配置 Microsoft Azure 包:网站
适用于:Windows Azure Pack
本章介绍配置后进行的其他配置,包括配置 SSL 证书存储区、配置 IP SSL 和配置共享证书。 有关配置源代码管理的信息,请参阅 Configure source control for Windows Azure Pack: Web Sites。 有关网站的安全性最佳实践的信息,请参阅 Windows Azure Pack: Web Sites Security Enhancements。
配置 IP SSL
如果要使租户网站可使用基于 IP 的 SSL 证书,则必须配置前端、控制器和(可选)硬件负载平衡器以这样做。
注意
默认情况下,启用 SNI(服务器名称指示)SSL。 为使其对租户可用,请在供管理员使用的管理门户内创作的计划中加入它。
配置 IP SSL
绑定您要使用的 IP 地址:
在每个前端服务器上,打开网络管理界面。
单击“Internet 协议版本 6 (TCP/IPv6)”,然后单击“属性”。
单击“高级”打开“高级”属性。
单击“添加”添加 IP 地址。
对“Internet 协议版本 4 (TCP/IPv4)”重复上述步骤。
提示
每个使用 IP SSL 的客户或网站需要在每个前端服务器有一个 IP 地址。 由于这项工作可能会耗费大量精力,因此您可能要使用脚本自动绑定 IP 地址。
下面,配置网站云对 IP SSL 流量使用 IP 地址。
在管理员管理门户中,单击“网站云”,然后双击您要配置的云。
单击“角色”,然后选择前端服务器。
单击“IP SSL”。
单击“添加”添加 IP 地址范围。
输入起始地址和结束地址,然后单击复选框记。
注意
每个前端服务器的 IP 地址范围都是唯一的。
对 IPv4 和 IPv6 地址重复上述步骤。
对 Web 场中的每个前端服务器重复这些步骤。
如果使用上游硬件负载平衡器来平衡指向前端服务器的流量,则最终步骤是编辑注册表,取消注册回调脚本,以便网站云能够与负载平衡器通讯,为给定的 IP 地址创建负载平衡器池。
回调脚本位于 Web 场中网站云控制器上的路径 C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win 中。
编辑 DNS-RegisterSSLBindings.ps1 脚本。 任何时候用户创建或编辑使用 IP SSL 的网站时,都可以使用此脚本。
使用 $bindings 创建负载均衡器池。 可以使用 $hostname 作为关键字来跟踪它。
返回为负载平衡器池指定的虚拟 IP 地址(使用 $retval)。
编辑 DNS-DeRegisterSSLBindings.ps1 脚本。 用户从其网站删除 IP SSL 或者删除或取消配置网站时,即使用此脚本。
传回一个空值(使用 $retval)。
配置共享证书
网站服务使用证书在前端服务器、发布服务器和控制器之间加密数据。
默认情况下,Microsoft Azure 包:网站提供自签名证书,以使初始操作不会以明文形式进行。 当然,自签名证书将导致证书警告消息,因此不得用于生产环境中。
在生产环境下,在网站场中保护终结点需要三个证书:
前端 - 前端证书用于共享 SSL 和源代码管理操作,并与“所有未分配的”绑定。 前端证书必须为双使用者证书。
发布服务器 - 发布证书保护 FTPS 和 Web 部署流量。
您从证书颁发机构 (CA) 获取这些证书,然后通过供管理员使用的管理门户上载这些证书。 您为每个证书提供密码,以使其可部署到场。
默认域证书
默认域证书放置在前端角色上,并由租户网站用于向网站场提出通配或默认域请求。 默认证书还用于源代码管理操作。
此证书需为 .pfx 格式,并应为双使用者通配证书。 这样,只需一个证书,即可涵盖源代码管理操作的默认域和 scm 终结点:
*.<DomainName.com>
*.scm. <DomainName.com>
提示
双使用者证书有时称为使用者备用名称 (SAN) 证书。 双使用者证书的优势之一是购买者只需购买一个证书,而不必购买两个。
指定默认域的证书
在供管理员使用的管理门户中,单击“网站云”,然后选择要配置的云。
单击“配置”打开网站云配置页。
在“网站默认证书”字段中,单击文件夹图标。 随后将显示“上载默认网站证书”对话框。
浏览到要使用的证书并上载它。
为证书输入密码,然后单击选中标记。 该证书将传播到 Web 场中的所有前端服务器。
用于发布的证书
发布服务器角色的证书在网站所有者向其网站上载内容时保护其 Web 部署和 FTPS 流量。
在供管理员使用的管理门户中,网站云的“配置”页含有一个“发布设置”部分,从中可查看或配置 Web 部署和 FTP 部署 DNS 条目。
用于发布的证书需要包含一个与 Web 部署 DNS 条目匹配的使用者和一个与 FTPS 部署 DNS 条目匹配的使用者。
注意
如果在默认证书中使用通配符,则也可将默认证书用于发布服务器。 但是,提供一个单独的证书更安全。
指定用于发布的证书
在供管理员使用的管理门户中,单击“网站云”,然后选择要配置的云。
单击“配置”打开网站云配置页。
在“发布服务器证书”字段中,单击文件夹图标。 随后将显示“上载发布服务器证书”对话框。
浏览到要使用的证书并上载它。
为证书输入密码,然后单击选中标记。 该证书将传播到 Web 场中的所有发布服务器。
将 Web 部署发布更改为 HTTPS
在安装期间,Web 部署 DNS 发布设置默认为 HTTP(端口 80)。 最佳做法是将该设置更改为 HTTPS(端口 443)。 为此,请执行以下步骤:
在供管理员使用的管理门户中,单击“网站云”,然后选择要配置的云。
单击“配置”打开网站云配置页。
在 “发布设置” 部分,将:443 添加到 “Web 部署 DNS” 条目(例如,publish.domainname:443)。
在门户页面底部的命令栏中,单击 “保存”。
证书的最佳实践
确保证书使用者匹配正确无误。 Windows Azure 包:网站不允许在有不匹配情况时上载证书。
最安全的设置是配备单独的证书和单独的域。 这样可帮助抵御钓鱼情况和社会工程攻击。
密切注意证书是否到期。 稍有规律地定期刷新证书。
有关在 Windows Azure Pack 自身内将不信任的自签名证书替换为受信任证书的信息,请参阅 Post-installation best practices 指南中的 Deploy Windows Azure Pack for Windows Server 。
启用 PowerShell 命令支持
Microsoft Azure 包网站系统附带了一组丰富的 PowerShell 命令,可用于管理该系统。 使用这些命令,系统管理员能够执行门户中提供的所有操作以及某些未提供的操作。
为了访问 Microsoft Azure 包网站的 PowerShell 命令,请使用 PowerShell 命令
import-module websitesdev
存在针对每个命令的帮助信息。 若要获取命令列表,请使用以下命令
get-commands –module websitesdev
有关特定命令的信息,请使用以下命令
get-help <命令名称>
启用 ISAPI/经典模式
可以使用 PowerShell 命令在 Microsoft Azure 包:网站中启用 ISAPI/经典模式。
若要设置网站的经典模式,请运行以下命令。 将 sitename> 替换为<网站的名称。
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -SiteName <sitename>
若要验证是否已设置经典模式,可以运行以下命令,该命令会生成网站配置转储。 将 sitename> 替换为<网站的名称。
Get-websitessite –rawview –name <sitename>