Skip to main content
Microsoft Azure Pack'i Yapılandırma: Web Siteleri
 

Uygulama Alanı: Windows Azure Pack

Bu bölüm SSL Sertifika Deposunu yapılandırma, IP SSL'yi yapılandırma ve paylaşılan sertifikaları yapılandırma da dahil olmak üzere, sağlama sonrası ek yapılandırmalar hakkında bilgi sağlar. Kaynak denetimini yapılandırma hakkında bilgi için bkz. Microsoft Azure Pack için kaynak denetimini yapılandırma: Web Siteleri. Web Siteleri'ne yönelik en iyi güvenlik yöntemleri hakkında bilgi için bkz. Microsoft Azure Pack: Web Siteleri Güvenlik Geliştirmeleri.

Kiracı web sitelerinin IP tabanlı SSL sertifikaları kullanmasını etkinleştirmek istiyorsanız Ön Uçlar, Denetleyici ve isteğe bağlı olarak bir donanım yük dengeleyicisini bunu yapacak şekilde yapılandırmanız gerekir.

System_CAPS_noteNot

SNI ( Sunucu Adı Belirtme) SSL varsayılan olarak etkinleştirilmiştir. Kiracıların kullanımına sunmak üzere, Yöneticiler için Yönetim Portalı'nda yazdığınız planlara dahil edin.

  1. Kullanmak istediğiniz IP adreslerini bağlayın:

    1. Her Ön Uç sunucusunda ağ yönetimi arabirimini açın.

    2. Internet Protokolü Sürüm 6 (TCP/IPv6) ve ardından Özellikler'e tıklayın.

    3. Gelişmiş'e tıklayarak Gelişmiş özellikleri açın.

    4. IP adreslerini eklemek için Ekle'ye tıklayın.

    5. Internet Protokolü Sürüm 4 (TCP/IPv4) için bu adımları yineleyin.

      System_CAPS_tipİpucu

      IP SSL kullanan her müşteri veya web sitesinin her bir ön uç sunucuda bir IP adresi olmalıdır. Bunun için yoğun emek gerekebildiğinden, IP adresleri bağlamayı otomatikleştirmek için bir betik kullanmayı düşünebilirsiniz.

  2. Ardından, Web Sitesi bulutunu IP SSL trafiği için IP adreslerini kullanacak şekilde yapılandırın.

    1. Yöneticiler için yönetim portalında, Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz buluta çift tıklayın.

    2. Roller'e tıklayın ve ardından ön uç sunucusunu seçin.

    3. IP SSL öğesine tıklayın.

    4. IP adresi aralığını eklemek için Ekle'ye tıklayın.

    5. Başlangıç adresini ve bitiş adresini girin ve onay işaretine tıklayın.

      System_CAPS_noteNot

      IP adresi aralığı her ön uç sunucusu için benzersiz olmalıdır.

    6. IPv4 ve IPv6 adresleri için bu adımları yineleyin.

    Web grubundaki her ön uç sunucusu için bu adımları yineleyin.

  3. Ön uç sunucularına giden trafiği dengelemek için ters yönde donanım yük dengeleyicisi kullanıyorsanız, Web Sitesi bulutunun belirli bir IP adresi için yük dengeleyici havuzları oluşturabilmesi amacıyla yük dengeleyiciyle iletişim kurabilmesi için geri aramayı kaydetme ve kayıt silme betiklerinin düzenlenmesi son adımdır.

    Geri arama komut dosyaları, web grubundaki Web Sitesi bulut denetleyicisinde C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win yolunda bulunur.

    1. DNS-RegisterSSLBindings.ps1 betiğini düzenleyin. Bu betik, bir kullanıcının IP SSL kullanan bir web sitesi oluşturduğu ya da düzenlediği her durumda kullanılır.

      1. Bir yük dengeleyici havuzu oluşturmak için $bindings kullanın. $hostname öğesini onu izlemenin anahtarı olarak kullanabilirsiniz.

      2. Yük dengeleyici havuzuna atanmış Sanal IP adresini döndürün ($retval kullanarak).

    2. DNS-DeRegisterSSLBindings.ps1 betiğini düzenleyin. Bu betik, bir kullanıcı IP SSL'yi web sitesinden kaldırdığında veya web sitesindeki geri sağlamaları sildiğinde kullanılır.

      Boş bir değer geçirin ($retval kullanarak).

Web Sitesi hizmeti; Ön Uç sunucuları, Yayımcılar ve Denetleyici arasında verileri şifrelemek için sertifikalar kullanır.

Varsayılan olarak, Microsoft Azure Pack: Web Siteleri ilk işlemlerinizin düz metinde oluşmaması için otomatik olarak imzalanan sertifikalar sağlar. Elbette, otomatik olarak imzalanan sertifikalar sertifika uyarı iletilerine neden olur ve bir üretim ortamında kullanılmamalıdır.

Bir üretim ortamında web siteleri grubundaki uç noktaların güvenliğini sağlamak için üç sertifika gereklidir:

  • Ön Uç: Ön Uç sertifikaları paylaşılan SSL ve kaynak denetimi işlemleri için kullanılır ve 'atanan yok' ile bağlanır. Ön Uç sertifikası iki konulu bir sertifika olmalıdır.

  • Yayımcı: Yayımlama sertifikası FTPS ve Web Dağıtımı trafiğinin güvenliğini sağlar.

Bu sertifikaları bir Sertifika Yetkilisinden (CA) alıp Yöneticiler için Yönetim Portalı aracılığıyla karşıya yüklersiniz. Gruba dağıtılabilmesi için her bir sertifikanın parolasını belirtirsiniz.

Varsayılan etki alanı sertifikası Ön Uç rolüne yerleştirilir ve kiracı tarafından web sitesi grubuna yönelik joker veya varsayılan etki alanı istekleri için kullanılır. Varsayılan sertifika ayrıca kaynak denetimi işlemleri için kullanılır.

Bu sertifika .pfx biçiminde ve iki konulu bir joker sertifika olmalıdır. Bu özellik hem varsayılan etki alanının hem de kaynak denetimi işlemleri için scm uç noktasının tek bir sertifika kapsamında olmasını sağlar:

  • *.<DomainName>.com

  • *.scm. <DomainName>.com

System_CAPS_tipİpucu

İki konulu bir sertifika bazı durumlarda Konu Diğer Adı (SAN) olarak anılır. İki konulu sertifikanın bir avantajı, satın alan kişinin iki yerine yalnızca bir sertifika satın almak zorunda olmasıdır.

  1. Yöneticiler için Yönetim Portalında, Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz bulutu seçin.

  2. Yapılandır'a tıklayarak Web Sitesi bulutu yapılandırma sayfasını açın.

  3. Web Siteleri Varsayılan Sertifikası alanında klasör simgesine tıklayın. Varsayılan Web Sitesi Sertifikasını Karşıya Yükle iletişim kutusu açılır.

  4. Kullanmak istediğiniz sertifikayı bulun ve karşıya yükleyin.

  5. Sertifikanın parolasını girin ve ardından onay işaretine tıklayın. Sertifika, web grubundaki tüm Ön Uç sunucularına yayılır.

Yayımcı rolünün sertifikası, web sitelerine içerik yüklediklerinde web sitesi sahipleri için Web Dağıtımı ve FTPS trafiğinin güvenliğini sağlar.

Yöneticiler için Yönetim Portalında web sitesi bulutunun Yapılandır sayfası, Web Dağıtımı ve FTP Dağıtımı DNS girişlerini görüntüleyebileceğiniz veya yapılandırabileceğiniz bir Yayımlama Ayarları bölümü içerir.

Yayımlama sertifikası, Web Dağıtımı DNS girişi ile eşleşen bir konu ve FTPS Dağıtımı DNS girişi ile eşleşen bir konu içermelidir.

System_CAPS_noteNot

Varsayılan sertifikada jokerler kullandıysanız, yayımcı için varsayılan sertifikayı da kullanabilirsiniz. Ancak, ayrı bir sertifika sağlanması daha güvenlidir.

  1. Yöneticiler için Yönetim Portalında, Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz bulutu seçin.

  2. Yapılandır'a tıklayarak Web Sitesi bulutu yapılandırma sayfasını açın.

  3. Yayımcı Sertifikası alanında klasör simgesine tıklayın. Yayımcı Sertifikasını Karşıya Yükle iletişim kutusu açılır.

  4. Kullanmak istediğiniz sertifikayı bulun ve karşıya yükleyin.

  5. Sertifikanın parolasını girin ve ardından onay işaretine tıklayın. Sertifika, web grubundaki tüm Yayımlama sunucularına yayılır.

Yükleme sırasında Web Dağıtımı DNS yayımlama ayarının varsayılanı HTTP'dir (bağlantı noktası 80). En iyi yöntem olarak, bunu HTTPS (bağlantı noktası 443) ile değiştirmeniz gerekir. Bunu yapmak için aşağıdaki adımları gerçekleştirin:

  1. Yöneticiler için Yönetim Portalında, Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz bulutu seçin.

  2. Yapılandır'a tıklayarak Web Sitesi bulutu yapılandırma sayfasını açın.

  3. Yayımlama Ayarları bölümünde Web Dağıtımı DNS girişine :443 ekleyin (örneğin, publish.domainname:443).

  4. Portal sayfasının alt kısmındaki komut çubuğunda Kaydet'e tıklayın.

  • Sertifika konu eşleşmesinin doğru olduğundan emin olun. Microsoft Azure Pack: Web Siteleri hatalı eşleşmeler olması durumunda sertifikaların karşıya yüklenmesine izin vermez.

  • En güvenli ayar ayrı sertifikaların ve ayrı etki alanlarının bulunmasıdır. Bu durum kimlik avı senaryolarına ve sosyal mühendislik saldırılarına karşı korumaya yardımcı olur.

  • Sertifikanın sona erme tarihine dikkat edin. Sertifikaları düzenli olarak yenileyin.

  • Güvenilmeyen Otomatik Olarak İmzalanan Sertifikaların Microsoft Azure Pack'teki güvenilir sertifikalarla değiştirilmesi hakkında bilgi için Windows Server için Microsoft Azure Pack'i dağıtma kılavuzundaki Yükleme sonrası en iyi uygulamalar konusuna bakın.

Microsoft Azure Pack Web Siteleri sistemi, sistemin yönetilmesine yönelik zengin bir PowerShell komutları kümesiyle birlikte verilir. Bu komutlar sistem yöneticilerinin portalda mevcut olan tüm eylemlerin yanı sıra, mevcut olmayan bazı eylemleri de gerçekleştirmesine imkan tanır.

Microsoft Azure Pack Web Siteleri için PowerShell komutlarına erişmek üzere şu PowerShell komutunu kullanın:

import-module websitesdev

Her komut için yardım bilgileri bulunur. Komutların listesini almak için şu komutu kullanın:

get-commands –module websitesdev

Belirli bir komut hakkında bilgi için şu komutu kullanın:

get-help <command name>

ISAPI/Classic modunu Microsoft Azure Pack: Web Sitelerinde etkinleştirmek için PowerShell komutlarını kullanabilirsiniz.

Bir web sitesi için klasik modu ayarlamak istiyorsanız aşağıdaki komutları çalıştırın. <sitename> değerini web sitenizin adıyla değiştirin.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <sitename>

Klasik modun ayarlandığını doğrulamak için, web sitesi yapılandırmanızın bir dökümünü oluşturan aşağıdaki komutu çalıştırabilirsiniz. <sitename> değerini web sitenizin adıyla değiştirin.

Get-websitessite –rawview –name <sitename>