Skip to main content
IP SSL kullanma
 

Uygulama Alanı: Windows Azure Pack

System_CAPS_warningUyarı

IPv6 adresleri ile Yerel Adres Eşlemeleri veya VIP Eşlemesi olanağını kullanarak IP tabanlı SSL’yi uyguladıysanız, güncelleştirmeyi uygulamadan önce IPv4’e geçiş yapmamanız halinde lütfen Microsoft Azure Pack: Web Siteleri Güncelleştirme 6’ya yükseltme yapmayın.Bu senaryo bu güncelleştirmede desteklenmez, ancak gelecekteki bir güncelleştirmede desteklenecektir.

IP SSL, Sunucu Adı Belirtme olanağını desteklemeyen istemciler (eski tarayıcılar, işletim sistemleri veya mobil cihazlar) için bir sertifika güvenlik modudur.Bu modda, belirli bir DNS ana bilgisayar adı için bir sertifika, ayrılmış bir sanal IP adresine eşlenir.

Microsoft Azure Pack: Web Siteleri’nde, bir kullanıcı kiracılar için yönetim portalında IP SSL ile ilgili işlemler gerçekleştirdiğinde birkaç belirli adım oluşur:

  1. Bir kullanıcı, portalın içinden bir sertifika yüklediğinde portal, sağlanan sertifika dosyasını (pfx) doğrular ve bunu veritabanına şifrelenmiş bayt dizisi (blob) olarak kaydeder.

  2. Kullanıcı, belirli bir ana bilgisayar adı için portalda IP SSL’yi etkinleştirdiğinde Microsoft Azure Pack: Web Siteleri:

    1. Sertifikanın pfx blob’unu veritabanından alır, yeni bir parola ile bunun güvenliğini sağlar ve pfx dosyasını, her Ön Uç sunucusundaki her IIS tarafından erişilebilen bir klasöre yükler.

    2. Her Ön Uç sunucusundaki söz konusu ana bilgisayar adı için eşleşen bir IP adresi ve bağlantı noktası numarası IIS bağlaması oluşturur.

    Ön Uç sunucuları arasındaki trafiğin yükünü dengelemek için dış ön yük dengeleyici kullanılıyorsa Microsoft Azure Pack: Web Siteleri:

    1. Dış ön yük dengeleyicideki ayrılmış bir genel sanal IP adresini, bu ana bilgisayarla ilgili her IP adresine ve bağlantı noktası bağlamasına eşler.

    2. DNS kayıtlarını güncelleştirebilmesi için son kullanıcılara bir genel sanal IP adresi döndürür.

System_CAPS_importantÖnemli

Microsoft Azure Pack: Web Siteleri Güncelleştirme 4, 2. adımı Güncelleştirme 6’dan farklı şekilde uygular.Güncelleştirme 4 ortamınızda zaten IP SSL etkinleştirilmiş siteler varsa bu belgedeki tüm bölümleri okuyun.Güncelleştirme 6 ile ilk kez IP SSL uyguluyorsanız, “VIP Eşlemeleri ve Yerel Adres Eşlemeleri” bölümlerini okuyun.

DNS ana bilgisayar adlarını eşlemenin iki yolu vardır: sanal IP adresi (VIP) eşlemeleri ve yerel adres eşlemeleri.

Kiracı bakış açısından bakıldığında yerel adres eşlemeleri, VIP eşlemeleriyle aynı görünecektir.Ön Uç sunucuları arasında trafik yükünün dengelenme ayrıntıları kiracılara gösterilmez, kiracılar yalnızca DNS kaydında kullanılacak sanal IP adresini görür.

IP SSL modunda, belirli bir DNS ana bilgisayar adının sertifikası, ayrılmış sanal IP Adresine eşlenir.Ancak IP SSL'nin çalışması için, ayrılmış ve benzersiz adresler yalnızca IP adresini değil, IP adresi ve bağlantı noktası numarası birleşimleriyle sunulan IP yuvalarını kullanmalıdır.Tüm tarayıcılar ve diğer istemci yazılımı varsayılan olarak SSL için 443 numaralı bağlantı noktasını kullanır.Bu nedenle Microsoft Azure Pack: Web Siteleri, adres ortak kullanıma sunulduğunda benzersiz bir IP adresiyle birlikte varsayılan 443 numaralı bağlantı noktasını kullanmalıdır.Bu nedenle dahili olarak, yük dengeleyicinin ardında, özel IP adresleriyle birlikte standart olmayan bağlantı noktalarının kullanılması mümkündür ve daha kullanışlıdır.

Ön Uçlar bir ön yük dengeleyicinin ardındaysa tek desteklenen yöntem, ön yük dengeleyicide 443 numaralı bağlantı noktası ile benzersiz sanal IP adreslerinin kullanılması ve bunun Ön Uçlardaki standart olmayan bağlantı noktalarına (443 değil) eşlenmesidir.Bu, VIP Eşlemeleri olarak adlandırılır.

VIP eşlemeleri örneği

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

Ön yük dengeleyici eşlemeleri

VIP

Eşlendiği öğe

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3001

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3002

10.1.1.3:3002

ÖnUç1 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.1:3001

Anabilgisayaradı1

10.1.1.1:3002

Anabilgisayaradı2

ÖnUç2 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.2:3001

Anabilgisayaradı1

10.1.1.2:3002

Anabilgisayaradı2

ÖnUç3 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.3:3001

Anabilgisayaradı1

10.1.1.3:3002

Anabilgisayaradı2

WAP Yöneticisi, 443 numaralı bağlantı noktası ile dış Yük Dengeleyici VIP ve özel Ön Uç IP adresleri ve standart olmayan bağlantı noktaları arasında eşlemeler oluşturmalıdır.Bu örnekte, 192.168.1.1:443 adresine gelen tüm trafik, özel IP adresleri ve 3001 numaralı bağlantı noktası ile tüm Ön Uçlara iletilmelidir.

Microsoft Azure Paketi yöneticisinin http trafiği için standart olmayan bir bağlantı noktası kullanabileceğini ve 192.168.1.1:80 adresine gelen tüm trafiği, özel IP adreslerinin bağlantı numarası 4001 olan tüm Ön Uçlara iletecek şekilde ön yük dengeleyiciyi yapılandırabileceğini unutmayın.Microsoft Azure Pack: Web Siteleri, IIS bağlama oluşturur ve o trafiğe hizmet verir.

Ön yük dengeleyicide eşleme yapılandırıldıktan sonra, Microsoft Azure Pack'i Yapılandırma: Web Siteleri içindeki yönergeler doğrultusunda yöneticiler için yönetim portalının IP SSL bölümüne küme IP adresleri girilmelidir.

Kiracı, aşağıdaki diyagramda gösterildiği gibi kiracı portalındaki pano sekmesinden Sanal IP Adreslerini Görüntüle seçeneğini belirleyerek Web Sitesi ile ilişkili etki alanı adı için kullanımda olan sanal IP Adreslerini görebilir.

İnternet'ten adreslenebilir Ön Uçlar için, yönetim portalı kullanılarak Ön Uçlarda yönetici tarafından genel sanal IP adresleri ve 443 numaralı bağlantı noktası ile IIS bağlamaları oluşturulmalıdır.Bu, Yerel Adres Eşlemeleri olarak adlandırılır ve aşağıdaki tabloda gösterilmektedir.Tek desteklenen topoloji, her bir ana bilgisayar için her Ön Uçta aynı sanal IP adresinin yapılandırılmış olmasıdır.Her Ön Uç sunucusu için bu VIP’ler yerel olarak yapılandırılmış olmalıdır.Bunu başarmak için Windows Ağ Yükü Dengeleyici (NLB) kümesi dağıtılmalı ve tüm Ön Uç sunucuları buna bağlanmalıdır.IP SSL ile kullanılacak tüm sanal IP adresleri, küme IP adresleri olarak eklenmelidir.

İnternet'ten adreslenebilir yerel adres eşlemesi

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

Windows NLB küme üyeleri

ÖnUç1 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

ÖnUç2 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

ÖnUç3 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

Yönetici, bir Windows NLB kümesi oluşturmalı ve IP SSL bağlamaları için kullanılabilen İnternet’e dönük IP adresleri sayısına eşit sayıda küme IP adresi eklemelidir.Ardından, tüm Ön Uçlar yeni Windows NLB kümesine katılmalıdır.

Kümelenmiş IP adresleri yapılandırıldıktan sonra, Microsoft Azure Pack'i Yapılandırma: Web Siteleri makalesindeki yönergeler doğrultusunda yöneticiler için yönetim portalının IP SSL bölümüne girilmelidir.

Üretim dışı ortamlar için veya yüksek kullanılabilirlik gerektirmeyen ortamlar için yerel adres eşlemesi tek bir Ön Uç ile gerçekleştirilebilir.

Tek Ön Uç ile yerel adres eşlemesi

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

ÖnUç1 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

Hangi IP SSL topolojisinin dağıtımınız için en iyisi olduğuna karar vermek üzere aşağıdaki önerileri dikkate alın.

IP SSL yöntemi

Kullanım amacı

VIP eşleme (önerilen)

Yüksek trafik, yüksek oranda kullanılabilirlik gereksinimleri olan kuruluş düzeyinde dağıtımlar.

Yerel adres eşlemesi

Düşük ila orta düzey trafik dağıtımı iş yükleri.

Tek Bir Ön Uç

Yalnızca laboratuvar ve kavram kanıtı dağıtımları.

Aşağıdaki bölümlerde, IP SSL’nin Güncelleştirme 4 ile Güncelleştirme 6 uygulamaları arasındaki farklar numaralandırılmıştır.

  1. Pfx sertifika dosyaları, Ön Uç sunucularının kullanımına sunulan merkezi bir paylaşım alanında depolanırdı.

  2. Her Ön Uçta belirli bir ana bilgisayar adı için oluşturulan IIS IP adresi ve bağlantı noktası numarası bağlamalarının, aynı bağlantı noktasını veya IP adresini kullanması garanti edilmezdi.Örneğin, “Bağlantı noktası tabanlı bağlamalar – V2U4” diyagramında ana bilgisayar adı 1’de hem 3001 hem de 3302 numaralı bağlantı noktası, farklı Ön Uçlarda kullanılır.

  3. Ön yük dengeleyicilerin ardındaki Ön Uçlarda 443 numaralı bağlantı noktası ile yerel adresler için topoloji desteklenirdi (“Ön yük dengeleyici ardındaki yerel adres – V2U6 öncesi ” diyagramına bakın).Güncelleştirme 6 veya sonrasında desteklenmez.

  4. İnternet’ten adreslenebilir IP adresleri için Ön Uçlarda 443 numaralı bağlantı noktası ile yerel adresler için topoloji desteklenirdi (“İnternet’ten yönlendirilebilir yerel adres – V2U6 öncesi” diyagramına bakın).Bu halen Güncelleştirme 6’da desteklenir, ancak Windows NLB’ye geçiş veya tek bir Ön Uç kullanılmasını gerektirir.

  5. Güncelleştirme 4’te, bir ön yük dengeleyici kullanıldığında Microsoft Azure Pack sistem yöneticisi, Ön Uçlarda birden çok IP SSL bağlaması ile tek bir VIP arasında ön yük dengeleyici eşlemeleri yapılandırmak için genişletilebilirlik komut dosyasını değiştirmelidir.Örneğin, aşağıdaki “VIP Eşlemeleri – V2U6 öncesi” tablosunda VIP 192.168.1.101:443 ile 10.1.1.1:3001, 10.1.1.2:3002, 10.1.1.3:3001 arasındaki eşlemeler gösterilmektedir.Bu eşlemeler, güncelleştirme 4’te ön yük dengeleyici üzerinde önceden oluşturulmamıştır.Yöneticinin özellikle de ön yük dengeleyici için bir genişletilebilirlik komut dosyasını değiştirmesi gerekirdi ve kullanıcı kiracı portalında IP SSL’yi her etkinleştirdiğinde bu komut dosyası ön yük dengeleyicide yeni eşlemeler oluştururdu.

    Ön Uçlarda IP SSL etkin ana bilgisayar adı ve IIS bağlamaları yapılandırıldığında Microsoft Azure Pack tarafından genişletilebilirlik komut dosyası çağrılırdı.Bağlama verileri (IP adresleri ve bağlantı noktaları) ve ana bilgisayar adları, komut dosyalarına parametre olarak iletilirdi.Komut dosyası kodu (Yönetici tarafından yazılan) bu parametreleri alır ve belirli ön yük dengeleyici tarafından anlaşılabilir komut dosyası dili veya API yöntemlerini kullanarak ön yük dengeleyici eşlemeleri oluştururdu.

  1. Pfx sertifikaları her Ön Uç sunucusunda yerel bir klasörde depolanır.

  2. Kullanıcılar, ana bilgisayar adları için IP SSL’yi etkinleştirmeye başlamadan önce yönetici tarafından Ön Uçlardaki IIS bağlamaları ile dış yük dengeleyici VIP'ler arasında eşlemeler oluşturulmalıdır.Bu, Güncelleştirme 4 ile arasındaki temel bir farktır.VIP eşlemeleri, isteğe bağlı komut dosyası tarafından çağrılmak yerine, kullanılmadan önce oluşturulmalıdır.

    Örneğin, "VIP Eşlemeleri – V2U6’ya Yükseltmeden Sonra” tablosunda, ön yük dengeleyicide yönetici tarafından tüm Ön Uçlarda 3001 numaralı bağlantı noktası ile VIP 192.168.1.101:443 arasında eşleme oluşturulur.WAP’ın IP SSL etkin durumda her ana bilgisayar adına VIP eşlemesini ayırması amacıyla yöneticiler için yönetim portalına VIP eşlemeleri girilmelidir.

  3. VIP eşleme kavramı nedeniyle, IIS bağlama düzeyinde (ve Windows NLB IP adresleri söz konusu olduğunda) bağlantı noktalarının belirli ana bilgisayar adı için aynı olması garanti edilir.

IP SSL örnekleriniz aşağıda açıklandığı gibi Güncelleştirme 4 işlevselliğinden Güncelleştirme 6 işlevselliğine otomatik olarak yükseltilecektir.

"VIP eşlemeleri – Güncelleştirme 6 öncesi" tablosunda gösterilen senaryo, ”VIP eşlemeleri – Güncelleştirme 6 sonrası” tablosunda gösterilen senaryoya yükseltilecektir.

VIP eşlemeleri – Güncelleştirme 6 öncesi

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

Ön yük dengeleyici eşlemeleri

VIP

Eşlendiği öğe

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3002

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3003

10.1.1.3:3002

ÖnUç1 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.1:3001

Anabilgisayaradı1

10.1.1.1:3002

Anabilgisayaradı2

ÖnUç2 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.2:3002

Anabilgisayaradı1

10.1.1.2:3003

Anabilgisayaradı2

ÖnUç3 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.3:3001

Anabilgisayaradı1

10.1.1.3:3002

Anabilgisayaradı2

VIP eşlemeleri – Güncelleştirme 6 sonrası

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

Ön yük dengeleyici eşlemeleri

VIP

Eşlendiği öğe

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3002 -> 10.1.1.2:3001

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3003 -> 10.1.1.2:3002

10.1.1.3:3002

ÖnUç1 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.1:3001

Anabilgisayaradı1

10.1.1.1:3002

Anabilgisayaradı2

ÖnUç2 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.2:3002 -> 3001

Anabilgisayaradı1

10.1.1.2:3003 -> 3002

Anabilgisayaradı2

ÖnUç3 IIS bağlamaları

IP adresi ve bağlantı noktası numarası

Konak Adı

10.1.1.3:3001

Anabilgisayaradı1

10.1.1.3:3002

Anabilgisayaradı2

Yukarıdaki tablolarda, yükseltme öncesinde tüm Ön Uç sunucularında belirli bir ana bilgisayar adı için IIS bağlamalarında farklı bağlantı noktaları kullanılırdı.Bu nedenle yükseltme komut dosyası, en sık kullanılan bağlantı noktalarını seçer (anabilgisayaradı1 için 3001 ve anabilgisayaradı2 için 3002) ve bunları kullanmak için bir VIP eşlemesi oluştururdu.

Eski yapılandırmada, ÖnUç2’de farklı bağlantı noktalarının kullanılacağı varsayılırdı.Yükseltmeden sonra ÖnUç2 yeniden yapılandırıldı ve 3001 numaralı bağlantı noktasında anabilgisayaradı1 için ve 3002 numaralı anabilgisayaradı2 için IP SSL hizmeti vermeye hazır oldu.

Kalan tek adım, trafiği doğru şekilde iletmek için ön yük dengeleyiciyi yeniden yapılandırmaktır:

  • 192.168.1.1:443’ten 10.1.1.2:3001’e.

  • 192.168.1.2:443’ten 10.1.1.2:3002’ye.

Ön yük dengeleyici, diğer Ön Uçlarla ilgili VIP için doğru yük dengeleme ayarlarına zaten sahiptir.

“İnternet’ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6 öncesi” tablosunda gösterilen senaryo, “İnternet’ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6 sonrası” tablosunda gösterilen senaryoya yükseltilecektir.

İnternet'ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6 öncesi

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.103

Anabilgisayaradı1

192.168.1.105

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

192.168.1.104

Anabilgisayaradı2

192.168.1.106

Anabilgisayaradı2

ÖnUç1

VIP

Konak Adı

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

ÖnUç2

VIP

Konak Adı

192.168.1.103:443

Anabilgisayaradı1

192.168.1.104:443

Anabilgisayaradı2

ÖnUç3

VIP

Konak Adı

192.168.1.105:443

Anabilgisayaradı1

192.168.1.106:443

Anabilgisayaradı2

İnternet'ten adreslenebilir yerel adres eşlemesi – Güncelleştirme 6 sonrası

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı2

Windows NLB kümesi

ÖnUç1

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

192.168.1.101:443

Anabilgisayaradı1

192.168.1.102:443

Anabilgisayaradı2

ÖnUç2

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

192.168.1.103:443 -> 192.168.1.101:443

Anabilgisayaradı1

192.168.1.104:443 -> 192.168.1.102:443

Anabilgisayaradı2

ÖnUç3

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

192.168.1.105:443 -> 192.168.1.101:443

Anabilgisayaradı1

192.168.1.106:443 -> 192.168.1.102:443

Anabilgisayaradı2

Yukarıdaki tablolarda, yükseltmeden önce her bir Ön Uç farklı bir IP adresi kullanır.Tüm IP adresleri, İnternet'ten adreslenebilir ve yönetici her biri için bir DNS kaydı oluşturmalıdır.

Yükseltme yordamı belirli bir ana bilgisayar adı için tek bir IP adresi seçer ve diğer tümünü kaldırır.Yükseltmeden sonra yalnızca ÖnUç1, anabilgisayaradı1 ve anabilgisayaradı2 için IP SSL hizmeti verebilir.

Yükseltmeden sonra yönetici el ile şunları yapmalıdır:

  • Gereksiz tüm DNS kayıtlarını kaldırmalıdır.

  • Bir Windows NLB kümesi ve gerekli küme IP adreslerini eklemelidir.

Aşağıdaki “Ön yük dengeleyicinin ardındaki yerel adres – Güncelleştirme 6 öncesi” tablosunda gösterilen senaryo, yükseltme için desteklenmez.Yükseltmeden önce “VIP Eşlemeleri – Güncelleştirme 6 Öncesi” öğesine el ile geçiş yapmanız önerilir.

Ön yük dengeleyicinin ardındaki yerel adres - Güncelleştirme 6 öncesi

Genel DNS kayıtları

IP adresi

Konak Adı

192.168.1.101

Anabilgisayaradı1

192.168.1.102

Anabilgisayaradı1

Ön yük dengeleyici

VIP

Eşlendiği öğe

192.168.1.101:443

10.1.1.1:443

10.1.1.2:443

10.1.1.3:443

192.168.1.102:443

10.1.1.11:443

10.1.1.12:443

10.1.1.13:443

ÖnUç1

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

10.1.1.1:443

Anabilgisayaradı1

10.1.1.11:443

Anabilgisayaradı2

ÖnUç2

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

10.1.1.2:443

Anabilgisayaradı1

10.1.1.12:443

Anabilgisayaradı2

ÖnUç3

IP adresi ve bağlantı noktası numarası

Eşlendiği öğe

10.1.1.3:443

Anabilgisayaradı1

10.1.1.13:443

Anabilgisayaradı2