Microsoft Azure Pack: Websites

Gilt für: Windows Azure Pack

Das Kapitel enthält Informationen zu zusätzlichen Konfigurationen nach der Bereitstellung sowie zum Konfigurieren des SSL-Zertifikatspeichers, dem Konfigurieren von IP-SSL und zum Konfigurieren von freigegebenen Zertifikaten. Informationen zum Konfigurieren der Quellcodeverwaltung finden Sie unter Configure source control for Windows Azure Pack: Web Sites. Weitere Informationen zu bewährten Sicherheitsmethoden für Websites finden Sie unter Windows Azure Pack: Web Sites Security Enhancements.

Konfigurieren der IP-SSL

Wenn Sie Mandantenwebsites aktivieren möchten, um IP-basierte SSL-Zertifikate zu verwenden, müssen Sie dazu die Front-Ends, den Controller und optional einen Hardwarelastenausgleich konfigurieren.

So konfigurieren Sie die IP-SSL

1. Binden Sie die gewünschten IP-Adressen:

   1. Öffnen Sie auf jedem Front-End-Server die Schnittstelle für die Netzwerkverwaltung.

   2. Klicken Sie auf Internetprotokoll Version 6 (TCP/IPv6), und klicken Sie dann auf Eigenschaften.

   3. Klicken Sie auf Erweitert, um die erweiterte Eigenschaftenseite zu öffnen.

   4. Klicken Sie auf Hinzufügen, um die IP-Adressen hinzufügen.

   5. Wiederholen Sie diese Schritte für die Internetprotokoll-Version 4 (TCP/IPv4).

      Tipp

      Jeder Kunde oder Website, die IP-SSL verwenden, muss eine IP-Adresse auf jedem Front-End-Server haben. Da dies arbeitsintensiv werden kann, sollten Sie ein Skript verwenden, um die Bindung der IP-Adressen zu automatisieren.

2. Anschließend konfigurieren Sie die Websitecloud, sodass die IP-Adressen für IP-SSL-Datenverkehr verwendet werden.

   1. Klicken Sie im Verwaltungsportal für Administratoren auf Website-Clouds, und doppelklicken Sie dann auf die Cloud, die Sie konfigurieren möchten.

   2. Klicken Sie auf Rollen, und wählen Sie dann den Front-End-Server aus.

   3. Klicken Sie auf IP-SSL.

   4. Klicken Sie auf Hinzufügen, um den IP-Adressbereich hinzuzufügen.

   5. Geben Sie die Anfangsadresse und Endadresse ein, und klicken Sie auf das Häkchen.

      Hinweis

      Der IP-Adressbereich muss für jeden Front-End-Server eindeutig sein.

   6. Wiederholen Sie diese Schritte für IPv4- und IPv6-Adressen.

   Wiederholen Sie diese Schritte für jeden Front-End-Server in der Webfarm.

3. Wenn Sie einen vorgelagerten Hardwarelastenausgleich verwenden, um den Datenverkehr zu den Front-End-Servern auszugleichen, ist der finale Schritt, die Rückrufskripts für die Registrierung und die Aufhebung der Registrierung zu bearbeiten, sodass die Website-Cloud mit dem Lastenausgleich kommunizieren kann, um die Lastenausgleichspools für eine angegebene IP-Adresse zu erstellen.

   Die Rückrufskripts befinden sich auf dem Website-Cloudcontroller in der Webfarm im Pfad "C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win".

   1. Bearbeiten Sie das Skript "DNS-RegisterSSLBindings.ps1". Dieses Skript wird verwendet, wenn ein Benutzer eine Website erstellen oder bearbeiten möchte, die IP-SSL verwendet.

      1. Verwenden Sie die $bindings, um einen Lastenausgleichspool zu erstellen. Sie können die $hostname als Schlüssel zum Nachverfolgen verwenden.

      2. Geben Sie die virtuelle IP-Adresse zurück, die dem Lastenausgleichspool zugewiesen ist (mit $retval).

   2. Bearbeiten Sie das Skript "DNS-DeRegisterSSLBindings.ps1". Dieses Skript wird verwendet, wenn ein Benutzer IP-SSL aus den Websites entfernt oder eine Website löscht bzw. die Bereitstellung aufhebt.

      Übergeben Sie einen leeren Wert (mit $retval).

Konfigurieren freigegebener Zertifikate

Der Websitedienst verwendet Zertifikate, um Daten zwischen den Front-End-Servern, den Verlegern und dem Controller zu verschlüsseln.

Standardmäßig stellt Windows Azure Pack: Websites selbstsignierte Zertifikate bereit, damit Ihre ersten Vorgänge nicht unverschlüsselt erfolgen. Natürlich verursachen selbstsignierte Zertifikate Zertifikatswarnmeldungen und dürfen nicht in einer Produktionsumgebung verwendet werden.

In einer Produktionsumgebung sind drei Zertifikate zum Sichern von Endpunkten in der Websitefarm erforderlich:

• Front-End – Das Front-End-Zertifikat wird für freigegebenes SSL und für Quellcodeverwaltungsvorgänge verwendet, und hat eine Bindung für "Alle nicht zugewiesenen". Das Front-End-Zertifikat muss ein Zertifikat mit zwei Subjekten sein.

• Verleger – Das Veröffentlichungszertifikat sichert FTPS- und Web Deploy-Datenverkehr.

Sie erhalten diese Zertifikate von einer Zertifizierungsstelle (CA) und laden sie durch das Verwaltungsportal für Administratoren hoch. Sie stellen das Kennwort für jedes Zertifikat bereit, damit es der Farm bereitgestellt werden kann.

Das Standarddomänenzertifikat

Der Standarddomänenzertifikat wird auf die Front-End-Rolle platziert und wird von Mandantenwebsites für Platzhalter- oder Standarddomänenanforderungen zur Websitefarm verwendet. Das Standardzertifikat wird auch für Quellcodeverwaltungsvorgänge verwendet.

Dieses Zertifikat muss im PFX-Format sein und sollte ein Platzhalterzertifikat mit zwei Subjekten sein. Dadurch können die Standarddomäne und der scm-Endpunkt für Quellcodeverwaltungsvorgänge durch ein Zertifikat abgedeckt werden:

• *. <DomainName.com>

• *.scm. <DomainName.com>

Angeben des Zertifikats für die Standarddomäne

1. Klicken Sie im Verwaltungsportal für Administratoren auf Website-Clouds, und wählen Sie dann die Cloud aus, die Sie konfigurieren möchten.

2. Klicken Sie auf Konfigurieren, um die Konfigurationsseite für die Websitecloud zu öffnen.

3. Klicken Sie im Feld Standardzertifikat für Websites auf das Ordnersymbol. Das Dialogfeld Standardzertifikat für Websites hochladen wird angezeigt.

4. Navigieren Sie zum Zertifikat, das Sie verwenden möchten, und laden Sie es hoch.

5. Geben Sie das Kennwort für das Zertifikat ein, und klicken Sie dann auf das Häkchen. Das Zertifikat wird auf alle Front-End-Server in der Webfarm weitergegeben.

Zertifikat für das Veröffentlichen

Das Zertifikat für die Verleger-Rolle sichert den Web Deploy- und FTPS-Datenverkehr für Websitebesitzer, wenn sie Inhalte zu ihren Websites hochladen.

Im Verwaltungsportal für Administratoren enthält die Seite Konfigurieren für die Websitecloud einen Abschnitt Veröffentlichungseinstellungen, in dem Sie Web Deploy- und FTP Deploy DNS-Einträge anzeigen oder konfigurieren können.

Das Zertifikat für das Veröffentlichen muss ein Subjekt enthalten, das mit dem Web Deploys DNS-Eintrag übereinstimmt, sowie ein Subjekt, das mit dem FTPS Deploy DNS-Eintrag übereinstimmt.

Angeben des Zertifikats für das Veröffentlichen

1. Klicken Sie im Verwaltungsportal für Administratoren auf Website-Clouds, und wählen Sie dann die Cloud aus, die Sie konfigurieren möchten.

2. Klicken Sie auf Konfigurieren, um die Konfigurationsseite für die Websitecloud zu öffnen.

3. Klicken Sie im Feld Herausgeberzertifikat auf das Ordnersymbol. Das Dialogfeld Herausgeberzertifikat hochladen wird angezeigt.

4. Navigieren Sie zum Zertifikat, das Sie verwenden möchten, und laden Sie es hoch.

5. Geben Sie das Kennwort für das Zertifikat ein, und klicken Sie dann auf das Häkchen. Das Zertifikat wird auf alle Veröffentlichungsserver in der Webfarm weitergegeben.

Ändern der Web Deploy-Veröffentlichung in HTTPS

Während der Installation wird die Einstellung für die Web Deploy DNS-Veröffentlichung standardmäßig auf HTTP (Port 80) festgelegt. Es wird empfohlen, dies in HTTPS (Port 443) zu ändern. Führen Sie dazu die folgenden Schritte aus:

1. Klicken Sie im Verwaltungsportal für Administratoren auf Website-Clouds, und wählen Sie dann die Cloud aus, die Sie konfigurieren möchten.

2. Klicken Sie auf Konfigurieren, um die Konfigurationsseite für die Websitecloud zu öffnen.

3. Fügen Sie im Abschnitt Veröffentlichungseinstellungen dem Eintrag Web Deploy DNS ":443" hinzu (z. B. publish.domainname:443).

4. Klicken Sie auf der Befehlsleiste unten im Portal auf Speichern.

Bewährte Methoden für Zertifikate

• Stellen Sie sicher, dass der Abgleich der Antragsteller des Zertifikats ordnungsgemäß erfolgt. Windows Azure Pack: Websites lässt nicht zu, dass Zertifikate hochgeladen werden, wenn keine Übereinstimmung vorliegt.

• Das sicherste Setup ist, unterschiedliche Zertifikate zu haben und Domänen zu trennen. Dies hilft bei der Verteidigung gegen Phishingszenarien und Social Engineering-Angriffe.

• Überwachen Sie den Zertifikatsablauf. Aktualisieren Sie Zertifikate regelmäßig.

• Informationen zum Ersetzen von nicht vertrauenswürdigen selbstsignierten Zertifikate mit vertrauenswürdigen Zertifikaten in Windows Azure-Paket selbst finden Sie unter Post-installation best practices im Deploy Windows Azure Pack for Windows Server -Handbuch.

Aktivieren der Unterstützung für PowerShell-Befehle

Das Windows Azure Pack: Websites-System bietet einen umfangreichen Satz von PowerShell-Befehlen für die Verwaltung des Systems. Diese Befehle ermöglichen dem Systemadministrator die Ausführung aller im Portal verfügbaren Aktionen sowie einiger Aktionen, die hier nicht verfügbar sind.

Verwenden Sie für den Zugriff auf die PowerShell-Befehle für Windows Azure Pack: Websites den PowerShell-Befehl

Importmodulwebsitesdev

Es gibt für jeden Befehl Hilfeinformationen. Um eine Liste der Befehle zu erhalten, verwenden Sie den Befehl

get-commands –module websitesdev

Weitere Informationen zu einem bestimmten Befehl erhalten Sie über den Befehl

Get-Help-Befehlsname<>

Aktivieren des ISAPI-/klassischen Modus

Sie können den ISAPI-/klassischen Modus für Windows Azure Pack: Websites mithilfe von PowerShell-Befehlen aktivieren.

Um den klassischen Modus für eine Website festzulegen, führen Sie die folgenden Befehle aus. Ersetzen Sie <den Websitenamen> durch den Namen Ihrer Website.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName sitename<>

Um sicherzustellen, dass der klassische Modus festgelegt wurde, können Sie den folgenden Befehl ausführen, der ein Speicherabbild der Konfiguration Ihrer Website erstellt. Ersetzen Sie <den Websitenamen> durch den Namen Ihrer Website.

Get-websitessite –rawview –name <sitename>

Weitere Informationen

Bereitstellen von Windows Azure Pack: Websites