Konfigurowanie Windows Azure Pack: witryny sieci Web
Dotyczy: Windows Azure Pack
Ten rozdział zawiera informacje na temat dodatkowej konfiguracji po aprowizacji, w tym konfigurowania magazynu certyfikatów SSL, konfigurowania protokołu IP SSL i konfigurowania certyfikatów udostępnionych. Aby uzyskać informacje na temat konfigurowania kontroli źródła, zobacz Konfigurowanie kontroli źródła dla Windows Azure Pack: witryny sieci Web. Aby uzyskać informacje na temat najlepszych rozwiązań w zakresie zabezpieczeń witryn sieci Web, zobacz Windows Azure Pack: Ulepszenia zabezpieczeń witryn sieci Web.
Konfigurowanie protokołu IP SSL
Jeśli chcesz włączyć witryny sieci Web dzierżawy do korzystania z certyfikatów SSL opartych na adresach IP, musisz skonfigurować fronton, kontroler i opcjonalnie, sprzętowy moduł równoważenia obciążenia, aby to zrobić.
Uwaga
Protokół SSL SNI (wskazanie nazwy serwera) jest domyślnie włączony. Aby udostępnić ją dzierżawcom, uwzględnij ją w planach utworzonych w portalu zarządzania dla administratorów.
Aby skonfigurować protokół IP SSL
Powiąż adresy IP, których chcesz użyć:
Na każdym serwerze frontonu otwórz interfejs zarządzania siecią.
Kliknij pozycję Protokół internetowy w wersji 6 (TCP/IPv6), a następnie kliknij pozycję Właściwości.
Kliknij pozycję Zaawansowane , aby otworzyć właściwości Zaawansowane.
Kliknij przycisk Dodaj , aby dodać adresy IP.
Powtórz te kroki dla protokołu internetowego w wersji 4 (TCP/IPv4).
Porada
Każdy klient lub witryna internetowa korzystająca z protokołu IP SSL musi mieć adres IP na każdym serwerze frontonu. Ponieważ może to być czasochłonne, możesz użyć skryptu, aby zautomatyzować powiązanie adresów IP.
Następnie skonfiguruj chmurę witryny sieci Web tak, aby korzystała z adresów IP dla ruchu SSL ip.
W portalu zarządzania dla administratorów kliknij pozycję Chmury witryn sieci Web, a następnie kliknij dwukrotnie chmurę, którą chcesz skonfigurować.
Kliknij pozycję Role, a następnie wybierz serwer frontonu.
Kliknij pozycję IP SSL.
Kliknij przycisk Dodaj , aby dodać zakres adresów IP.
Wprowadź adres początkowy i adres końcowy, a następnie kliknij znacznik wyboru.
Uwaga
Zakres adresów IP musi być unikatowy dla każdego serwera frontonu.
Powtórz te kroki zarówno dla adresów IPv4, jak i IPv6.
Powtórz te kroki dla każdego serwera frontonu w farmie sieci Web.
Jeśli używasz nadrzędnego sprzętowego modułu równoważenia obciążenia w celu równoważenia ruchu do serwerów frontonu, ostatnim krokiem jest edytowanie rejestrów i wyrejestrowanie skryptów wywołania zwrotnego, aby chmura witryny sieci Web mogła komunikować się z modułem równoważenia obciążenia w celu utworzenia pul modułu równoważenia obciążenia dla danego adresu IP.
Skrypty wywołania zwrotnego znajdują się na kontrolerze chmury witryny sieci Web w farmie sieci Web w ścieżce C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.
Edytuj skrypt DNS-RegisterSSLBindings.ps1. Ten skrypt jest używany za każdym razem, gdy użytkownik tworzy lub edytuje witrynę internetową korzystającą z protokołu IP SSL.
Użyj $bindings, aby utworzyć pulę modułu równoważenia obciążenia. Możesz użyć $hostname jako klucza do śledzenia.
Zwróć wirtualny adres IP przypisany do puli modułu równoważenia obciążenia (przy użyciu $retval).
Edytuj skrypt DNS-DeRegisterSSLBindings.ps1. Ten skrypt jest używany za każdym razem, gdy użytkownik usuwa protokół IP SSL ze swojej witryny internetowej lub usuwa lub anuluje aprowizacje witryny sieci Web.
Przekaż pustą wartość (przy użyciu $retval).
Konfigurowanie certyfikatów udostępnionych
Usługa witryny sieci Web używa certyfikatów do szyfrowania danych między serwerami frontonu, wydawcami i kontrolerem.
Domyślnie Windows Azure Pack: witryny sieci Web udostępniają certyfikaty z podpisem własnym, aby początkowe operacje nie były wykonywane w postaci zwykłego tekstu. Oczywiście certyfikaty z podpisem własnym powodują komunikaty ostrzegawcze certyfikatu i nie mogą być używane w środowisku produkcyjnym.
W środowisku produkcyjnym wymagane są trzy certyfikaty do zabezpieczania punktów końcowych w farmie witryn internetowych:
FrontOn — certyfikat frontonu jest używany do współużytkowanego protokołu SSL i operacji kontroli źródła oraz ma powiązanie dla "wszystkich nieprzypisanych". Certyfikat frontonu musi być certyfikatem z dwoma podmiotami.
Publisher — certyfikat publikowania zabezpiecza ruch FTPS i Web Deploy.
Te certyfikaty można uzyskać z urzędu certyfikacji i przekazać je za pośrednictwem portalu zarządzania dla administratorów. Należy podać hasło dla każdego certyfikatu, aby można je było wdrożyć w farmie.
Domyślny certyfikat domeny
Domyślny certyfikat domeny jest umieszczany w roli frontonu i jest używany przez witryny sieci Web dzierżawy do żądań z symbolami wieloznacznymi lub domyślnymi żądaniami domeny do farmy witryn sieci Web. Domyślny certyfikat jest również używany do operacji kontroli źródła.
Ten certyfikat musi być w formacie pfx i powinien być dwupodlegowym certyfikatem wieloznacznymi. Dzięki temu zarówno domena domyślna, jak i punkt końcowy scm dla operacji kontroli źródła mają być objęte jednym certyfikatem:
*. <DomainName.com>
*.scm. <DomainName.com>
Porada
Certyfikat dwupodlegowy jest czasami nazywany certyfikatem alternatywnej nazwy podmiotu (SAN). Jedną z zalet certyfikatu dwupodległego jest to, że nabywca musi kupić tylko jeden certyfikat zamiast dwóch.
Określanie certyfikatu dla domeny domyślnej
W portalu zarządzania dla administratorów kliknij pozycję Chmury witryn sieci Web, a następnie wybierz chmurę, którą chcesz skonfigurować.
Kliknij przycisk Konfiguruj , aby otworzyć stronę konfiguracji chmury witryny sieci Web.
W polu Certyfikat domyślny witryny sieci Web kliknij ikonę folderu. Zostanie wyświetlone okno dialogowe Przekazywanie domyślnego certyfikatu witryny sieci Web .
Przejdź do i przekaż certyfikat, którego chcesz użyć.
Wprowadź hasło certyfikatu, a następnie kliknij znacznik wyboru. Certyfikat zostanie propagowany do wszystkich serwerów frontonu w farmie sieci Web.
Certyfikat do publikowania
Certyfikat roli Publisher zabezpiecza ruch Web Deploy i FTPS dla właścicieli witryn sieci Web podczas przekazywania zawartości do witryn sieci Web.
W portalu zarządzania dla administratorów strona Konfigurowanie chmury witryny sieci Web zawiera sekcję Publikowania Ustawienia, w której można wyświetlić lub skonfigurować wpisy Dns wdrażania sieci Web i protokołu FTP.
Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS Web Deploy i tematem zgodnym z wpisem FTPS Deploy DNS.
Uwaga
Jeśli używasz symboli wieloznacznych w certyfikacie domyślnym, możesz również użyć certyfikatu domyślnego dla wydawcy. Jednak zapewnienie oddzielnego certyfikatu jest bezpieczniejsze.
Określanie certyfikatu do publikowania
W portalu zarządzania dla administratorów kliknij pozycję Chmury witryn sieci Web, a następnie wybierz chmurę, którą chcesz skonfigurować.
Kliknij przycisk Konfiguruj , aby otworzyć stronę konfiguracji chmury witryny sieci Web.
W polu Publisher Certyfikat kliknij ikonę folderu. Zostanie wyświetlone okno dialogowe Przekazywanie certyfikatu Publisher.
Przejdź do i przekaż certyfikat, którego chcesz użyć.
Wprowadź hasło certyfikatu, a następnie kliknij znacznik wyboru. Certyfikat zostanie propagowany do wszystkich serwerów publikowania w farmie sieci Web.
Zmienianie publikowania w usłudze Web Deploy na https
Podczas instalacji ustawienie publikowania w usłudze Web Deploy DNS jest domyślne dla protokołu HTTP (port 80). Najlepszym rozwiązaniem jest zmiana tego ustawienia na HTTPS (port 443). W tym celu wykonaj następujące kroki:
W portalu zarządzania dla administratorów kliknij pozycję Chmury witryn sieci Web, a następnie wybierz chmurę, którą chcesz skonfigurować.
Kliknij przycisk Konfiguruj , aby otworzyć stronę konfiguracji chmury witryny sieci Web.
W sekcji Publikowanie Ustawienia dodaj ciąg :443 do wpisu Web Deploy DNS (na przykład publish.domainname:443).
Na pasku poleceń w dolnej części strony portalu kliknij przycisk Zapisz.
Najlepsze rozwiązania dotyczące certyfikatów
Upewnij się, że dopasowanie podmiotu certyfikatu jest poprawne. Windows Azure Pack: witryny sieci Web nie zezwalają na przekazywanie certyfikatów w przypadku niezgodności.
Najbezpieczniejsza konfiguracja polega na oddzielnych certyfikatach i oddzielnych domenach. Pomaga to chronić przed scenariuszami wyłudzania informacji i atakami inżynierii społecznej.
Obserwuj wygaśnięcie certyfikatu. Odśwież certyfikaty w nieco regularnych odstępach czasu.
Aby uzyskać informacje na temat zastępowania niezaufanych certyfikatów Self-Signed zaufanymi certyfikatami w pakiecie Azure Pack Windows, zobacz Przewodnik dotyczący najlepszych rozwiązań po instalacji w przewodniku Deploy Windows Azure Pack for Windows Server (Wdrażanie pakietu azure Windows Azure Pack dla serwera Windows Server).
Włączanie obsługi poleceń programu PowerShell
System witryn sieci Web Windows Azure Pack zawiera bogaty zestaw poleceń programu PowerShell do zarządzania systemem. Te polecenia umożliwiają administratorowi systemu wykonywanie wszystkich akcji dostępnych w portalu, a także innych, które nie są.
Aby uzyskać dostęp do poleceń programu PowerShell dla witryn sieci Web Windows Azure Pack, użyj polecenia programu PowerShell
import-module websitesdev
Dla każdego polecenia znajdują się informacje pomocy. Aby uzyskać listę poleceń, użyj polecenia
get-commands – module websitesdev
Aby uzyskać informacje na temat określonego polecenia, użyj polecenia
nazwa> polecenia get-help<
Włączanie trybu ISAPI/klasycznego
Tryb ISAPI/klasyczny można włączyć w Windows Azure Pack: witryny sieci Web przy użyciu poleceń programu PowerShell.
Aby ustawić tryb klasyczny dla witryny sieci Web, uruchom następujące polecenia. Zastąp <nazwę> witryny nazwą witryny sieci Web.
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -Nazwa_witryny<>
Aby sprawdzić, czy tryb klasyczny został ustawiony, możesz uruchomić następujące polecenie, które generuje zrzut konfiguracji witryny sieci Web. Zastąp <nazwę> witryny nazwą witryny sieci Web.
Get-websitessite –rawview –name sitename<>