自动化。这篇博文可以在这里找到:用 Windows PowerShell 自动执行 Active Directory 证书服务--第 1 部分。

下面介绍的是手动操作的步骤:

要为 WAP 服务颁发证书,需要执行以下步骤:

  1. 以管理员身份登录 WAP 服务器(例如 wap01.contoso.com)
  2. 在 WAP 门户服务器上打开 IIS Manager
  3. 在连接下选择 IIS 服务器
  4. 在主窗口中,选择 IIS 下的服务器证书
  5. 在右侧窗口中,选择 create a domain certificate
  6. 指定以下内容:
  1. 在公共名称下指定 WAPAdmin 的 FQDN (例如 wapadmin.contoso.com)
  2. 组织:Contoso
  3. 部门:NA
  4. 城市:NA
  5. 州:NA
  • 单击 Next
  • 选择一个 CA,提供证书的友好名称 (例如 wapadmin.contoso.com)

  

5: 从IIS Manager 申请证书

       9. 单击 Finish

       10. 验证证书已经在证书列表中显示

  

6: IIS Manager 中的证书列表

我们现在有了一个 Web 证书,可以在 WAP 管理门户上使用它。

 

       11. 按相同步骤再申请两个证书:

    1. WAP 验证:wap01.contoso.com
    2. WAP 租户门户内部:WAPCloud.contoso.com

       12. 现在在 Web 服务器的证书列表中,应该有三个证书来自 Contoso CA。

  

7: IIS Manager 中的 WAP 证书

修改WAP 管理门户的端口和证书

要修改管理门户的端口和证书,需要完成以下步骤:

  1. 以管理员身份登录 WAP 服务器(假定是快捷安装)。
  2. 启动 ISS Manager
  3. 展开 IIS Server>Sites
  4. 右键单击 MgmtSvc-AdminSite,选择 edit bindings。
  5. 选择 https 30091 ,选择 edit
  6. 将端口修改为 443
  7. 将主机名设置为 wapadmin.contoso.com
  8. 从下拉列表中选择先前从 CA 创建的证书。

  

8: Web 站点绑定的 IIS 证书列表

       9. 单击 Ok

       10. 重新启动 Web Site

       11. 右键单击 MgmtSvc-WindowsAuthSite,选择 edit bindings。

       12. 从列表 wap01.contoso.com 选择证书。

       13. 单击 Ok

修改 WAP 租户门户的端口和证书

要修改租户门户的端口和证书,需要完成以下步骤:

  1. 以管理员身份登录 WAP 服务器(假定是快捷安装)。
  2. 启动 ISS Manager.
  3. 展开 IIS Server>Sites.
  4. 右键单击 MgmtSvc-TenantSite,选择 edit bindings.
  5. 选择 https 30081,选择 edit.
  6. 将端口修改为 443
  7. 将主机名设置为 wapcloud.contoso.com
  8. 在证书下拉列表中选择 wapcloud.contoso.com
  9. 单击 Close
  10. 右键单击 MgmtSvc-AuthSite,选择 edit bindings
  11. 选择 30071,选择 edit
  12. 将端口修改为 444
  13. 在证书下拉列表中选择 wapcloud.contoso.com
  14. 从操作菜单重新启动 MgmtSvc-TenantSite 网站。
  15. 从操作菜单重新启动 MgmtSvc-AuthSite 网站。

用新设置更新Windows Azure Pack

更新Windows Azure 管理门户

相关的 TechNet 文档在这里:在 Windows Azure Pack 中重新配置 FQDN 和端口

要用我们的修改更新 WAP,需要执行以下命令,这里我们仍然使用前面场景中的值。

  • Set-MgmtSvcFqdn:      这条命令在数据库中更新被修改的服务的 FQDN 名称。
  • Set-MgmtSvcRelyingPartySettings: 这条命令设置 WAP 验证服务(租户或管理)的中断位置。
  • Set-MgmtSvcIdentityProviderSettings: 这条命令更新验证服务,验证之后会将重定向。

在执行命令时,我们使用以下参数:

WAP 数据库服务器: db02.contoso.com

WAP 数据库用户:sa

管理门户FQDN:  wapadmin.contoso.com

管理门户端口: 443

管理员验证Auth服务: wap01.contoso.com:30072

要在 WAP 数据库中更新对 WAP 服务的修改,请执行以下操作。

  1. 以管理员身份登录 WAP 服务器。
  2. 启动 PowerShell 窗口。
  3. 导入 WAP PowerShell 模块:

Import-Module -Name MgmtSvcConfig

       4. 运行以下命令,用更新后的 FQDN 设置更新 WAP 管理门户:

Set-MgmtSvcFqdn -Namespace "AdminSite" -FullyQualifiedDomainName "wapadmin.contoso.com" -Port 443 -Server "db02"

  

       5. 要设置管理门户的 WAP 验证服务的 FQDN,请运行以下命令。

Set-MgmtSvcRelyingPartySettings –Target Admin –MetadataEndpoint 'https://wap01.contoso.com:30072/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=db02.contoso.com;User ID=sa;Password=*******"

  

       6. 要将验证服务的重定向位置设到管理门户,请运行以下命令:

Set-MgmtSvcIdentityProviderSettings –Target Windows –MetadataEndpoint 'https://wapadmin.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=db02.contoso.com;User ID=sa;Password=********"

  

 

更新Windows Azure 租户门户

配置 WAP 租户门户时使用以下属性:

WAP 数据库服务器: db02.contoso.com

WAP 数据库用户: sa

租户门户FQDN: wapcloud.contoso.com

管理门户端口: 443

管理员验证服务: wapcloud.contoso.com:444

要更新租户门户,请执行以下操作:

  1. 以管理员身份登录 WAP 服务器。
  2. 启动 PowerShell。
  3. 导入 WAP PowerShell 模块:

Import-Module -Name MgmtSvcConfig

 

       4. 运行以下命令,用更新后的设置更新 WAP 租户门户:

Set-MgmtSvcFqdn -Namespace "TenantSite" -FullyQualifiedDomainName "wapcloud.contoso.com" -Port 443 -Server "db02"

  

       5. 运行以下命令,用更新后的设置更新 WAP 租户验证站点:

Set-MgmtSvcFqdn -Namespace "AuthSite" -FullyQualifiedDomainName "wapcloud.contoso.com" -Port 444 -Server "db02"

   

       6. 运行以下命令,设置租户门户的 WAP 验证服务的 FQDN。

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint 'https://wapcloud.contoso.com:444/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=db02.contoso.com;User ID=sa;Password=********"

  

       7. 运行以下命令,将验证服务的重定向设置到管理门户。

Set-MgmtSvcIdentityProviderSettings –Target Membership –MetadataEndpoint 'https://wapcloud.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml' -ConnectionString "Data Source=db02.contoso.com;User ID=sa;Password=********"

  

验证对 WAP 的修改有效

要验证修改有效,请执行以下操作:

前提条件:由于我们的 PoC 设置没有公共证书,所以要在信任的证书存储中的计算机上安装 CA 证书,并从它访问 WAP 门户。

  1. 以具备 WAP 管理门户访问权限的用户身份登录计算机。
  2. 启动浏览器。
  3. 输入 WAP 管理门户修改后的 URL (例如https://wapadmin.contoso.com)

验证 WAP 管理门户使用新的 URL 加载:

  

9: WAP 管理门户中更新的 URL

 

       4. 验证租户门户工作正常,打开浏览器,访问 https://wapcloud.contoso.com

       5. 在验证的登录过程中,注意验证站点 wapcloud.contoso.com:444 的重定向。

   

10: WAP 租户门户中更新的 URL

  

       6. 验证登录后,登录会将您重定向回 WAP 门户。

  

11: WAP 租户门户中更新后的 URL

 

小结

这篇博文的目标是介绍在 Windows Azure Pack 部署之后,可以重新配置门户名称、端口并使用信任的证书。

在这篇博文中,我们做了以下工作:

  • 创建新的 DNS 记录
  • 安装和配置 CA 企业服务器
  • 为 WAP Web 服务颁发证书
  • 修改 WAP Web 服务的主机名、端口和证书
  • 用新的配置更新 WAP 数据库
  • 验证配置成功。

在接下来的三篇博文中,来自 WAP 产品团队的Shri将介绍如何用 Windows Azure Pack配置 ADFS。

  • 通过 AD FS 与 Windows Azure Pack 建立身份联合– 第 1部分,共 3 部分(即将发布)
  • 通过 AD FS 与 Windows Azure Pack 建立身份联合– 第 2 部分,共 3 部分(即将发布)
  • 通过 AD FS 与 Windows Azure Pack 建立身份联合– 第 3 部分,共 3 部分(即将发布)

希望您能够顺利地为 Windows Azure Pack 构建 PoC 环境。

Anders Ravnholt