Compartilhar via

Configure o Microsoft Azure Pack: Sites

  • Artigo

 

Aplica-se a: Windows Azure Pack

Este capítulo fornece informações sobre a configuração adicional pós-provisionamento, inclusive a configuração do repositório de certificados SSL, a configuração SSL de IP e a configuração de certificados compartilhados. Para obter informações sobre como configurar o controle do código-fonte, consulte Configure source control for Windows Azure Pack: Web Sites. Para obter informações sobre as práticas recomendadas de segurança para sites, consulte Windows Azure Pack: Web Sites Security Enhancements.

Configurar o SSL de IP

Se você deseja habilitar sites de locatário para usar certificados SSL baseados em IP, deverá configurar os Front-ends, o Controlador e, opcionalmente, um balanceador de carga de hardware para fazer isso.

Observação

O SSL de SNI (Indicação de Nome de Servidor) está habilitado por padrão. Para disponibilizá-lo para locatários, inclua-o nos planos que você cria no Portal de Gerenciamento para Administradores.

Para configurar o SSL de IP

  1. Associe os endereços IP que você deseja usar:

    1. Em cada servidor Front-end, abra a interface de gerenciamento de rede.

    2. Clique em Protocolo IP Versão 6 (TCP/IPv6) e em Propriedades.

    3. Clique em Avançado para abrir as propriedades Avançadas.

    4. Clique em Adicionar para adicionar os endereços IP.

    5. Repita essas etapas para o Protocolo IP Versão 4 (TCP/IPv4).

      Dica

      Cada cliente ou site que usa o SSL de IP precisa ter um endereço IP em cada servidor front-end. Como isso pode exigir muito trabalho, talvez você queira usar um script para automatizar a associação de endereços IP.

  2. Em seguida, configure a nuvem de site para usar os endereços IP para o tráfego do SSL de IP.

    1. No portal de gerenciamento para administradores, clique em Nuvens do Site e clique duas vezes na nuvem a ser configurada.

    2. Clique em Funções e escolha o servidor front-end.

    3. Clique em SSL de IP.

    4. Clique em Adicionar para adicionar o intervalo de endereços IP.

    5. Insira o endereço inicial e o endereço final. Clique na marca de seleção.

      Observação

      O intervalo de endereços IP deve ser exclusivo para cada servidor de front-end.

    6. Repita essas etapas para os endereços IPv4 e IPv6.

    Repita essas etapas para cada servidor de front-end no web farm.

  3. Se você estiver usando um balanceador de carga de hardware upstream para equilibrar o tráfego para os servidores de front-end, a etapa final será editar o registro e cancelar o registro de scripts de retorno de chamada, de forma que a nuvem de site possa se comunicar com o balanceador de carga para criar os pools de balanceador de carga para um endereço IP específico.

    Os scripts de retorno de chamada estão localizados no controlador de nuvem do site de Sites no web farm, no caminho C:\Arquivos de Programas\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Edite o script DNS-RegisterSSLBindings.ps1. Esse script é usado quando um usuário cria ou edita um site que usa o SSL de IP.

      1. Use o $bindings para criar um pool de balanceadores de carga. Você pode usar o $hostname como uma chave para rastreá-lo.

      2. Retorne o endereço IP virtual atribuído ao pool do balanceador de carga (usando $retval).

    2. Edite o script DNS-DeRegisterSSLBindings.ps1. Esse script é usado quando um usuário remove o SSL de IP de seu site, ou exclui ou desprovisiona o site.

      Retornar um valor vazio (usando $retval).

Configurar certificados compartilhados

O serviço de Sites usa certificados para criptografar dados entre os servidores Front-end, os Publicadores e o Controlador.

Por padrão, o Microsoft Azure Pack: Os Sites fornecem certificados autoassinados para que suas operações iniciais não ocorram em texto não criptografado. É claro que certificados autoassinados geram mensagens de aviso de certificado e não devem ser usados em um ambiente de produção.

Em um ambiente de produção, três certificados são necessários para proteger pontos de extremidade no farm de sites:

  • Front-End - O certificado de front-end é usado para SSL compartilhado e para operações de controle do código-fonte, e tem uma associação em 'todos não atribuídos'. O certificado Front-End deve ter duas entidades.

  • Publicador - O certificado Publicador protege o tráfego FTPS e Implantação da Web.

Você obtém esses certificados de uma Autoridade de Certificação (CA) e carrega-os através do Portal de Gerenciamento para Administradores. Você fornece a senha para cada certificado de forma que ela possa ser implantada no farm.

O certificado de domínio padrão

O certificado de domínio padrão é colocado na função Front-End e é usado por sites de locatários para solicitações de curinga ou domínio padrão para o farm de site. O certificado padrão também é usado para operações de controle do código-fonte.

Esse certificado precisa estar no formato .pfx e deve ser um certificado curinga com duas entidades. Isso permite que o domínio padrão e o ponto de extremidade scm para operações de controle do código-fonte sejam abrangidos por um certificado:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Dica

Um certificado de duas entidades às vezes é chamado de certificado SAN (Nome Alternativo da Entidade). Uma vantagem de um certificado de duas entidades é que o comprador só precisa comprar um certificado, em vez de dois.

Especificar o certificado do domínio padrão

  1. No Portal de Gerenciamento para Administradores, clique em Nuvens do Site e escolha a nuvem a ser configurada.

  2. Clique em Configurar para abrir a página de configuração da nuvem do site.

  3. No campo Certificado Padrão de Sites, clique no ícone da pasta. A caixa de diálogo Carregar Certificado Padrão de Sites aparece.

  4. Navegue até e carregue o certificado a ser usado.

  5. Insira a senha do certificado e clique na marca de seleção. O certificado será propagado para todos os servidores Front-end do web farm.

O certificado para publicação

O certificado para a função Publicador protege a Implantação da Web e o tráfego de FTPS para proprietários de sites ao carregar o conteúdo em seus sites.

No Portal de Gerenciamento para Administradores, a página Configurar para a nuvem do site contém uma seção Configurações de Publicação onde você exibe ou configura as entradas DNS de Implantação da Web e Implantação FTP.

O certificado para publicação precisa conter uma entidade que corresponda à entrada DNS de Implantação da Web e uma entidade que corresponda à entrada DNS de Implantação FTPS.

Observação

Se você usou curingas no certificado padrão, também pode usar o certificado padrão para o publicador. No entanto, é mais seguro fornecer um certificado separado.

Especificar o certificado para publicação

  1. No Portal de Gerenciamento para Administradores, clique em Nuvens do Site e escolha a nuvem a ser configurada.

  2. Clique em Configurar para abrir a página de configuração da nuvem do site.

  3. No campo Certificado do Publicador, clique no ícone da pasta. A caixa de diálogo Carregar Certificado do Publicador aparece.

  4. Navegue até e carregue o certificado a ser usado.

  5. Insira a senha do certificado e clique na marca de seleção. O certificado será propagado para todos os servidores de Publicação do web farm.

Alterar Publicação da Implantação da Web para HTTPS

Durante a instalação, configuração de publicação do DNS de Implantação da Web assume como padrão HTTP (porta 80). Uma prática recomendada é alterar isso para HTTPS (porta 443). Para isso, execute as etapas a seguir:

  1. No Portal de Gerenciamento para Administradores, clique em Nuvens do Site e escolha a nuvem a ser configurada.

  2. Clique em Configurar para abrir a página de configuração da nuvem do site.

  3. Na seção Configurações da Publicação , adicione :443 à entrada DNS de Implantação da Web (por exemplo, publish.domainname:443).

  4. Na barra de comandos na parte inferior da página do portal, clique em Salvar.

Práticas recomendadas para certificados

  • Verifique se a entidade de certificado correspondente está correta. Microsoft Azure Pack: Os Sites não permitem que os certificados sejam carregados quando há incompatibilidades.

  • A configuração mais segura é ter certificados separados e domínios separados. Isso ajuda a proteger contra cenários de phishing e ataques de engenharia social.

  • Atente para a expiração do certificado. Atualize os certificados com certa regularidade.

  • Para obter informações sobre como substituir certificados autoassinados não confiáveis por certificados confiáveis no próprio Windows Azure Pack, consulte Post-installation best practices no guia Deploy Windows Azure Pack for Windows Server .

Habilitar o suporte de comando do PowerShell

O sistema de Sites do Microsoft Azure Pack vem com um conjunto avançado de comandos do PowerShell para gerenciar o sistema. Esses comandos permitem que o administrador de sistema execute todas as ações disponíveis no portal, bem como outras que não estão.

Para acessar os comandos do PowerShell para os Sites do Microsoft Azure Pack, use o comando do PowerShell

import-module websitesdev

Há informações de ajuda para cada comando. Para obter uma lista de comandos, use o comando

get-commands –module websitesdev

Para obter informações sobre um comando específico, use o comando

Nome> do comando get-help<

Habilitar o modo ISAPI/Clássico

Você pode habilitar o modo ISAPI/Clássico no Microsoft Azure Pack: Sites usando os comandos do PowerShell.

Para definir o modo clássico de um site, execute os seguintes comandos. Substitua <o nome do> site pelo nome do seu site.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName sitename<>

Para verificar se o modo Clássico foi definido, você pode executar o comando a seguir que produz um despejo de sua configuração do site. Substitua <o nome do> site pelo nome do seu site.

Get-websitessite –rawview –name <sitename>

Consulte Também

Implantar o Microsoft Azure Pack: Sites