Configure Windows Azure Pack: Sitios web

  • Artículo

 

Se aplica a: Windows Azure Pack

Este capítulo proporciona información sobre la configuración adicional posterior al aprovisionamiento, incluida la configuración del almacén de certificados SSL, la configuración de IP SSL y la configuración de certificados compartidos. Para obtener información acerca de cómo configurar el control de código fuente, vea Configure source control for Windows Azure Pack: Web Sites. Para obtener información sobre las prácticas recomendadas de seguridad para Sitios web, vea Windows Azure Pack: Web Sites Security Enhancements.

Configurar IP SSL

Si desea permitir que los sitios web de inquilino utilicen certificados SSL basados en IP, debe configurar los front-ends, el controlador y, opcionalmente, un equilibrador de carga de hardware.

Nota:

SSL SNI (Indicación de nombre de servidor) está habilitado de forma predeterminada. Para que esté disponible para los inquilinos, inclúyalo en los planes que cree en el Portal de administración para administradores.

Para configurar IP SSL

  1. Enlace las direcciones IP que desea utilizar:

    1. En cada servidor front-end, abra la interfaz de administración de red.

    2. Haga clic en Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Propiedades.

    3. Haga clic en Avanzadas para abrir las propiedades avanzadas.

    4. Haga clic en Agregar para agregar las direcciones IP.

    5. Repita estos pasos para el Protocolo de Internet versión 4 (TCP/IPv4).

      Sugerencia

      Cada cliente o sitio web que utiliza IP SSL necesita tener una dirección IP en cada servidor front-end. Puesto que esto puede ser muy laborioso, puede usar un script para automatizar el enlace de direcciones IP.

  2. Después, configure la nube de sitios web para que utilice las direcciones IP para el tráfico de IP SSL.

    1. En el Portal de administración para administradores, haga clic en Nubes de sitios web y, a continuación, haga doble clic en la nube que desea configurar.

    2. Haga clic en Roles y elija el servidor front-end.

    3. Haga clic en IP SSL.

    4. Haga clic en Agregar para agregar el intervalo de direcciones IP.

    5. Especifique la dirección inicial y la dirección final, y haga clic en la marca de verificación.

      Nota:

      El intervalo de direcciones IP debe ser único para cada servidor front-end.

    6. Repita estos pasos para las direcciones IPv4 e IPv6.

    Repita estos pasos para todos los servidores front-end de la granja de servidores web.

  3. Si está usando un equilibrador de carga de hardware de nivel superior para equilibrar el tráfico hacia los servidores front-end, el último paso consiste en editar los scripts de devolución de llamada para registrar o para anular el registro de forma que la nube de sitios web pueda comunicarse con el equilibrador de carga para crear los grupos de equilibradores de carga para una dirección IP determinada.

    Los scripts de devolución de llamada se encuentran en el controlador de la nube de sitios web de la granja de servidores web, en la ruta de acceso C:\Archivos de programa\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Edite el script DNS-RegisterSSLBindings.ps1. Este script se utiliza siempre que un usuario crea o edita un sitio web que usa IP SSL.

      1. Use el $bindings para crear un grupo de equilibradores de carga. Puede usar el $hostname como clave para realizar un seguimiento.

      2. Devuelve la dirección IP virtual asignada al grupo de equilibradores de carga (mediante $retval).

    2. Edite el script DNS-DeRegisterSSLBindings.ps1. Este script se utiliza siempre que un usuario quita IP SSL de su sitio web o elimina o desaprovisiona el sitio web.

      Pase un valor vacío (mediante $retval).

Configurar certificados compartidos

El servicio Sitios web utiliza certificados para cifrar los datos entre los servidores front-end, los publicadores y el controlador.

De forma predeterminada, Windows Azure Pack: Sitios web proporciona certificados autofirmados de modo que las operaciones iniciales no se realicen en texto sin cifrar. Por supuesto, los certificados autofirmados generan mensajes de advertencia de certificado y no se deben utilizar en un entorno de producción.

En un entorno de producción, se necesitan tres certificados para proteger los extremos de la granja de sitios web:

  • Front-end: el certificado de front-end se utiliza para SSL compartido y para operaciones de control de código fuente, y tiene un enlace en "Todas sin asignar". El certificado de front-end debe ser un certificado con dos firmantes.

  • Publicador: el certificado de publicador protege el tráfico FTPS y Web Deploy.

Recibe estos certificados de una entidad de certificación (CA) y los carga a través del Portal de administración para administradores. Proporcione la contraseña de cada certificado para que se pueda implementar en la granja.

El certificado de dominio predeterminado

El certificado de dominio predeterminado se coloca en el rol front-end y lo utilizan los sitios web de los inquilinos para las solicitudes de dominio comodín o predeterminado a la granja de sitios web. El certificado predeterminado también se utiliza para las operaciones de control de código fuente.

Este certificado debe tener el formato .pfx y debe ser un certificado comodín con dos firmantes. Esto permite abarcar con un solo certificado el dominio predeterminado y el extremo scm para las operaciones de control de código fuente:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Sugerencia

Un certificado con dos firmantes se denomina a veces un certificado de Nombre alternativo del firmante (SAN). Una ventaja de los certificados con dos firmantes es que el comprador solo tiene que adquirir un certificado en lugar de dos.

Especificar el certificado para el dominio predeterminado

  1. En el Portal de administración para administradores, haga clic en Nubes de sitios web y elija la nube que desea configurar.

  2. Haga clic en Configurar para abrir la página de configuración de la nube de sitios web.

  3. En el campo Certificado predeterminado de sitios web, haga clic en el icono de carpeta. Aparecerá el cuadro de diálogo Cargar certificado predeterminado de sitios web.

  4. Busque el certificado que desea utilizar y cárguelo.

  5. Escriba la contraseña del certificado y haga clic en la marca de verificación. El certificado se propagará a todos los servidores front-end de la granja de servidores web.

El certificado para publicar

El certificado para el rol de publicador protege el tráfico de Web Deploy y FTPS para los propietarios de sitios web cuando cargan contenido en sus sitios web.

En el Portal de administración para administradores, la página Configurar de la nube de sitios web contiene una sección Configuración de publicación donde puede ver o configurar las entradas DNS de Web Deploy e implementación FTP.

El certificado para publicar debe contener un firmante que coincida con la entrada DNS de Web Deploy y un firmante que coincida con la entrada DNS de implementación FTPS.

Nota

Si empleó caracteres comodín en el certificado predeterminado, puede utilizar también el certificado predeterminado para el publicador. Sin embargo, es más seguro proporcionar un certificado diferente.

Especificar el certificado para publicar

  1. En el Portal de administración para administradores, haga clic en Nubes de sitios web y elija la nube que desea configurar.

  2. Haga clic en Configurar para abrir la página de configuración de la nube de sitios web.

  3. En el campo Certificado del publicador, haga clic en el icono de carpeta. Aparecerá el cuadro de diálogo Cargar certificado del publicador.

  4. Busque el certificado que desea utilizar y cárguelo.

  5. Escriba la contraseña del certificado y haga clic en la marca de verificación. El certificado se propagará a todos los servidores de publicación de la granja de servidores web.

Cambiar publicación de implementación web a HTTPS

Durante la instalación, la configuración predeterminada de la publicación del DNS de implementación es HTTP (puerto 80). Como práctica recomendada, debe cambiarla a HTTPS (puerto 443). Para ello, siga los pasos que se indican a continuación:

  1. En el Portal de administración para administradores, haga clic en Nubes de sitios web y elija la nube que desea configurar.

  2. Haga clic en Configurar para abrir la página de configuración de la nube de sitios web.

  3. En la sección Configuración de publicación , agregue: 443 a la entrada DNS de implementación web (por ejemplo, publish.domainname:443).

  4. En la barra de comandos de la parte inferior del portal, haga clic en Guardar.

Prácticas recomendadas para certificados

  • Asegúrese de que la coincidencia entre los firmantes de los certificados sea correcta. Windows Azure Pack: Sitios web no permite cargar certificados si hay discrepancias.

  • La configuración más segura es tener certificados independientes y dominios diferentes. Esto ayuda a defenderse contra escenarios de suplantación de identidad (phishing) y ataques de ingeniería social.

  • Esté atento a la expiración de los certificados. Actualice los certificados con cierta periodicidad.

  • Para obtener información sobre cómo reemplazar certificados autofirmados que no son de confianza con certificados de confianza en el propio Windows Azure Pack, vea Post-installation best practices en la guía Deploy Windows Azure Pack for Windows Server .

Habilitar la compatibilidad con comandos de PowerShell

El sistema de Sitios web del Paquete de Microsoft Azure incluye un amplio conjunto de comandos de PowerShell para administrar el sistema. Estos comandos permiten al administrador del sistema realizar todas las acciones disponibles en el portal, así como otras que no lo están.

Para obtener acceso a los comandos de PowerShell para Sitios web del Paquete de Microsoft Azure, use el comando de PowerShell

import-module websitesdev

Hay información de ayuda para cada comando. Para obtener una lista de comandos, use el comando

get-commands –module websitesdev

Para obtener información sobre un comando específico, use el comando

Nombre> del comando get-help<

Habilitar el modo ISAPI o clásico

Puede habilitar el modo ISAPI o clásico en el Paquete de Microsoft Azure: Sitios web con comandos de PowerShell.

Para establecer el modo clásico de un sitio web, ejecute los siguientes comandos. Reemplace <sitename> por el nombre del sitio web.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <sitename>

Para comprobar que se ha establecido el modo clásico, puede ejecutar el siguiente comando que realiza un volcado de la configuración del sitio web. Reemplace <sitename> por el nombre del sitio web.

Get-websitessite –rawview –name <sitename>

Consulte también

Implementar Windows Azure Pack: Sitios web