設定 Windows Azure Pack: Web Sites
適用于:Windows Azure Pack
本章提供有關其他佈建後組態的資訊,包括如何設定 SSL 憑證存放區、IP SSL 及共用憑證等等。 如需設定原始檔控制的資訊,請參閱< Configure source control for Windows Azure Pack: Web Sites>。 如需 Web Sites 之安全性最佳做法的資訊,請參閱< Windows Azure Pack: Web Sites Security Enhancements>。
設定 IP SSL
如果要讓租用戶網站使用以 IP SSL 憑證,必須設定「前端」、「控制器」及硬體負載平衡器 (選擇性)。
注意
預設會啟用 SNI (伺服器名稱指示) SSL。 如果提供給租用戶使用,請將其加入您在管理員之管理入口網站上所撰寫的方案。
設定 IP SSL
繫結您要使用的 IP 位址:
在每部「前端」伺服器上,開啟網路管理介面。
選取 [網際網路通訊協定第 6 版 (TCP/IPv6)],然後按一下 [屬性]。
按一下 [進階],以開啟 [進階] 屬性。
按一下 [加入],以加入 IP 位址。
對網際網路通訊協定第 4 版 (TCP/IPv4) 重複上述步驟。
提示
每一個使用 IP SSL 的客戶或網站在每一部「前端」伺服器上,都必須要有一個 IP 位址。 由於這可能會需要耗費許多人力,因此建議您使用指令碼自動化繫結 IP 位址的動作。
接下來是將網站雲端設定為在 IP SSL 流量中使用 IP 位址。
在管理員的管理入口網站中,按一下 [網站雲端],然後按兩下要設定的雲端。
按一下 [角色],然後選擇前端伺服器。
按一下 [IP SSL]。
按一下 [加入],以加入 IP 位址範圍。
輸入開始位址與結束位址,然後按一下核取記號。
注意
每部前端伺服器的 IP 位址範圍都必須是唯一的。
對 IPv4 及 IPv6 位址重複上述步驟。
針對 Web 伺服陣列中的每個前端伺服器,重複這些步驟。
如果您是使用上游硬體負載平衡器平衡連入前端伺服器的流量,則在最後時,必須編輯註冊及取消註冊回呼指令碼,讓網站雲端能夠與負載平衡器通訊,如此才能為給定的 IP 位址建立負載平衡器集區。
回呼指令碼位於 Web 伺服陣列的網站雲端控制站上,路徑是 C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win。
編輯 DNS-RegisterSSLBindings.ps1 指令碼。 當使用者建立或編輯使用 IP SSL 的網站時,都可以使用此指令碼。
使用$bindings建立負載平衡器集區。 您可以使用$hostname作為追蹤它的索引鍵。
使用 $retval) 傳回指派給負載平衡器集區的虛擬 IP 位址 (。
編輯 DNS-DeRegisterSSLBindings.ps1 指令碼。 當使用者移除網站上的 IP SSL,或是刪除或取消佈建網站時,皆可使用此指令碼。
使用 $retval) 傳回空白值 (。
設定共用憑證
網站服務使用憑證加密來往於「前端」伺服器、「發行者」與「控制器」之間的資料。
Windows Azure Pack: Web Sites 預設會提供自我簽署的憑證,避免您的初始作業以純文字格式進行。 自我簽署的憑證會引發憑證警告訊息,因此不適合在生產環境中使用。
在生產環境中必須使用下列三種憑證,才能確保網站伺服陣列中之端點的安全:
「前端」:「前端」憑證會用於共用 SSL 及原始檔控制作業,並會繫結到「全未指派」。 「前端」憑證必須是雙主體憑證。
「發行者」:「發行者」憑證可保護 FTPS 及 Web Deploy 流量的安全。
您從憑證授權單位 (CA) 取得這些認證,然後再透過管理員的管理入口網站將加以上傳。 您為每份憑證提供密碼,以便能將其部署到伺服陣列。
預設的網域憑證
預設網域憑證會存放在「前端」角色上,供租用戶在發送萬用或預設網域要求給網站伺服陣列時使用。 預設憑證也會用於原始檔控制項作業。
此憑證必須是 .pfx 格式,而且是涵蓋雙主體的萬用憑證。 如此一來,一份憑證即可同時涵蓋預設網域與原始檔控制作業的 scm 端點:
*.< DomainName.com >
*.scm。 < DomainName.com >
提示
雙主體憑證有時也稱為主體別名 (SAN) 憑證。 雙主體憑證優點之一,是購買者只需要購買一份憑證,而不需要購買兩份。
指定預設網域的憑證
在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。
按一下 [設定],以開啟網站雲端組態頁面。
在 [網站預設憑證] 欄位中,按一下資料夾圖示。 [上傳預設網站憑證] 對話方塊會隨即出現。
瀏覽至您要使用的憑證並加以上傳。
輸入憑證的密碼,然後按一下核取記號。 如此即會將憑證傳播到 Web 伺服陣列中的所有「前端」伺服器。
發行用的憑證
「發行者」角色的憑證可保護網站擁有者將內容上傳至網站時的 Web Deploy 與 FTPS 流量安全。
在管理員的管理入口網站中,網站雲端的 [設定] 頁面包含您檢視或設定 Web Deploy 與 FTP Deploy DNS 項目所在的 [發行設定] 區段。
發行用的憑證必須包含兩個主體,一個必須符合 Web Deploy DNS 項目,一個必須符合 FTPS Deploy DNS 項目。
注意
如果您在預設憑證中使用萬用字元,則該憑證也可用於發行者。 但提供個別的憑證更加安全。
指定發行用的憑證
在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。
按一下 [設定],以開啟網站雲端組態頁面。
在 [發行者憑證] 欄位中,按一下資料夾圖示。 [上傳發行者憑證] 對話方塊會隨即出現。
瀏覽至您要使用的憑證並加以上傳。
輸入憑證的密碼,然後按一下核取記號。 如此即會將憑證傳播到 Web 伺服陣列中的所有發行伺服器。
將 Web Deploy 發行變更為 HTTPS
在安裝期間,Web Deploy DNS 發行設定的預設值為 HTTP (連接埠 80)。 建議您將此值變更為 HTTPS (連接埠 443)。 若要進行,請執行下列步驟:
在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。
按一下 [設定],以開啟網站雲端組態頁面。
在 [發行設定] 區段中,將 :443 加入 [Web Deploy DNS] 項目 (例如 publish.domainname:443)。
在入口網站頁面底部的命令列上,按一下 [儲存] 。
憑證的最佳作法
請確認憑證主體是否相符性。 若憑證不符,Windows Azure Pack: Web Sites 將不允許上傳憑證。
最安全的設定是各自使用不同的憑證及網域。 這有助於防止網路釣魚案例及社交工程攻擊。
留意憑證到期日。 請定期更新憑證。
如需在 Windows Azure Pack 中,以信任之憑證取代不信任之自我簽署憑證的資訊,請參閱< Post-installation best practices >準則中的< Deploy Windows Azure Pack for Windows Server >。
啟用 PowerShell 命令支援
Windows Azure Pack Web Sites 系統隨附一組豐富的 PowerShell 命令可用於管理系統。 這些命令可讓系統管理員執行可以在入口網站中執行的所有動作,以及其他一些無法在入口網站中執行的動作。
若要存取 Windows Azure Pack Web Sites 的 PowerShell 命令,請使用 PowerShell 命令。
import-module websitesdev
每個命令都有說明資訊。 若要取得命令的清單,請使用下列命令:
get-commands –module websitesdev
如需特定命令的相關資訊,請使用下列命令:
get-help < 命令名稱 >
啟用 ISAPI/傳統模式
您可以使用 PowerShell 命令,在 Windows Azure Pack:Web Sites 上啟用 ISAPI/傳統模式。
若要設定網站的傳統模式,請執行下列命令。 以您的網站名稱取代< sitename >。
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -SiteName < 網站名稱 >
若要確認已設定為傳統模式,可以執行下列命令,以產生您網站組態的傾印。 以您的網站名稱取代< sitename >。
Get-websitessite –rawview –name < sitename >