Windows Azure Pack configureren: websites

  • Artikel

 

Van toepassing op: Windows Azure Pack

Dit hoofdstuk bevat informatie over aanvullende configuratie na inrichting, waaronder het configureren van het SSL-certificaatarchief, het configureren van IP SSL en het configureren van gedeelde certificaten. Zie Broncodebeheer configureren voor Windows Azure Pack: websites voor meer informatie over het configureren van broncodebeheer. Zie Windows Azure Pack voor informatie over aanbevolen beveiligingsprocedures voor websites: Verbeteringen aan de beveiliging van websites.

IP SSL configureren

Als u tenantwebsites wilt inschakelen voor het gebruik van OP IP gebaseerde SSL-certificaten, moet u de Front Ends, de Controller en eventueel een hardware load balancer configureren om dit te doen.

Notitie

SNI (Server Name Indication) SSL is standaard ingeschakeld. Als u deze beschikbaar wilt maken voor tenants, neemt u deze op in de plannen die u in de beheerportal voor beheerders maakt.

IP SSL configureren

  1. Verbind de IP-adressen die u wilt gebruiken:

    1. Open op elke Front-endserver de netwerkbeheerinterface.

    2. Klik op Internet Protocol versie 6 (TCP/IPv6) en klik vervolgens op Eigenschappen.

    3. Klik op Geavanceerd om de geavanceerde eigenschappen te openen.

    4. Klik op Toevoegen om de IP-adressen toe te voegen.

    5. Herhaal deze stappen voor Internet Protocol versie 4 (TCP/IPv4).

      Tip

      Elke klant of website die GEBRUIKMAAKT van IP SSL moet een IP-adres op elke front-endserver hebben. Omdat dit arbeidsintensief kan worden, kunt u een script gebruiken om de binding van IP-adressen te automatiseren.

  2. Configureer vervolgens de websitecloud voor het gebruik van de IP-adressen voor IP SSL-verkeer.

    1. Klik in de beheerportal voor beheerders op WebsiteClouds en dubbelklik vervolgens op de cloud die u wilt configureren.

    2. Klik op Functies en kies vervolgens de front-endserver.

    3. Klik op IP SSL.

    4. Klik op Toevoegen om het IP-adresbereik toe te voegen.

    5. Voer het beginadres en het eindadres in en klik op het vinkje.

      Notitie

      Het IP-adresbereik moet uniek zijn voor elke front-endserver.

    6. Herhaal deze stappen voor zowel IPv4- als IPv6-adressen.

    Herhaal deze stappen voor elke front-endserver in de webfarm.

  3. Als u een upstream hardware load balancer gebruikt om verkeer naar de front-endservers te verdelen, is de laatste stap het bewerken van callbackscripts voor het registreren en de registratie van callbackscripts, zodat de websitecloud kan communiceren met de load balancer om de load balancer-pools voor een bepaald IP-adres te maken.

    De callbackscripts bevinden zich op de websitecloudcontroller in de webfarm, in het pad C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Bewerk het DNS-RegisterSSLBindings.ps1 script. Dit script wordt gebruikt wanneer een gebruiker een website maakt of bewerkt die GEBRUIKMAAKT van IP SSL.

      1. Gebruik de $bindings om een load balancer-pool te maken. U kunt de $hostname als sleutel gebruiken om deze bij te houden.

      2. Retourneer het virtuele IP-adres dat is toegewezen aan de load balancer-pool (met behulp van $retval).

    2. Bewerk het DNS-DeRegisterSSLBindings.ps1 script. Dit script wordt gebruikt wanneer een gebruiker IP SSL van zijn website verwijdert of verwijdert of de inrichting van de website ongedaan maakt.

      Geef een lege waarde door (met behulp van $retval).

Gedeelde certificaten configureren

De websiteservice gebruikt certificaten voor het versleutelen van gegevens tussen de front-endservers, de uitgevers en de controller.

Standaard biedt Windows Azure Pack: Websites bieden zelfondertekende certificaten, zodat uw initiële bewerkingen niet in duidelijke tekst voorkomen. Natuurlijk veroorzaken zelfondertekende certificaten waarschuwingsberichten over certificaten en mogen ze niet worden gebruikt in een productieomgeving.

In een productieomgeving zijn drie certificaten vereist voor het beveiligen van eindpunten in de websitesfarm:

  • Front-end: het Front-endcertificaat wordt gebruikt voor gedeelde SSL en voor broncodebeheerbewerkingen en heeft een binding op 'alle niet-toegewezen'. Het Front End-certificaat moet een certificaat met twee onderwerpen zijn.

  • Publisher : het publicatiecertificaat beveiligt FTPS- en Web Deploy-verkeer.

U verkrijgt deze certificaten van een certificeringsinstantie (CA) en uploadt deze via de beheerportal voor beheerders. U geeft het wachtwoord op voor elk certificaat, zodat het kan worden geïmplementeerd in de farm.

Het standaarddomeincertificaat

Het standaarddomeincertificaat wordt op de front-endrol geplaatst en wordt gebruikt door tenantwebsites voor jokertekens of standaarddomeinaanvragen voor de websitefarm. Het standaardcertificaat wordt ook gebruikt voor broncodebeheerbewerkingen.

Dit certificaat moet de PFX-indeling hebben en moet een jokertekencertificaat met twee subjecten zijn. Hierdoor kunnen zowel het standaarddomein als het scm-eindpunt voor broncodebeheerbewerkingen worden gedekt door één certificaat:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Tip

Een certificaat met twee onderwerpen wordt soms een SAN-certificaat (Subject Alternative Name) genoemd. Een voordeel van een certificaat met twee onderwerpen is dat de koper slechts één certificaat hoeft te kopen in plaats van twee.

Geef het certificaat voor het standaarddomein op

  1. Klik in de beheerportal voor beheerders op Websiteclouds en kies vervolgens de cloud die u wilt configureren.

  2. Klik op Configureren om de pagina Voor de cloudconfiguratie van de website te openen.

  3. Klik in het veld Standaardcertificaat websites op het mappictogram. Het dialoogvenster Upload Standaardwebsitecertificaat wordt weergegeven.

  4. Blader naar en upload het certificaat dat u wilt gebruiken.

  5. Voer het wachtwoord voor het certificaat in en klik op het vinkje. Het certificaat wordt doorgegeven aan alle Front-endservers in de webfarm.

Het certificaat voor publicatie

Het certificaat voor de rol Publisher beveiligt het webimplementatie- en FTPS-verkeer voor website-eigenaren wanneer ze inhoud uploaden naar hun websites.

In de beheerportal voor beheerders bevat de pagina Configureren voor de websitecloud een sectie Publiceren Instellingen waarin u de DNS-vermeldingen Voor webimplementatie en FTP-implementatie bekijkt of configureert.

Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de DNS-vermelding Web Deploy DNS en een onderwerp dat overeenkomt met de FTPS Deploy DNS-vermelding.

Notitie

Als u jokertekens in het standaardcertificaat hebt gebruikt, kunt u ook het standaardcertificaat voor de uitgever gebruiken. Het verstrekken van een afzonderlijk certificaat is echter veiliger.

Geef het certificaat op voor publicatie

  1. Klik in de beheerportal voor beheerders op Websiteclouds en kies vervolgens de cloud die u wilt configureren.

  2. Klik op Configureren om de pagina Voor de cloudconfiguratie van de website te openen.

  3. Klik in het veld Publisher Certificaat op het mappictogram. Het dialoogvenster Upload Publisher Certificaat wordt weergegeven.

  4. Blader naar en upload het certificaat dat u wilt gebruiken.

  5. Voer het wachtwoord voor het certificaat in en klik op het vinkje. Het certificaat wordt doorgegeven aan alle publicatieservers in de webfarm.

Publicatie van web-implementatie wijzigen in HTTPS

Tijdens de installatie wordt standaard DE DNS-publicatie-instelling geïmplementeerd op HTTP (poort 80). Als best practice moet u dit wijzigen in HTTPS (poort 443). Volg de volgende stappen om dit te doen:

  1. Klik in de beheerportal voor beheerders op Websiteclouds en kies vervolgens de cloud die u wilt configureren.

  2. Klik op Configureren om de pagina Voor de cloudconfiguratie van de website te openen.

  3. Voeg in de sectie Publiceren Instellingen :443 toe aan de DNS-vermelding Web Deploy (bijvoorbeeld publish.domainname:443).

  4. Klik in de opdrachtbalk onder aan de portalpagina op Opslaan.

Aanbevolen procedures voor certificaten

  • Zorg ervoor dat de overeenkomst tussen certificaatonderwerpsen juist is. Windows Azure Pack: Websites staan niet toe dat certificaten worden geüpload als er geen overeenkomende certificaten zijn.

  • De veiligste installatie is om afzonderlijke certificaten en afzonderlijke domeinen te hebben. Dit helpt bij het beschermen tegen phishingscenario's en social engineering-aanvallen.

  • Controleer of het certificaat verloopt. Vernieuw certificaten regelmatig.

  • Zie de best practices na de installatie in de handleiding Deploy Windows Azure Pack voor Windows Server voor informatie over het vervangen van niet-vertrouwde Self-Signed certificaten door vertrouwde certificaten in Windows Azure Pack zelf.

PowerShell-opdrachtondersteuning inschakelen

Het Windows Azure Pack-websitessysteem wordt geleverd met een uitgebreide set PowerShell-opdrachten voor het beheren van het systeem. Met deze opdrachten kan de systeembeheerder alle acties uitvoeren die beschikbaar zijn in de portal en andere niet.

Gebruik de PowerShell-opdracht om toegang te krijgen tot de PowerShell-opdrachten voor Windows Azure Pack-websites

import-module websitesdev

Er is help-informatie voor elke opdracht. Gebruik de opdracht om een lijst met opdrachten op te halen

get-commands –module websitesdev

Gebruik de opdracht voor informatie over een specifieke opdracht

opdrachtnaam> get-help<

ISAPI/klassieke modus inschakelen

U kunt de MODUS ISAPI/Klassiek inschakelen op Windows Azure Pack: websites met behulp van PowerShell-opdrachten.

Voer de volgende opdrachten uit om de klassieke modus voor een website in te stellen. Vervang <de sitenaam> door de naam van uw website.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName-sitenaam<>

Als u wilt controleren of de klassieke modus is ingesteld, kunt u de volgende opdracht uitvoeren die een dump van uw websiteconfiguratie produceert. Vervang <de sitenaam> door de naam van uw website.

Get-websitessite –rawview –name <sitename>

Zie ook

Windows Azure Pack implementeren: websites