azure/芥末 : Certificate never makes it to the CurrentUser/My store

Question

我正在尝试让 Wasabi(企业库自动缩放 block )在 Azure 辅助角色中工作。 Wasabi 辅助角色(超小、完全信任)正在同一服务中扩展不同的辅助角色。它可以在本地控制台应用程序中完美运行，具有相同的配置 - 考虑到错误，证书无法发送到虚拟机。我正在使用最新版本的 Azure SDK、企业库自动缩放 block 和 Azure 门户。

以下是我根据这些文档采取的步骤:http://msdn.microsoft.com/en-us/library/hh680937(v=pandp.50).aspx

1. 我按照此处的说明创建了管理证书:http://msdn.microsoft.com/en-us/library/gg432987.aspx .
2. 我使用私钥导出了 .pfx 并为其指定了密码。
3. 我已将 .cer 上传到门户上的“设置”->“管理证书”部分。
4. 我已使用正确的密码将 .pfx 上传到云服务 ->(我的服务)-> 证书，并记下列出的指纹。
5. 我创建了一些简单的规则，将我的应用程序扩展了几个实例，并正确配置了服务信息以使用我的新证书。 XML 文件位于 blob 存储中。这个配置在我的本地计算机上的控制台应用程序中运行良好。
6. 我使用正确的证书名称和指纹在 Wasabi 角色的配置中添加了一个条目。我将其设置为使用 CurrentUser\My store。我确认 .csdef 和 .cscfg 文件已正确更新。
7. 我使用发布工具将服务部署到 Azure 上。证书配置设置正确显示在角色的配置设置中。
8. 它不会扩展应用程序。我检查了跟踪条目，在尝试提取管理 API 的访问权限时出现异常。它正在尝试访问正确的订阅，并且尝试在正确的存储中找到正确的证书指纹，因此我的配置正在正确加载。它声称在该商店中找不到带有该指纹的证书。

我尝试了 LocalMachine\My 存储(在角色证书设置和服务信息存储 XML 中配置)，但出现了不同的异常 - Azure WASABi SecurityNegotiationException 中列出的错误。该修复最终会转到 CurrentUser，因此这对我没有帮助。

我尝试了 CurrentUser\LocalMachine 和不同存储的许多其他组合，所有 CurrentUser 位置都会导致找不到证书，所有 LocalMachine 存储都会导致其他异常。

我对角色设置、门户(证书页面)和服务信息文件中的指纹进行了三次检查，它们都匹配。

然后，我启用远程桌面并登录到 Wasabi 角色实例，并使用 MMC 查看本地计算机和当前用户的证书配置。当我在角色证书设置中选择 LocalMachine 存储时，证书确实显示在 LocalMachine 存储中，这告诉我证书已正确安装在服务中并且指纹匹配。选择 CurrentUser 存储后，证书在任何地方都不可见。这可能是因为 RDP 使用的用户与服务不是同一用户，但它确实匹配错误。

所以，总结一下:

1. 证书已正确配置并安装在门户中(订阅的管理证书和服务证书)。
2. 显然，对于 Wasabi 角色，您必须使用 CurrentUser 位置，而不是 LocalMachine 位置(根据链接的 SO 问题)。
3. 当我尝试安装到当前用户时，证书没有放置在虚拟机中，至少没有放置在角色可以找到它的任何地方。

有什么想法吗？

谢谢!

Answer 1

查看我对此的回答 SO POST 。该证书必须位于 LocalMachine 中，并且由于 SDK 1.8 和 Server2012 角色初始化中的配置更改，您必须以提升的权限运行辅助角色，以便为 NETWORK SERVICE 提供对证书私钥的访问权限。编辑ServiceDefinition.csdef

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="blah" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2012-10.1.8">
  <WorkerRole name="blah" vmsize="Small">
    <Runtime executionContext="elevated" />
    ...      
   </WorkerRole>
</ServiceDefinition>