設定 Windows Azure Pack: Web Sites

 

適用於: Windows Azure Pack

本章提供有關其他佈建後組態的資訊,包括如何設定 SSL 憑證存放區、IP SSL 及共用憑證等等。如需設定原始檔控制的資訊,請參閱<設定 Windows Azure Pack: Web Sites 的原始檔控制>。如需 Web Sites 之安全性最佳做法的資訊,請參閱<安裝 Windows Azure Pack:Web Sites 的安全性增強功能>。

如果要讓租用戶網站使用以 IP SSL 憑證,必須設定「前端」、「控制器」及硬體負載平衡器 (選擇性)。

System_CAPS_note注意事項

預設會啟用 SNI (伺服器名稱指示) SSL。如果提供給租用戶使用,請將其加入您在管理員之管理入口網站上所撰寫的方案。

  1. 繫結您要使用的 IP 位址:

    1. 在每部「前端」伺服器上,開啟網路管理介面。

    2. 選取 [網際網路通訊協定第 6 版 (TCP/IPv6)],然後按一下 [屬性]

    3. 按一下 [進階],以開啟 [進階] 屬性。

    4. 按一下 [加入],以加入 IP 位址。

    5. 對網際網路通訊協定第 4 版 (TCP/IPv4) 重複上述步驟。

      System_CAPS_tip提示

      每一個使用 IP SSL 的客戶或網站在每一部「前端」伺服器上,都必須要有一個 IP 位址。由於這可能會需要耗費許多人力,因此建議您使用指令碼自動化繫結 IP 位址的動作。

  2. 接下來是將網站雲端設定為在 IP SSL 流量中使用 IP 位址。

    1. 在管理員的管理入口網站中,按一下 [網站雲端],然後按兩下要設定的雲端。

    2. 按一下 [角色],然後選擇前端伺服器。

    3. 按一下 [IP SSL]

    4. 按一下 [加入],以加入 IP 位址範圍。

    5. 輸入開始位址與結束位址,然後按一下核取記號。

      System_CAPS_note注意事項

      每部前端伺服器的 IP 位址範圍都必須是唯一的。

    6. 對 IPv4 及 IPv6 位址重複上述步驟。

    針對 Web 伺服陣列中的每個前端伺服器,重複這些步驟。

  3. 如果您是使用上游硬體負載平衡器平衡連入前端伺服器的流量,則在最後時,必須編輯註冊及取消註冊回呼指令碼,讓網站雲端能夠與負載平衡器通訊,如此才能為給定的 IP 位址建立負載平衡器集區。

    回呼指令碼位於 Web 伺服陣列的網站雲端控制站上,路徑是 C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win。

    1. 編輯 DNS-RegisterSSLBindings.ps1 指令碼。當使用者建立或編輯使用 IP SSL 的網站時,都可以使用此指令碼。

      1. 使用 $bindings 建立負載平衡器集區。您可以使用 $hostname 做為追蹤的索引鍵。

      2. 傳回指派給負載平衡器集區的虛擬 IP 位址 (使用 $retval)。

    2. 編輯 DNS-DeRegisterSSLBindings.ps1 指令碼。當使用者移除網站上的 IP SSL,或是刪除或取消佈建網站時,皆可使用此指令碼。

      傳回空值 (使用 $retval)。

網站服務使用憑證加密來往於「前端」伺服器、「發行者」與「控制器」之間的資料。

Windows Azure Pack: Web Sites 預設會提供自我簽署的憑證,避免您的初始作業以純文字格式進行。自我簽署的憑證會引發憑證警告訊息,因此不適合在生產環境中使用。

在生產環境中必須使用下列三種憑證,才能確保網站伺服陣列中之端點的安全:

  • 前端:「前端」憑證會用於共用 SSL 及原始檔控制作業,並會繫結到「全未指派」。「前端」憑證必須是雙主體憑證。

  • 發行者:「發行者」憑證可保護 FTPS 及 Web Deploy 流量的安全。

您從憑證授權單位 (CA) 取得這些認證,然後再透過管理員的管理入口網站將加以上傳。您為每份憑證提供密碼,以便能將其部署到伺服陣列。

預設網域憑證會存放在「前端」角色上,供租用戶在發送萬用或預設網域要求給網站伺服陣列時使用。預設憑證也會用於原始檔控制項作業。

此憑證必須是 .pfx 格式,而且是涵蓋雙主體的萬用憑證。如此一來,一份憑證即可同時涵蓋預設網域與原始檔控制作業的 scm 端點:

  • *.<DomainName>.com

  • *.scm。<DomainName>.com

System_CAPS_tip提示

雙主體憑證有時也稱為主體別名 (SAN) 憑證。雙主體憑證優點之一,是購買者只需要購買一份憑證,而不需要購買兩份。

  1. 在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。

  2. 按一下 [設定],以開啟網站雲端組態頁面。

  3. [網站預設憑證] 欄位中,按一下資料夾圖示。[上傳預設網站憑證] 對話方塊會隨即出現。

  4. 瀏覽至您要使用的憑證並加以上傳。

  5. 輸入憑證的密碼,然後按一下核取記號。如此即會將憑證傳播到 Web 伺服陣列中的所有「前端」伺服器。

「發行者」角色的憑證可保護網站擁有者將內容上傳至網站時的 Web Deploy 與 FTPS 流量安全。

在管理員的管理入口網站中,網站雲端的 [設定] 頁面包含您檢視或設定 Web Deploy 與 FTP Deploy DNS 項目所在的 [發行設定] 區段。

發行用的憑證必須包含兩個主體,一個必須符合 Web Deploy DNS 項目,一個必須符合 FTPS Deploy DNS 項目。

System_CAPS_note注意事項

如果您在預設憑證中使用萬用字元,則該憑證也可用於發行者。但提供個別的憑證更加安全。

  1. 在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。

  2. 按一下 [設定],以開啟網站雲端組態頁面。

  3. [發行者憑證] 欄位中,按一下資料夾圖示。[上傳發行者憑證] 對話方塊會隨即出現。

  4. 瀏覽至您要使用的憑證並加以上傳。

  5. 輸入憑證的密碼,然後按一下核取記號。如此即會將憑證傳播到 Web 伺服陣列中的所有發行伺服器。

在安裝期間,Web Deploy DNS 發行設定的預設值為 HTTP (連接埠 80)。建議您將此值變更為 HTTPS (連接埠 443)。若要執行此作業,請執行下列步驟:

  1. 在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。

  2. 按一下 [設定],以開啟網站雲端組態頁面。

  3. 在 [發行設定] 區段中,將 :443 加入 [Web Deploy DNS] 項目 (例如 publish.domainname:443)。

  4. 在入口網站頁面底部的命令列上,按一下 [儲存]。

  • 請確認憑證主體是否相符性。若憑證不符,Windows Azure Pack: Web Sites 將不允許上傳憑證。

  • 最安全的設定是各自使用不同的憑證及網域。這有助於防止網路釣魚案例及社交工程攻擊。

  • 留意憑證到期日。請定期更新憑證。

  • 如需在 Windows Azure Pack 中,以信任之憑證取代不信任之自我簽署憑證的資訊,請參閱<後續安裝最佳作法>準則中的<部署 Windows Server 適用的 Windows Azure Pack>。

Windows Azure Pack Web Sites 系統隨附一組豐富的 PowerShell 命令可用於管理系統。這些命令可讓系統管理員執行可以在入口網站中執行的所有動作,以及其他一些無法在入口網站中執行的動作。

若要存取 Windows Azure Pack Web Sites 的 PowerShell 命令,請使用 PowerShell 命令。

import-module websitesdev

每個命令都有說明資訊。若要取得命令的清單,請使用下列命令:

get-commands –module websitesdev

如需特定命令的相關資訊,請使用下列命令:

get-help <command name>

您可以使用 PowerShell 命令,在 Windows Azure Pack:Web Sites 上啟用 ISAPI/傳統模式。

若要設定網站的傳統模式,請執行下列命令。將 <網站名稱> 置換成您的網站名稱。

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <sitename>

若要確認已設定為傳統模式,可以執行下列命令,以產生您網站組態的傾印。將 <網站名稱> 置換成您的網站名稱。

Get-websitessite –rawview –name <sitename>

顯示: