azure paketi Windows yapılandırma: Web Siteleri

  • Makale

 

Şunlar için geçerlidir: Azure Paketi'Windows

Bu bölümde, SSL Sertifika Deposu'nı yapılandırma, IP SSL'yi yapılandırma ve paylaşılan sertifikaları yapılandırma gibi ek sağlama sonrası yapılandırma hakkında bilgi sağlanır. Kaynak denetimini yapılandırma hakkında bilgi için bkz. Windows Azure Paketi için kaynak denetimini yapılandırma: Web Siteleri. Web Siteleri için en iyi güvenlik uygulamaları hakkında daha fazla bilgi için bkz. Windows Azure Paketi: Web Siteleri Güvenlik Geliştirmeleri.

IP SSL'yi yapılandırma

Kiracı web sitelerinin IP tabanlı SSL sertifikalarını kullanmasını sağlamak istiyorsanız, bunu yapmak için Ön Uçları, Denetleyiciyi ve isteğe bağlı olarak bir donanım yük dengeleyiciyi yapılandırmanız gerekir.

Not

SNI (Sunucu Adı Göstergesi) SSL varsayılan olarak etkindir. Kiracıların kullanımına açmak için, Yöneticiler için Yönetim Portalı'nda oluşturduğunuz planlara ekleyin.

IP SSL'yi yapılandırmak için

  1. Kullanmak istediğiniz IP adreslerini bağlayın:

    1. Her Ön Uç sunucusunda ağ yönetimi arabirimini açın.

    2. İnternet Protokolü Sürüm 6 (TCP/IPv6) ve ardından Özellikler'e tıklayın.

    3. Gelişmiş özelliklerini açmak için Gelişmiş'e tıklayın.

    4. IP adreslerini eklemek için Ekle'ye tıklayın.

    5. İnternet Protokolü Sürüm 4 (TCP/IPv4) için bu adımları yineleyin.

      İpucu

      IP SSL kullanan her müşterinin veya web sitesinin her ön uç sunucusunda bir IP adresi olması gerekir. Bu iş gücü yoğunluklu hale gelebileceğinden, IP adreslerini bağlamayı otomatikleştirmek için bir betik kullanmak isteyebilirsiniz.

  2. Ardından, Web Sitesi bulutunu IP SSL trafiği için IP adreslerini kullanacak şekilde yapılandırın.

    1. Yöneticiler için yönetim portalında Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz buluta çift tıklayın.

    2. Roller'e tıklayın ve ardından ön uç sunucusunu seçin.

    3. IP SSL'ye tıklayın.

    4. IP adresi aralığını eklemek için Ekle'ye tıklayın.

    5. Başlangıç adresini ve bitiş adresini girin ve onay işaretine tıklayın.

      Not

      IP adresi aralığı her ön uç sunucusu için benzersiz olmalıdır.

    6. Bu adımları hem IPv4 hem de IPv6 adresleri için yineleyin.

    Web grubundaki her ön uç sunucusu için bu adımları yineleyin.

  3. Ön uç sunucularına gelen trafiği dengelemek için bir yukarı akış donanım yük dengeleyici kullanıyorsanız son adım, Web Sitesi bulutunun belirli bir IP adresi için yük dengeleyici havuzları oluşturmak üzere yük dengeleyiciyle iletişim kurabilmesi için kayıt ve geri çağırma betiklerini düzenlemek ve geri çağırma betiklerinin kaydını silmektir.

    Geri çağırma betikleri, web grubundaki Web Sitesi bulut denetleyicisinde, C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win yolunda bulunur.

    1. DNS-RegisterSSLBindings.ps1 betiğini düzenleyin. Bu betik, kullanıcı IP SSL kullanan bir web sitesi oluşturduğunda veya düzenlediğinde kullanılır.

      1. Yük dengeleyici havuzu oluşturmak için $bindings kullanın. $hostname izlemek için anahtar olarak kullanabilirsiniz.

      2. Yük dengeleyici havuzuna atanan Sanal IP adresini döndür ($retval kullanarak).

    2. DNS-DeRegisterSSLBindings.ps1 betiğini düzenleyin. Bu betik, bir kullanıcı web sitesinden IP SSL'yi kaldırdıktan veya web sitesini sildiğinde veya sağlamasını kaldırdıktan sonra kullanılır.

      Boş bir değeri geri geçirin ($retval kullanarak).

Paylaşılan sertifikaları yapılandırma

Web Sitesi hizmeti, Ön Uç sunucuları, Yayımcılar ve Denetleyici arasındaki verileri şifrelemek için sertifikaları kullanır.

Varsayılan olarak Windows Azure Paketi: Web Siteleri, ilk işlemlerinizin düz metinde gerçekleşmemesi için otomatik olarak imzalanan sertifikalar sağlar. Elbette, otomatik olarak imzalanan sertifikalar sertifika uyarı iletilerine neden olur ve üretim ortamında kullanılmamalıdır.

Üretim ortamında, web siteleri grubundaki uç noktaların güvenliğini sağlamak için üç sertifika gerekir:

  • Ön Uç - Ön Uç sertifikası paylaşılan SSL ve kaynak denetimi işlemleri için kullanılır ve 'tümü atanmamış' bağlamaya sahiptir. Ön Uç sertifikası iki konulu bir sertifika olmalıdır.

  • Publisher - Yayımlama sertifikası FTPS ve Web Dağıtımı trafiğinin güvenliğini sağlar.

Bu sertifikaları bir Sertifika Yetkilisi'nden (CA) alır ve Yöneticiler için Yönetim Portalı aracılığıyla karşıya yüklersiniz. Her sertifikanın grubuna dağıtılabilmesi için parolayı sağlarsınız.

Varsayılan etki alanı sertifikası

Varsayılan etki alanı sertifikası Ön Uç rolüne yerleştirilir ve kiracı web siteleri tarafından web sitesi grubuna joker karakter veya varsayılan etki alanı istekleri için kullanılır. Varsayılan sertifika, kaynak denetimi işlemleri için de kullanılır.

Bu sertifikanın .pfx biçiminde olması ve iki konulu bir joker karakter sertifikası olması gerekir. Bu, kaynak denetimi işlemleri için hem varsayılan etki alanının hem de scm uç noktasının tek bir sertifika kapsamında olmasını sağlar:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

İpucu

İki konulu sertifika bazen Konu Alternatif Adı (SAN) sertifikası olarak adlandırılır. İki konulu sertifikanın avantajlarından biri, satın alan kişinin iki yerine yalnızca bir sertifika satın almasıdır.

Varsayılan etki alanı için sertifikayı belirtin

  1. Yöneticiler için Yönetim Portalı'nda Web Sitesi Bulutları'na tıklayın ve yapılandırmak istediğiniz bulutu seçin.

  2. Web Sitesi bulut yapılandırması sayfasını açmak için Yapılandır'a tıklayın.

  3. Web Siteleri Varsayılan Sertifikası alanında klasör simgesine tıklayın. Varsayılan Web Sitesi Sertifikası Upload iletişim kutusu görüntülenir.

  4. Kullanmak istediğiniz sertifikaya göz atın ve sertifikayı karşıya yükleyin.

  5. Sertifikanın parolasını girin ve onay işaretine tıklayın. Sertifika, web grubundaki tüm Ön Uç sunucularına yayılır.

Yayımlama sertifikası

Publisher rolünün sertifikası, web sitelerine içerik yüklediklerinde web sitesi sahipleri için Web Dağıtımı ve FTPS trafiğinin güvenliğini sağlar.

Yöneticiler için Yönetim Portalı'nda, web sitesi bulutunun Yapılandır sayfasında, Web Dağıtımı ve FTP Dağıtımı DNS girişlerini görüntüleyebileceğiniz veya yapılandırdığınız yayımlama Ayarlar bölümü bulunur.

Yayımlama sertifikasının Web Dağıtımı DNS girdisi ile eşleşen bir konu ve FTPS Dağıtımı DNS girişiyle eşleşen bir konu içermesi gerekir.

Not

Varsayılan sertifikada joker karakterler kullandıysanız, yayımcı için varsayılan sertifikayı da kullanabilirsiniz. Ancak, ayrı bir sertifika sağlamak daha güvenlidir.

Yayımlamak için sertifikayı belirtin

  1. Yöneticiler için Yönetim Portalı'nda Web Sitesi Bulutları'na tıklayın ve yapılandırmak istediğiniz bulutu seçin.

  2. Web Sitesi bulut yapılandırması sayfasını açmak için Yapılandır'a tıklayın.

  3. Publisher Sertifikası alanında klasör simgesine tıklayın. sertifika Upload Publisher iletişim kutusu görüntülenir.

  4. Kullanmak istediğiniz sertifikaya göz atın ve sertifikayı karşıya yükleyin.

  5. Sertifikanın parolasını girin ve onay işaretine tıklayın. Sertifika, web grubundaki tüm Yayımlama sunucularına yayılır.

Web Dağıtımı Yayımlamayı HTTPS olarak değiştirme

Yükleme sırasında, Web Dağıtımı DNS yayımlama ayarı varsayılan olarak HTTP 'dir (bağlantı noktası 80). En iyi yöntem olarak bunu HTTPS (bağlantı noktası 443) olarak değiştirmeniz gerekir. Bunu yapmak için aşağıdaki adımları gerçekleştirin:

  1. Yöneticiler için Yönetim Portalı'nda Web Sitesi Bulutları'na tıklayın ve yapılandırmak istediğiniz bulutu seçin.

  2. Web Sitesi bulut yapılandırması sayfasını açmak için Yapılandır'a tıklayın.

  3. Yayımlama Ayarlar bölümünde Web Dağıtımı DNS girdisine :443 ekleyin (örneğin, publish.domainname:443).

  4. Portal sayfasının en altındaki komut çubuğunda Kaydet'e tıklayın.

Sertifikalar için en iyi yöntemler

  • Sertifika konu eşleştirmenin doğru olduğundan emin olun. Azure Paketi'ni Windows: Web Siteleri, uyuşmazlıklar varsa sertifikaların karşıya yüklenmesine izin vermez.

  • En güvenli kurulum, ayrı sertifikalara ve ayrı etki alanlarına sahip olmaktır. Bu, kimlik avı senaryolarına ve sosyal mühendislik saldırılarına karşı savunmaya yardımcı olur.

  • Sertifika süre sonunu izleyin. Sertifikaları düzenli aralıklarla yenileyin.

  • Güvenilmeyen Self-Signed Sertifikalarını Windows Azure Paketi'nde güvenilen sertifikalarla değiştirme hakkında bilgi için, Windows Server için Azure Paketi'ni dağıtma Windowsyükleme sonrası en iyi yöntemleri konusuna bakın.

PowerShell komut desteğini etkinleştirme

Windows Azure Pack Web Siteleri sistemi, sistemi yönetmek için zengin bir PowerShell komutları kümesiyle birlikte gelir. Bu komutlar, sistem yöneticisinin portalda kullanılabilen tüm eylemleri ve olmayan diğer eylemleri gerçekleştirmesini sağlar.

Windows Azure Pack Web Siteleri için PowerShell komutlarına erişmek için PowerShell komutunu kullanın

import-module websitesdev

Her komut için yardım bilgileri vardır. Komutların listesini almak için komutunu kullanın

get-commands –module websitesdev

Belirli bir komut hakkında bilgi için komutunu kullanın

get-help <komut adı>

ISAPI/Klasik modu etkinleştirme

Windows Azure Paketi: Web Siteleri'Windows PowerShell komutlarını kullanarak ISAPI/Klasik modunu etkinleştirebilirsiniz.

Bir web sitesinin klasik modunu ayarlamak için aşağıdaki komutları çalıştırın. sitename değerini web sitenizin adıyla değiştirin<.>

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <siteadı>

Klasik modun ayarlandığını doğrulamak için, web sitesi yapılandırmanızın dökümünü oluşturan aşağıdaki komutu çalıştırabilirsiniz. sitename değerini web sitenizin adıyla değiştirin<.>

Get-websitessite –rawview –name <sitename>

Ayrıca Bkz.

Azure Paketi Windows dağıtma: Web Siteleri