Срок действия сертификата хранилища Windows Azure истек

Сертификат для нашего хранилища BLOB-объектов Azure истек сегодня. Это сертификат, предоставленный не нами, а Microsoft, как показано на рисунке ниже. Как это исправить? Я пытался найти решение, но ничего не нашел. Наше приложение не может подключиться к хранилищу, поскольку срок действия сертификата истек, и мы получаем сообщение об ошибке: Не удалось установить доверительные отношения для безопасного канала SSL / TLS.

введите описание изображения здесь


azure blob blobstorage
person Nick Olsen    schedule 22.02.2013    source источник
comment
Вау, благодаря вашему сообщению я понял, что не могу использовать некоторые инструменты просмотра BLOB-объектов Azure, такие как CloudBerry (проблема с SSL: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.).   -  person Tom    schedule 23.02.2013
comment
Я обратился в службу поддержки Microsoft. Это влияет на сертификат SSL * .blob.core.windows.net, который, в свою очередь, влияет на все учетные записи хранилища BLOB-объектов во всем мире. Кто-то в Microsoft должен потерять из-за этого работу.   -  person Brian Clark    schedule 23.02.2013
comment
Проблема серьезно исследуется, и на приборной панели отображается текущий статус. Следите за частыми обновлениями на панели управления: windowsazure.com/en-us / support / service-dashboard   -  person AvkashChauhan    schedule 23.02.2013
comment
Скотт Хансельман сейчас работает над этим, вы можете отслеживать это в Twitter: twitter.com / search / realtime? q = azure + blob & src = typd   -  person Nico Westerdale    schedule 23.02.2013
comment
Примечание модератора. Сведите к минимуму шум в этом сообщении. Вы знаете об этом, я знаю об этом, и теперь Microsoft знает об этом. Мы все согласны с тем, что это пародия; сохраните свои редакционные комментарии для Twitter. Временное решение уже опубликовано ниже.   -  person Robert Harvey    schedule 23.02.2013

Ответы (4)


arrow_upward
26
arrow_downward

В качестве временной меры я смог войти в лазурный портал и изменить протокольную часть строки подключения с https на http.

person dr. foot fist headknocker    schedule 22.02.2013
comment
Сохраняйте большие двоичные объекты, содержащие конфиденциальные данные, доступными только по протоколу HTTPS. - person Bill Hoag; 23.02.2013
comment
Как поменять протокол? Я не вижу этого на портале. - person Nico Westerdale; 23.02.2013
comment
На вкладке настройки прокрутите вниз до настроек, найдите строку подключения и измените DefaultEndpointsProtocol=https; на DefaultEndpointsProtocol=http;. - person dr. foot fist headknocker; 23.02.2013
comment
Будь осторожен. Если вы меняете его на портале, ваш ранее развернутый пакет может не перезагрузиться, потому что он хранится в хранилище Azure (я считаю). Это привело к тому, что первые 2 рабочие роли в моем пуле перестали отвечать на запросы и постоянно перезапускались. - person aarondcoleman; 23.02.2013
comment
Если вы это сделаете, не забудьте оставить строку подключения для диагностики, работающей с HTTPS. Если вы измените его на HTTP, монитор выдает исключение при запуске, что приведет к бесконечному повторному использованию ваших ролей. - person Brian Reischl; 23.02.2013

arrow_upward
5
arrow_downward

Еще два возможных решения, если вы можете использовать RDP в своих ролях.

  1. Измените конфигурацию вручную в каталоге c: \ Config.
  2. Создайте DLL, исправленную для решения проблемы, и вручную загрузите ее через RDP. Обходной путь может заключаться в жестко запрограммированных строках подключения или в коде для приема сертификатов с истекшим сроком действия. Например: ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

(Советы по использованию AlexNS в MSDN форумы за идею №2 и Джейсону Валлери за код обратного вызова для проверки сертификата)

Как отмечено в комментариях, отключение HTTPS и / или игнорирование ошибок проверки сертификатов может поставить под угрозу безопасность ваших сообщений. Так что хорошенько подумайте, прежде чем делать это, и измените его, как только Microsoft исправит эту проблему.

person Brian Reischl    schedule 22.02.2013
comment
Просто имейте в виду, что это может эффективно задействовать атаки типа MITM. Поэтому, если вы это сделаете, сделайте это, зная о риске, которому вы подвергаете себя, и отмените его, когда Microsoft исправит это во второй раз !! - person Jaxidian; 23.02.2013

arrow_upward
1
arrow_downward

Мы смогли избежать большей части этого в первую очередь за счет явного использования конечных точек HTTP для хранения (мы не храним там ничего слишком важного).

Если вы находитесь в аналогичной ситуации и можете обойтись с конечными точками HTTP, существует обходной путь, который позволяет вам обновить свои роли навсегда. Он включает развертывание Azure Powershell с локальными пакетами и, похоже, работает, даже если обновления через оба портала продолжают терпеть неудачу.

person Nariman    schedule 23.02.2013

arrow_upward
0
arrow_downward

В качестве примечания - если вы переключитесь на http с https, то механизм передачи больше не будет обеспечивать правильную передачу данных, и вам может потребоваться проверить MD5 большого двоичного объекта.

StorageClient ‹2.0 иногда справляется с этим с помощью загрузки, но при чтении эта статья, а не скачивание.

Для StorageClient 2.0 вам может потребоваться изменить BlobRequestOptions на UseTransactionalMD5 (, как описано здесь)

person Rob Church    schedule 25.02.2013