Windows Azure Pack: Webhelyek konfigurálása
Érintett kiadások: Windows Azure Pack
Ez a fejezet a további üzembe helyezés utáni konfigurációkról nyújt információkat, beleértve az SSL-tanúsítványtároló konfigurálását, az IP SSL konfigurálását és a megosztott tanúsítványok konfigurálását. A verziókövetés konfigurálásával kapcsolatos információkért lásd: Windows Azure Pack: Webhelyek verziókövetésének konfigurálása. A webhelyekre vonatkozó ajánlott biztonsági eljárásokkal kapcsolatos információkért lásd: Windows Azure Pack: Webhelyek biztonsági fejlesztései.
IP SSL konfigurálása
Ha engedélyezni szeretné, hogy a bérlői webhelyek IP-alapú SSL-tanúsítványokat használjanak, ehhez konfigurálnia kell az előtérrendszert, a vezérlőt és opcionálisan egy hardveres terheléselosztót.
Megjegyzés
Az SNI (kiszolgálónév jelzése) SSL alapértelmezés szerint engedélyezve van. Ha elérhetővé szeretné tenni a bérlők számára, vegye fel a rendszergazdáknak készült felügyeleti portálon létrehozott csomagokba.
AZ IP SSL konfigurálása
Kösse össze a használni kívánt IP-címeket:
Minden előtér-kiszolgálón nyissa meg a hálózati felügyeleti adaptert.
Kattintson a 6-os internetprotokoll-verzió (TCP/IPv6) elemre, majd a Tulajdonságok elemre.
A Speciális tulajdonságok megnyitásához kattintson a Speciális gombra.
Kattintson a Hozzáadás gombra az IP-címek hozzáadásához.
Ismételje meg ezeket a lépéseket a 4-es internetprotokoll-verzió (TCP/IPv4) esetében.
Tipp
Minden IP SSL-t használó ügyfélnek vagy webhelynek ip-címmel kell rendelkeznie az egyes előtér-kiszolgálókon. Mivel ez munkaigényessé válhat, érdemes lehet szkripttel automatizálni az IP-címek kötését.
Ezután konfigurálja a webhelyfelhőt úgy, hogy az IP-címeket használja az IP SSL-forgalomhoz.
A rendszergazdák felügyeleti portálján kattintson a Webhelyfelhők elemre, majd kattintson duplán a konfigurálni kívánt felhőre.
Kattintson a Szerepkörök elemre, majd válassza ki az előtér-kiszolgálót.
Kattintson az IP SSL elemre.
Kattintson a Hozzáadás gombra az IP-címtartomány hozzáadásához.
Adja meg a kezdő és a záró címet, majd kattintson a pipára.
Megjegyzés
Az IP-címtartománynak egyedinek kell lennie minden előtér-kiszolgálóhoz.
Ismételje meg ezeket a lépéseket mind az IPv4-, mind az IPv6-címek esetében.
Ismételje meg ezeket a lépéseket a webfarm minden kezelőfelületi kiszolgálója esetében.
Ha felsőbb rétegbeli hardveres terheléselosztót használ az előtér-kiszolgálók felé irányuló forgalom elosztásához, az utolsó lépés a regisztrációs szkriptek szerkesztése és a visszahívási szkriptek regisztrációjának törlése, hogy a webhelyfelhő kommunikálhasson a terheléselosztóval a terheléselosztó készleteinek létrehozásához egy adott IP-címhez.
A visszahívási szkriptek a webfarm webhelyfelhő-vezérlőjében, a C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win elérési úton találhatók.
Szerkessze a DNS-RegisterSSLBindings.ps1 szkriptet. Ezt a szkriptet akkor használja a rendszer, amikor egy felhasználó IP SSL-t használó webhelyet hoz létre vagy szerkeszt.
A $bindings használatával hozzon létre egy terheléselosztókészletet. A $hostname kulcsként is használhatja a nyomon követéshez.
Adja vissza a terheléselosztó készlethez rendelt virtuális IP-címet ($retval használatával).
Szerkessze a DNS-DeRegisterSSLBindings.ps1 szkriptet. Ezt a szkriptet akkor használja a rendszer, amikor egy felhasználó eltávolítja az IP SSL-t a webhelyről, vagy törli vagy törli a webhelyet.
Adjon vissza egy üres értéket ($retval használatával).
Megosztott tanúsítványok konfigurálása
A webhelyszolgáltatás tanúsítványok használatával titkosítja az adatokat az előtér-kiszolgálók, a közzétevők és a vezérlő között.
Alapértelmezés szerint Windows Azure Pack: Webhelyek önaláírt tanúsítványokat biztosít, hogy a kezdeti műveletek ne egyértelmű szövegben történjenek. Az önaláírt tanúsítványok természetesen tanúsítványriasztási üzeneteket okoznak, és éles környezetben nem használhatók.
Éles környezetben három tanúsítványra van szükség a webhelyfarm végpontjainak biztonságossá tételéhez:
Előtér – Az előtértanúsítvány megosztott SSL-hez és verziókövetési műveletekhez használatos, és kötéssel rendelkezik "minden hozzárendelés nélkül". Az előtértanúsítványnak két tulajdonosú tanúsítványnak kell lennie.
Publisher – A közzétételi tanúsítvány biztosítja az FTPS- és a webterjesztési forgalmat.
Ezeket a tanúsítványokat egy hitelesítésszolgáltatótól (CA) szerezheti be, és feltöltheti őket a felügyeleti portálon rendszergazdák számára. Minden tanúsítványhoz meg kell adnia a jelszót, hogy az üzembe helyezhető legyen a farmon.
Az alapértelmezett tartományi tanúsítvány
Az alapértelmezett tartománytanúsítvány az előtérbeli szerepkörbe kerül, és a bérlői webhelyek használják helyettesítő karakterekre vagy a webhelyfarmra irányuló alapértelmezett tartományi kérelmekre. Az alapértelmezett tanúsítvány a verziókövetési műveletekhez is használatos.
Ennek a tanúsítványnak .pfx formátumúnak kell lennie, és két tulajdonosú helyettesítő tanúsítványnak kell lennie. Ez lehetővé teszi, hogy a verziókövetési műveletek alapértelmezett tartománya és scm-végpontja is egyetlen tanúsítvánnyal legyen lefedve:
*. <DomainName.com>
*.scm. <DomainName.com>
Tipp
A kéttanúsítványt néha tulajdonos alternatív neve (SAN) tanúsítványnak is nevezik. A kéttanúsítvány egyik előnye, hogy a vásárlónak kettő helyett csak egy tanúsítványt kell vásárolnia.
Az alapértelmezett tartomány tanúsítványának megadása
A Felügyeleti portál rendszergazdáknak lapján kattintson a Webhelyfelhők elemre, majd válassza ki a konfigurálni kívánt felhőt.
Kattintson a Konfigurálás gombra a webhely felhőkonfigurációs lapjának megnyitásához.
A Webhelyek alapértelmezett tanúsítvány mezőjében kattintson a mappa ikonra. Megjelenik az Alapértelmezett webhely tanúsítványának feltöltése párbeszédpanel.
Keresse meg és töltse fel a használni kívánt tanúsítványt.
Adja meg a tanúsítvány jelszavát, majd kattintson a pipára. A tanúsítvány propagálása a webfarm összes előtér-kiszolgálóján megtörténik.
A közzétételhez szükséges tanúsítvány
A Publisher szerepkör tanúsítványa biztosítja a webterjesztési és FTPS-forgalmat a webhelytulajdonosok számára, amikor tartalmat töltenek fel a webhelyükre.
A Felügyeleti portál rendszergazdáknak lapján a webhelyfelhő Konfigurálás lapja egy Közzétételi Gépház szakaszt tartalmaz, ahol megtekintheti vagy konfigurálhatja a Web Deploy és ftp üzembe helyezési DNS-bejegyzéseket.
A közzétételhez használt tanúsítványnak tartalmaznia kell egy tárgyat, amely megfelel a Web Deploy DNS-bejegyzésnek, és egy olyan tárgyat, amely megfelel az FTPS Deploy DNS-bejegyzésnek.
Megjegyzés
Ha helyettesítő karaktereket használt az alapértelmezett tanúsítványban, használhatja a közzétevő alapértelmezett tanúsítványát is. A különálló tanúsítványok azonban biztonságosabbak.
Adja meg a közzétételhez szükséges tanúsítványt
A Felügyeleti portál rendszergazdáknak lapján kattintson a Webhelyfelhők elemre, majd válassza ki a konfigurálni kívánt felhőt.
Kattintson a Konfigurálás gombra a webhely felhőkonfigurációs lapjának megnyitásához.
A Publisher Tanúsítvány mezőben kattintson a mappa ikonra. Megjelenik a Publisher tanúsítvány feltöltése párbeszédpanel.
Keresse meg és töltse fel a használni kívánt tanúsítványt.
Adja meg a tanúsítvány jelszavát, majd kattintson a pipára. A tanúsítvány propagálása a webfarm összes közzétételi kiszolgálóján megtörténik.
Webes üzembe helyezési közzététel módosítása HTTPS-ben
A telepítés során a Web Deploy DNS közzétételi beállítása alapértelmezés szerint HTTP (80-os port). Ajánlott eljárásként ezt HTTPS-re (443-as portra) kell módosítania. Ehhez végezze el az alábbi lépéseket:
A Felügyeleti portál rendszergazdáknak lapján kattintson a Webhelyfelhők elemre, majd válassza ki a konfigurálni kívánt felhőt.
Kattintson a Konfigurálás gombra a webhely felhőkonfigurációs lapjának megnyitásához.
A Közzététel Gépház szakaszban adja hozzá a :443-at a Web Deploy DNS-bejegyzéshez (például publish.domainname:443).
A portállap alján található parancssávon kattintson a Mentés gombra.
Ajánlott eljárások tanúsítványokhoz
Győződjön meg arról, hogy a tanúsítvány tulajdonosának egyeztetése helyes. Windows Azure Pack: A webhelyek nem engedélyezik a tanúsítványok feltöltését, ha nem egyeznek.
A legbiztonságosabb beállítás, ha külön tanúsítványokkal és tartományokkal rendelkezik. Ez segít megvédeni az adathalászati forgatókönyveket és a társadalmi mérnöki támadásokat.
Figyelje meg a tanúsítvány lejáratát. A tanúsítványokat kissé rendszeresen frissítse.
A nem megbízható Self-Signed tanúsítványok megbízható tanúsítványokra való cseréjéről Windows Azure Pack csomag telepítés utáni ajánlott eljárásait a Windows Windows Serverhez készült Azure Pack üzembe helyezési útmutatójában találja.
PowerShell-parancsok támogatásának engedélyezése
Az Windows Azure Pack Webhelyek rendszer a rendszer felügyeletére szolgáló PowerShell-parancsok gazdag készletével rendelkezik. Ezek a parancsok lehetővé teszik a rendszergazda számára, hogy végrehajtsa a portálon elérhető összes műveletet, valamint néhány olyan műveletet, amely nem.
Windows Azure Pack-webhelyek PowerShell-parancsainak eléréséhez használja a PowerShell-parancsot
import-module websitesdev
Minden parancshoz súgóinformáció tartozik. A parancsok listájának lekéréséhez használja a
get-commands –module websitesdev
Egy adott parancsra vonatkozó információkért használja a következő parancsot:
get-help <parancs neve>
ISAPI/klasszikus mód engedélyezése
Az ISAPI/klasszikus módot powershell-parancsokkal engedélyezheti Windows Azure Pack: webhelyeken.
Ha klasszikus módot szeretne beállítani egy webhelyhez, futtassa az alábbi parancsokat. Cserélje le <a webhely nevét> a webhely nevére.
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -SiteName <webhelynév>
A klasszikus mód beállításának ellenőrzéséhez futtassa a következő parancsot, amely létrehoz egy memóriaképet a webhely konfigurációjáról. Cserélje le <a webhely nevét> a webhely nevére.
Get-websitessite –rawview –name <sitename>