Konfigurace Windows Sady Azure Pack: Weby

  • Článek

 

Platí pro: Windows Azure Pack

Tato kapitola obsahuje informace o další konfiguraci po zřízení, včetně konfigurace úložiště certifikátů SSL, konfigurace protokolu IP SSL a konfigurace sdílených certifikátů. Informace o konfiguraci správy zdrojového kódu naleznete v tématu Konfigurace správy zdrojového kódu pro Windows Azure Pack: Weby. Informace o osvědčených postupech zabezpečení pro weby najdete v tématu Windows Azure Pack: Vylepšení zabezpečení webů.

Konfigurace PROTOKOLU SSL protokolu IP

Pokud chcete povolit, aby weby klientů používaly certifikáty SSL založené na PROTOKOLU IP, musíte nakonfigurovat front-endy, řadič a volitelně nástroj pro vyrovnávání zatížení hardwaru.

Poznámka

Ssl SNI (Indikce názvu serveru) je ve výchozím nastavení povolený. Pokud ho chcete zpřístupnit tenantům, zahrňte ho do plánů, které vytvoříte na portálu pro správu pro správce.

Konfigurace PROTOKOLU SSL protokolu IP

  1. Vytvořte vazbu IP adres, které chcete použít:

    1. Na každém front-endovém serveru otevřete rozhraní pro správu sítě.

    2. Klepněte na položku Internet Protocol Version 6 (TCP/IPv6) a potom klepněte na příkaz Vlastnosti.

    3. Klepnutím na tlačítko Upřesnit otevřete rozšířené vlastnosti.

    4. Kliknutím na Přidat přidáte IP adresy.

    5. Opakujte tyto kroky pro protokol TCP/IPv4 (Internet Protocol Version 4).

      Tip

      Každý zákazník nebo web, který používá PROTOKOL IP SSL, musí mít IP adresu na každém front-end serveru. Protože to může být náročné na práci, můžete použít skript k automatizaci vazby IP adres.

  2. Dále nakonfigurujte cloud webu tak, aby používal IP adresy pro provoz PROTOKOLU SSL protokolu IP.

    1. Na portálu pro správu pro správce klikněte na Web Site Clouds a potom poklikejte na cloud, který chcete konfigurovat.

    2. Klikněte na Role a pak zvolte front-endový server.

    3. Klikněte na PROTOKOL SSL protokolu IP.

    4. Kliknutím na Přidat přidáte rozsah IP adres.

    5. Zadejte počáteční adresu a koncovou adresu a klikněte na značku zaškrtnutí.

      Poznámka

      Rozsah IP adres musí být pro každý front-end server jedinečný.

    6. Opakujte tyto kroky pro adresy IPv4 i IPv6.

    Opakujte tyto kroky pro každý front-end server ve webové farmě.

  3. Pokud k vyrovnávání provozu na front-endové servery používáte nadřazený hardwarový nástroj pro vyrovnávání zatížení, posledním krokem je úprava skriptů zpětného volání registru a zrušení registrace, aby cloud webu mohl komunikovat s nástrojem pro vyrovnávání zatížení a vytvořit fondy nástroje pro vyrovnávání zatížení pro danou IP adresu.

    Skripty zpětného volání jsou umístěny na cloudovém řadiči webu ve webové farmě v cestě C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Upravte skript DNS-RegisterSSLBindings.ps1. Tento skript se používá pokaždé, když uživatel vytvoří nebo upraví web, který používá PROTOKOL SSL protokolu IP.

      1. Pomocí $bindings vytvořte fond nástroje pro vyrovnávání zatížení. $hostname můžete použít jako klíč ke sledování.

      2. Vrátí virtuální IP adresu přiřazenou fondu nástroje pro vyrovnávání zatížení (pomocí $retval).

    2. Upravte skript DNS-DeRegisterSSLBindings.ps1. Tento skript se používá pokaždé, když uživatel odebere protokol IP SSL ze svého webu nebo odstraní nebo zruší zřídí web.

      Předejte prázdnou hodnotu (pomocí $retval).

Konfigurace sdílených certifikátů

Služba webu používá certifikáty k šifrování dat mezi front-endovými servery, vydavateli a kontrolerem.

Ve výchozím nastavení Windows Azure Pack: Weby poskytují certifikáty podepsané svým držitelem, aby se vaše počáteční operace neprojevily ve formátu prostého textu. Certifikáty podepsané svým držitelem samozřejmě způsobují zprávy upozornění certifikátu a nesmí se používat v produkčním prostředí.

V produkčním prostředí se pro zabezpečení koncových bodů ve farmě webů vyžadují tři certifikáty:

  • Front-end – Certifikát front-endu se používá pro sdílené ssl a pro operace správy zdrojového kódu a má vazbu na "všechny nepřiřazené". Certifikát front-endu musí být certifikátem s dvěma předměty.

  • Publisher – Certifikát publikování zabezpečuje přenosy FTPS a nasazení webu.

Tyto certifikáty získáte od certifikační autority (CA) a nahrajete je prostřednictvím portálu pro správu pro správce. Pro každý certifikát zadáte heslo, aby bylo možné ho nasadit do farmy.

Výchozí certifikát domény

Výchozí certifikát domény se umístí do role front-endu a používá je weby tenantů pro zástupné vozy nebo výchozí požadavky domény na farmu webů. Výchozí certifikát se používá také pro operace správy zdrojového kódu.

Tento certifikát musí být ve formátu .pfx a měl by se jednat o certifikát se zástupnými dvěma předměty. To umožňuje, aby se operace správy zdrojového kódu probíraly jedním certifikátem jak výchozí doména, tak koncový bod scm:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Tip

Certifikát s dvěma předměty se někdy označuje jako certifikát SAN (Subject Alternative Name). Jednou z výhod dvou předmětů je to, že nákupčí si musí koupit jenom jeden certifikát místo dvou.

Zadání certifikátu pro výchozí doménu

  1. Na portálu pro správu pro správce klikněte na Web Site Clouds a pak zvolte cloud, který chcete konfigurovat.

  2. Kliknutím na Konfigurovat otevřete stránku konfigurace cloudu webu.

  3. V poli Výchozí certifikát weby klikněte na ikonu složky. Zobrazí se dialogové okno Upload Výchozí certifikát webu.

  4. Vyhledejte certifikát, který chcete použít, a nahrajte ho.

  5. Zadejte heslo certifikátu a klikněte na značku zaškrtnutí. Certifikát se rozšíří na všechny front-endové servery ve webové farmě.

Certifikát pro publikování

Certifikát pro roli Publisher zabezpečuje provoz nasazení webu a FTPS pro vlastníky webu při nahrávání obsahu na své weby.

Na portálu pro správu pro správce obsahuje stránka Konfigurovat pro cloud webu oddíl Publikování Nastavení, kde zobrazíte nebo nakonfigurujete položky DNS pro nasazení webu a nasazení FTP.

Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS nasazení webu a předmětu, který odpovídá položce DNS pro nasazení serveru FTPS.

Poznámka

Pokud jste ve výchozím certifikátu použili zástupné cardy, můžete také použít výchozí certifikát pro vydavatele. Poskytnutí samostatného certifikátu je ale bezpečnější.

Zadání certifikátu pro publikování

  1. Na portálu pro správu pro správce klikněte na Web Site Clouds a pak zvolte cloud, který chcete konfigurovat.

  2. Kliknutím na Konfigurovat otevřete stránku konfigurace cloudu webu.

  3. V poli Publisher Certifikát klikněte na ikonu složky. Zobrazí se dialogové okno Upload Publisher Certifikát.

  4. Vyhledejte certifikát, který chcete použít, a nahrajte ho.

  5. Zadejte heslo certifikátu a klikněte na značku zaškrtnutí. Certifikát se rozšíří na všechny servery publikování ve webové farmě.

Změna publikování nasazení webu na HTTPS

Během instalace se nastavení publikování DNS nasazení webu ve výchozím nastavení nastaví na HTTP (port 80). Osvědčeným postupem je změnit tento postup na HTTPS (port 443). To provedete podle následujících kroků:

  1. Na portálu pro správu pro správce klikněte na Web Site Clouds a pak zvolte cloud, který chcete konfigurovat.

  2. Kliknutím na Konfigurovat otevřete stránku konfigurace cloudu webu.

  3. V části Publikování Nastavení přidejte :443 do položky DNS nasazení webu (například publish.domainname:443).

  4. Na panelu příkazů v dolní části stránky portálu klikněte na Uložit.

Osvědčené postupy pro certifikáty

  • Ujistěte se, že shoda předmětu certifikátu je správná. Windows Azure Pack: Weby neumožňují nahrání certifikátů, pokud dojde k neshodám.

  • Nejbezpečnějším nastavením je mít samostatné certifikáty a samostatné domény. To pomáhá bránit před útoky phishing a útoky na sociální inženýrství.

  • Sledujte vypršení platnosti certifikátu. Aktualizujte certifikáty poněkud pravidelně.

  • Informace o nahrazení nedůvěryhodných certifikátů Self-Signed důvěryhodnými certifikáty v Windows samotné sadě Azure Pack najdete v tématu Osvědčené postupy po instalaci v průvodci nasazením Windows Azure Pack pro Windows Server.

Povolení podpory příkazů PowerShellu

Systém webových webů sady Azure Pack Windows obsahuje bohatou sadu příkazů PowerShellu pro správu systému. Tyto příkazy umožňují správci systému provádět všechny akce, které jsou k dispozici na portálu, stejně jako některé jiné, které nejsou.

Pokud chcete získat přístup k příkazům PowerShellu pro weby sady Azure Pack Windows, použijte příkaz PowerShellu.

import-module websitesdev

Pro každý příkaz jsou k dispozici informace nápovědy. Pokud chcete získat seznam příkazů, použijte tento příkaz.

get-commands –module websitesdev

Informace o konkrétním příkazu najdete v příkazu.

get-help <– název> příkazu

Povolení režimu ISAPI/Classic

Režim ISAPI/Classic můžete povolit na Windows Azure Pack: Weby pomocí příkazů PowerShellu.

Pokud chcete nastavit klasický režim webu, spusťte následující příkazy. Nahraďte <název> webu názvem webu.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <název>_lokality

Pokud chcete ověřit, že je nastavený klasický režim, můžete spustit následující příkaz, který vytvoří výpis konfigurace webu. Nahraďte <název> webu názvem webu.

Get-websitessite –rawview – název <webu>

Viz také

Nasazení sady Windows Azure Pack: Weby