Azure/Wasabi:证书从未到达CurrentUser/My商店

Question

我试图让Wasabi (企业库自动标度块)在Azure工作者角色中工作。Wasabi工作者角色(额外小，完全信任)正在同一服务中扩展不同的工作人员角色。它在本地控制台应用程序中运行得很好，配置完全相同--考虑到错误，证书没有发送到VM。我正在使用Azure SDK的最新版本、企业库自动标度块和Azure门户。

下面是我根据以下文档所采取的步骤：http://msdn.microsoft.com/en-us/library/hh680937(v=pandp.50).aspx

1. 我按照这里的说明创建了一个管理证书：http://msdn.microsoft.com/en-us/library/gg432987.aspx。
2. 我用私钥导出了.pfx并给了它一个密码。
3. 我将.cer上传到门户上的Settings->部分。
4. 我将带有正确密码的.pfx上传到Cloud >(My)->Certificates，并注意到所列出的指纹。
5. 我创建了一些简单的规则来扩展我的应用程序的几个实例，并正确地配置了服务信息以使用我的新证书。XML文件在blob存储中。在控制台应用程序中，这种配置在我的本地机器上工作得很好。
6. 我在Wasabi角色的配置中添加了一个条目，使用正确的证书名称和拇指指纹。我把它设置为使用CurrentUser\我的商店。我确认.csdef和.cscfg文件是正确更新的。
7. 我使用发布工具将服务部署到Azure上。证书配置设置在角色的配置设置中正确显示。
8. 它不缩放应用程序。我检查跟踪条目，它在试图访问management时有一个异常。它试图访问正确的订阅，并试图在正确的存储中找到正确的证书拇指指纹，因此我的配置被正确加载。它声称它无法在存储中找到带有该拇指指纹的证书。

我尝试了LocalMachine\My存储(配置在角色证书设置中，在服务信息存储区XML中配置)，我得到了一个不同的例外-- Azure WASABi SecurityNegotiationException中列出的错误。这一修正最终将转到CurrentUser，所以这对我没有任何帮助。

我尝试了许多其他的CurrentUser\LocalMachine和不同的存储组合，所有的CurrentUser位置都导致证书找不到，而所有的LocalMachine存储都导致了另一个异常。

我三次检查了角色设置、门户(证书页)和服务信息文件中的指纹，它们都匹配。

然后，我启用了远程桌面并登录到Wasabi角色实例，并使用MMC查看本地计算机和当前用户的证书配置。当我在角色证书设置中选择LocalMachine存储时，证书确实显示在LocalMachine存储中，这告诉我证书已正确安装在服务中，并且指纹匹配。选择CurrentUser存储区时，证书在任何地方都不可见。这可能是因为RDP使用的用户与服务不是同一个用户，但它确实与错误匹配。

因此，总括而言：

1. 该证书已正确配置并安装在门户中(订阅的管理证书和服务证书)。
2. 显然，对于Wasabi角色，您必须使用CurrentUser位置，而不是LocalMachine位置(按照链接的SO问题)。
3. 当我试图安装到CurrentUser时，证书没有放在VM中，至少在角色可以找到它的任何地方都是如此。

有什么想法吗？

谢谢!

Answer 1

请看我对这个SO POST的回答。证书必须在LocalMachine中，并且由于SDK1.8和Server2012角色初始化中的配置更改，您必须运行具有提升权限的worker角色，才能授予对证书的私钥的网络服务访问权限。编辑ServiceDefinition.csdef

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="blah" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2012-10.1.8">
  <WorkerRole name="blah" vmsize="Small">
    <Runtime executionContext="elevated" />
    ...      
   </WorkerRole>
</ServiceDefinition>