Configure Windows Azure Pack: Web Sites

  • Artigo

 

Aplica-se a: Windows Azure Pack

Este capítulo fornece informações sobre a configuração adicional pós-fornecimento, incluindo a configuração da Loja de Certificados SSL, a configuração do IP SSL e a configuração de certificados partilhados. Para obter informações sobre o controlo de origem configurado, consulte o controlo de fontes de configuração para Windows Azure Pack: Web Sites. Para obter informações sobre as melhores práticas de segurança para Web Sites, consulte Windows Azure Pack: Web Sites Security Enhancements.

Configurar IP SSL

Se pretender permitir que os sites do inquilino utilizem certificados SSL baseados em IP, tem de configurar as Extremidades Front, o Controlador e, opcionalmente, um balançador de carga de hardware para o fazer.

Nota

SNI (Indicação de Nome do Servidor) O SSL é ativado por padrão. Para disponibilizá-lo aos inquilinos, inclua-o nos planos que autoria no Portal de Gestão de Administradores.

Para configurar IP SSL

  1. Ligue os endereços IP que pretende utilizar:

    1. Em cada servidor Front End, abra a interface de gestão da rede.

    2. Clique na Versão 6 do Protocolo de Internet (TCP/IPv6)e, em seguida, clique em Propriedades.

    3. Clique em Avançado para abrir as propriedades Avançadas.

    4. Clique em Adicionar para adicionar os endereços IP.

    5. Repita estes passos para a versão 4 do Protocolo de Internet (TCP/IPv4).

      Dica

      Cada cliente ou web site que utilize IP SSL precisa de ter um endereço IP em cada servidor frontal. Como isto pode tornar-se intensivo em trabalho de parto, pode querer usar um script para automatizar a ligação dos endereços IP.

  2. Em seguida, configurar a nuvem do Web Site para utilizar os endereços IP para tráfego IP SSL.

    1. No portal de gestão para administradores, clique em Nuvens do Web Site e, em seguida, clique duas vezes na nuvem que pretende configurar.

    2. Clique em Roles e, em seguida, escolha o servidor frontal.

    3. Clique em IP SSL.

    4. Clique em Adicionar para adicionar o intervalo de endereços IP.

    5. Introduza o endereço de partida e o endereço final e clique na marca de verificação.

      Nota

      O intervalo de endereços IP deve ser único para cada servidor frontal.

    6. Repita estes passos para os endereços IPv4 e IPv6.

    Repita estes passos para cada servidor frontal na quinta web.

  3. Se estiver a utilizar um equilibrador de carga de hardware a montante para equilibrar o tráfego para os servidores frontais, o passo final é editar os scripts de chamada de registo e desregista para que a nuvem do Web Site possa comunicar com o equilibrador de carga para criar os pools de balançadores de carga para um determinado endereço IP.

    Os scripts de retorno estão localizados no controlador de nuvem do Web Site na web farm, no caminho C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Edite o DNS-RegisterSSLBindings.ps1 script. Este script é utilizado sempre que um utilizador cria ou edita um web site que utiliza IP SSL.

      1. Utilize o $bindings para criar uma piscina de balançadores de carga. Pode usar o $hostname como chave para rastreá-lo.

      2. Devolva o endereço IP virtual atribuído à piscina do balançador de carga (utilizando $retval).

    2. Edite o DNS-DeRegisterSSLBindings.ps1 script. Este script é utilizado sempre que um utilizador remove IP SSL do seu site ou elimina ou elimina as provisões do web site.

      Passe para trás um valor vazio (utilizando $retval).

Configurar certificados partilhados

O serviço Web Site utiliza certificados para encriptar dados entre os servidores Front End, os Editores e o Controlador.

Por predefinição, Windows Azure Pack: Os Web Sites fornecem certificados auto-assinados para que as suas operações iniciais não ocorram em texto claro. É claro que os certificados auto-assinados causam mensagens de aviso de certificado e não devem ser utilizados num ambiente de produção.

Num ambiente de produção, são necessários três certificados para assegurar pontos finais na exploração dos sítios web:

  • Front End - O certificado Front End é utilizado para operações de controlo de fontes partilhadas e tem uma ligação com "todos os não atribuídos". O certificado Front End deve ser um certificado de dois assuntos.

  • Publisher - O certificado de publicação assegura o tráfego FTPS e Web Deploy.

Obtém estes certificados de uma Autoridade de Certificação (CA) e envia-os através do Portal de Gestão de Administradores. Forneça a palavra-passe para cada certificado para que possa ser implantado na quinta.

O certificado de domínio predefinido

O certificado de domínio predefinido é colocado na função Front End e é usado por sites de inquilinos para pedidos de domínio wildcard ou predefinidos para a fazenda do site. O certificado predefinido também é utilizado para operações de controlo de fontes.

Este certificado tem de estar em formato .pfx e deve ser um certificado wildcard de dois assuntos. Isto permite que tanto o domínio predefinido como o ponto final scm para as operações de controlo de origem sejam cobertos por um certificado:

  • *. <Nome do> Domínio.com

  • *.scm. <Nome do> Domínio.com

Dica

Um certificado de dois assuntos é por vezes chamado de certificado de Nome Alternativo Sujeito (SAN). Uma vantagem de um certificado de dois assuntos é que o comprador só tem de comprar um certificado em vez de dois.

Especificar o certificado para o domínio predefinido

  1. No Portal de Gestão de Administradores, clique em Nuvens do Web Site e, em seguida, escolha a nuvem que pretende configurar.

  2. Clique em Configurar para abrir a página de configuração da nuvem do Web Site.

  3. No campo 'Certificado Padrão', clique no ícone de pasta. Aparece o diálogo do Certificado do Site por defeito de upload .

  4. Navegue e carregue o certificado que pretende utilizar.

  5. Introduza a palavra-passe para o certificado e, em seguida, clique na marca de verificação. O certificado será propagado a todos os servidores Front End na web farm.

O certificado de publicação

O certificado para a função Publisher assegura o tráfego web deploy e FTPS para os proprietários do site quando eles fazem upload de conteúdo para os seus sites.

No Portal de Gestão de Administradores, a página Configure para a nuvem do site contém uma secção de Definições de publicação onde vê ou configura as entradas de DNS de Implementação web e FTP Deploy.

O certificado de publicação tem de conter um assunto que corresponda à entrada de DNS de implementação web e a um assunto que corresponda à entrada DE DNS de implementação FTPS.

Nota

Se utilizar wildcards no certificado predefinido, também pode utilizar o certificado padrão para o editor. No entanto, fornecer um certificado separado é mais seguro.

Especificar o certificado de publicação

  1. No Portal de Gestão de Administradores, clique em Nuvens do Web Site e, em seguida, escolha a nuvem que pretende configurar.

  2. Clique em Configurar para abrir a página de configuração da nuvem do Web Site.

  3. No campo Publisher Certificate, clique no ícone da pasta. Aparece o diálogo do Certificado de Publisher de Upload.

  4. Navegue e carregue o certificado que pretende utilizar.

  5. Introduza a palavra-passe para o certificado e, em seguida, clique na marca de verificação. O certificado será propagado a todos os servidores editoriais da web farm.

Alterar a implementação da Web para HTTPS

Durante a instalação, a definição de publicação de DNS da Web Deploy nSI por defeitos para HTTP (porta 80). Como uma boa prática, deve alterá-lo para HTTPS (porta 443). Para tal, siga estes passos:

  1. No Portal de Gestão de Administradores, clique em Nuvens do Web Site e, em seguida, escolha a nuvem que pretende configurar.

  2. Clique em Configurar para abrir a página de configuração da nuvem do Web Site.

  3. Na secção Definições publicação, adicione :443 à entrada de DNS de implementação web (por exemplo, publique.domainname:443).

  4. Na barra de comando na parte inferior da página do portal, clique em Guardar.

Melhores práticas para certificados

  • Certifique-se de que o objeto do certificado está correto. Windows Azure Pack: Os Web Sites não permitem que os certificados sejam carregados se houver incompatibilidades.

  • A configuração mais segura é ter certificados separados e domínios separados. Isto ajuda a defender-se de cenários de phishing e ataques de engenharia social.

  • Cuidado com a expiração do certificado. Atualizar os certificados regularmente.

  • Para obter informações sobre a substituição de certificados de Self-Signed não confiáveis por certificados fidedignos no próprio Azure Pack Windows, consulte as melhores práticas de pós-instalação no guia de Windows Azure Pack para Windows Server.

Ativar o suporte ao comando PowerShell

O sistema de Web Sites Azure Pack Windows vem com um rico conjunto de comandos PowerShell para gerir o sistema. Estes comandos permitem ao administrador do sistema executar todas as ações disponíveis no portal, bem como outras que não o sejam.

Para aceder aos comandos PowerShell para Windows Web Sites Azure Pack, utilize o comando PowerShell

sites de módulos de importaçãodev

Há informação de ajuda para cada comando. Para obter uma lista de comandos, use o comando

get-comandos –módulo websitesdev

Para obter informações sobre um comando específico, use o comando

obter nome> de comando de ajuda<

Ativar o modo ISAPI/Classic

Pode ativar o modo ISAPI/Classic no Windows Azure Pack: Web Sites utilizando comandos PowerShell.

Para definir o modo clássico para um web site, executar os seguintes comandos. Substitua <o nome do> site pelo nome do seu site.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -Nome do site SiteName<>

Para verificar se o modo Classic foi definido, pode executar o seguinte comando que produz uma lixagem da configuração do seu site. Substitua <o nome do> site pelo nome do seu site.

Get-sitessite – rawview – nome <sitename>

Consulte também

Implementar Windows Azure Pack: Web Sites