【发布时间】:2018-09-30 16:51:08
【问题描述】:
我们成功创建了不安全且基于证书的集群。我们正在通过使节点到节点的通信使用 gMSA 来试验域安全集群。下面的集群配置 sn-p 显示了有问题的部分:
"security": {
"ClusterCredentialType": "Windows",
"ServerCredentialType": "Windows",
"WindowsIdentities": {
"ClustergMSAIdentity": "{{ env_domain }}\\{{ cluster_gmsa_identity }}",
"ClusterSPN": "{{ cluster_gmsa_spn }}",
"ClientIdentities": [
{
"Identity": "{{ env_domain_short }}\\ServiceFabricAdmins",
"IsAdmin": true
},
{
"Identity": "{{ env_domain_short }}\\ServiceFabricReadOnly",
"IsAdmin": false
}
]
},
"CertificateInformation": {
"ServerCertificate": {
"Thumbprint": "{{ primary_server_certificate_thumbprint }}",
"X509StoreName": "My"
},
"ReverseProxyCertificate": {
"Thumbprint": "{{ primary_server_certificate_thumbprint }}",
"X509StoreName": "My"
}
}
}
如果我们提供如上所示的 ServerCertificate 属性,则集群创建过程会引发许多异常(其中似乎都不是证书配置问题),如果我删除 ServerCertificate 部分(但保留反向代理提供的证书)集群创建过程是成功的。
我希望那里的 ServerCertificate 保护管理端点的 http 通信通道。需要考虑的几点:
- ServerCertificate 属性中引用的证书已成功用于我们的证书安全集群。
- gMSA 对证书存储区中的私钥具有 ACL 读取权限。
- 运行节点的操作系统是 Windows 2016 1709 (build 16299.334)
为了让集群正确启动并运行,尽管我不得不将 gMSA 帐户放在本地管理员组中(这似乎是错误的!!),如 here 所述。
任何想法将不胜感激?
【问题讨论】:
标签: active-directory config x509certificate azure-service-fabric