Indikasi Nama Server (SNI) IIS 8.0: Skalabilitas SSL
oleh Shaun Eagan
Kompatibilitas
| Versi | Catatan |
|---|---|
| IIS 8.0 | Indikasi Nama Server diperkenalkan di IIS 8.0. |
| IIS 7.5 | Indikasi Nama Server tidak didukung di IIS 7.5. |
| IIS 7.0 | Indikasi Nama Server tidak didukung di IIS 7.0. |
Masalah
Karena lebih banyak situs e-niaga datang dan lebih banyak bisnis menyimpan dan berbagi dokumen sensitif secara online, kemampuan untuk menghosting dan menskalakan situs yang aman semakin penting. Sebelum Windows Server 2012, ada beberapa tantangan dalam menghosting situs aman:
- Skalabilitas SSL: Dalam lingkungan multi-penyewa, seperti hosting bersama, ada batasan berapa banyak situs aman yang dapat dihosting di Windows Server, yang mengakibatkan kepadatan situs yang rendah.
- Kelangkaan IPv4: Karena titik akhir jaringan hanya dapat diidentifikasi dengan pengikatan IP:Port, di mana penyewa meminta untuk menggunakan port SSL standar, 443, menghosting situs aman sering berarti menawarkan alamat IP khusus per penyewa.
Solusi
Pada Windows Server 2012, IIS mendukung Indikasi Nama Server (SNI), yang merupakan ekstensi TLS untuk menyertakan domain virtual sebagai bagian dari negosiasi SSL. Apa artinya ini secara efektif adalah bahwa nama domain virtual, atau nama host, sekarang dapat digunakan untuk mengidentifikasi titik akhir jaringan. Selain itu, penyimpanan WebHosting yang sangat dapat diskalakan telah dibuat untuk melengkapi SNI. Hasilnya adalah bahwa kepadatan situs aman jauh lebih tinggi pada Windows Server 2012 dan dicapai hanya dengan satu alamat IP.
Perlu dicatat bahwa agar fitur ini dapat digunakan, browser klien Anda harus mendukung SNI. Sebagian besar browser modern mendukung SNI; namun, Internet Explorer (dari versi apa pun) pada Windows XP tidak mendukung SNI.
Instruksi Langkah demi Langkah
Prasyarat:
IIS 8.0 diinstal pada Windows Server 2012.
- Penyimpanan sertifikat WebHosting dan SNI adalah bagian dari penginstalan IIS default. Tidak ada fitur IIS tertentu yang perlu diinstal dari Manajer Server.
Contoh sertifikat.
\windows\system32\drivers\etc\hosts telah dimodifikasi untuk digunakan untuk situs sampel dan sertifikat. Misalnya, jika nama CN sertifikat adalah TAPTesting, maka file host harus berisi:
127.0.0.1 TAPTesting
Solusi untuk bug yang diketahui:
Ada kasus sudut di mana Manajer IIS dapat menghapus pengikatan SSL yang tidak diinginkan ketika ada pengikatan SSL tradisional (IP:Port) dan pengikatan SNI (Nama Host:Port) dikonfigurasi pada komputer yang sama. Untuk mengatasi masalah ini dan/atau untuk mengonfirmasi pengikatan SSL yang sebenarnya, gunakan alat baris perintah:
netsh http show sslcert
Impor Sertifikat ke Penyimpanan Hosting Web:
- Buka MMC.
- Di bawah File, pilih Tambahkan/Hapus Snap-in:
- Pilih Sertifikat. Klik Tambahkan:
- Pilih Akun komputer:
- Pilih Komputer lokal dan klik Selesai:
- Klik OK:
- Di bawah panel navigasi, temukan penyimpanan Web Hosting :
Penyimpanan Web Hosting berfungsi seperti penyimpanan Pribadi , sehingga semua alat yang ada untuk mengimpor dan mengekspor sertifikat bekerja dengan cara yang sama. Perbedaan utama antara penyimpanan Web Hosting dan penyimpanan Pribadi adalah bahwa penyimpanan Web Hosting dirancang untuk menskalakan ke jumlah sertifikat yang lebih tinggi. - Impor sertifikat sampel Anda ke penyimpanan Web Hosting .
Buat Situs Web Aman:
Buka Manajer IIS.
Pilih Situs di jendela navigasi kiri:
Klik kanan Situs dan pilih Tambahkan Situs Web:
Isi informasi, seperti yang akan Anda buat situs apa pun:
Nama situs: Uji
Jalur fisik:
c:\inetpub\wwwrootJenis: https
Nama host: TAPTesting
- Ini baru untuk Windows Server 8 dalam nama host tersebut dapat ditentukan untuk SSL.
- Untuk menghindari kesalahan ketidakcocokan nama sertifikat, pastikan bahwa nama host yang ditentukan di sini cocok dengan nama CN sertifikat.
- Nilai aktual konfigurasi ini bervariasi tergantung pada sertifikat sampel yang sedang digunakan.
Gunakan Indikasi Nama Server: Dipilih
Sertifikat SSL: Chhose nama sertifikat Anda; misalnya: TAPTesting.
- Perhatikan bahwa sertifikat disajikan dari penyimpanan Personal dan Web Hosting .
Verifikasi bahwa situs telah dibuat:
Itu saja. Situs aman telah dibuat menggunakan SNI. Pengalaman manajemen sangat mirip dengan pengikatan SSL tradisional. Satu-satunya perbedaan adalah:
- Nama host dapat ditentukan untuk situs SSL.
- Sertifikat disimpan di penyimpanan Web Hosting untuk skalabilitas.
Uji Situs Aman:
Buka browser dan navigasikan ke https://TAPTesting/. Perhatikan bahwa sebagai bagian dari prasyarat, file host Anda seharusnya telah dimodifikasi untuk merutekan permintaan ini ke localhost:
Selain itu, untuk melihat jenis pengikatan SSL baru, masukkan yang berikut ini di jendela baris perintah yang ditingkatkan:
netsh http show sslcert
Perhatikan bahwa pengikatan SSL adalah hostname:port dengan nilai TAPTesting:443.
Skenario
Coba sebarkan skenario berikut:
- SNI dirancang untuk menskalakan lingkungan multi-penyewa. Coba konfigurasi ribuan situs aman menggunakan SNI.
- Tidak seperti versi Windows Server sebelumnya, sertifikat pada Windows Server 2012 dimuat dalam memori sesuai permintaan. Setelah mengonfigurasi ribuan situs aman menggunakan SNI, kirim permintaan GET ke salah satu situs aman dan amati penggunaan memori. Hal ini dapat diabaikan. Pada versi Windows Server sebelumnya, jika ratusan situs aman dikonfigurasi, mengirim hanya satu permintaan GET akan menyebabkan Windows Server memuat semua sertifikat, menghasilkan penggunaan memori yang tinggi, dan lebih membatasi skalabilitas.
- Konfigurasikan Windows Server 2012 dengan SNI dan situs aman tradisional. Mereka dirancang untuk berdisipasi.
Ringkasan
Anda telah berhasil menjelajahi fitur Indikasi Nama Server (SNI) di Windows Server 2012.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk