使用 IP SSL

 

適用於: Windows Azure Pack

System_CAPS_warning警告

若使用 VIP 對應或本機位址與 IPv6 位址實作以 IP 為主的 SSL,除非您在套用 Microsoft Azure Pack: Websites 更新 6 之前即已移轉至 IPv4,否則請勿升級為此版本。此更新不支援此情況,但未來更新將予支援。

IP SSL 是不支援伺服器名稱指示之用戶端 (舊版瀏覽器、作業系統或行動裝置) 的憑證安全性模式。在此模式中,特定 DNS 主機名稱的憑證,會對應到專用的虛擬 IP 位址。

在 Microsoft Azure Pack: Websites 中,當使用者在租用戶管理入口網站中執行 IP SSL 相關的動作時,會執行一些特定的步驟:

  1. 當使用者在入口網站上傳憑證時,入口網站會驗證所提供的憑證檔案 (pfx),並將其以加密位元組陣列 (Blob) 格式儲存到資料庫。

  2. 當使用者在入口網站為特定主機名稱啟用 IP SSL 時,Microsoft Azure Pack: Websites 會執行下列作業:

    1. 從資料庫擷取憑證的 pfx Blob,然後使用新的密碼保護其的安全,並將 pfx 檔案上傳至每部前端伺服器上之所有 IIS 均能存取的資料夾。

    2. 在每部前端伺服器上,為該特定主機名稱建立相符的 IP 位址與連接埠號碼 IIS 繫結。

    若使用外部前方負載平衡器來平衡前端伺服器之間的流量負載,Microsoft Azure Pack: Websites 會執行下列作業:

    1. 將外部前方負載平衡器上的專用公用虛擬 IP 位址,對應到此主機名稱所關聯之每個 IP 位址與連接埠繫結。

    2. 將公用虛擬 IP 位址傳回給使用者,以更新其 DNS 記錄。

System_CAPS_important重要事項

Windows Azure Pack: Websites 更新 4 實作步驟 2 的方式與更新 6 不同。若更新 4 環境中已有網站啟用 IP SSL,請閱讀本文件的所有章節。若是第一次使用更新 6 實作 IP SSL,請閱讀<VIP 對應與本機位址對應的比較>一節。

對應 DNS 主機名稱有兩種方式:虛擬 IP 位址 (VIP) 對應與本機位址對應。

對租用戶而言,本機位址對應與 VIP 對應看似相同。前端伺服器之間的流量負載平衡細節,並不會提供給租用戶;租用戶只會在 DNS 記錄中看到要使用的虛擬 IP 位址。

在 IP SSL 模式中,特定 DNS 主機名稱的憑證會對應至專用虛擬 IP 位址。但為了讓 IP SSL 能夠運作,專用與唯一位址必須使用 IP 通訊端 (會以 IP 位址與連接埠號碼組合表示),而不只是 IP 位址。所有瀏覽器與其他用戶端軟體預設都會讓 SSL 使用連接埠 443。因此,當此位址公開時,Microsoft Azure Pack: Websites 必須使用預設連接埠 443 與唯一 IP 位址。在內部負載平衡器後方時,使用非標準的連接埠與私人 IP 位址可能較為便利。

若前端位於前方負載平衡器後方,唯一支援的方法就是在前方負載平衡器上使用唯一虛擬 IP 位址與連接埠 443,並將其對應到前端的非標準連接埠 (非 443)。這稱為「VIP 對應」。

VIP 對應範例

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

前方負載平衡器對應

VIP

對應至

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3001

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3002

10.1.1.3:3002

前端 1 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.1:3001

主機名稱 1

10.1.1.1:3002

主機名稱 2

前端 2 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.2:3001

主機名稱 1

10.1.1.2:3002

主機名稱 2

前端 3 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.3:3001

主機名稱 1

10.1.1.3:3002

主機名稱 2

WAP 系統管理員必須建立外部負載平衡器 VIP (使用連接埠 443) 與私人前端 IP 位址 (使用非標準連接埠) 之間的對應。在此範例中,所有連入 192.168.1.1:443 的流量都必須轉送給所有使用私人 IP 位址與連接埠 3001 的前端。

請注意,Microsoft Azure Pack 系統管理員可以使用非標準連接埠處理 HTTP 流量,並設定前方負載平衡器將所有連入 192.168.1.1:80 的流量,都轉送給所有使用私人 IP 位址與連接埠 4001 (例如) 的前端。Windows Azure Pack:Websites 會建立 IIS 繫結並服務該流量。

在前方負載平衡器上設定對應之後,必須依照設定 Windows Azure Pack: Web Sites中的指示,在系統管理員之管理入口網站的 IP SSL 區段中,輸入叢集 IP 位址。

當在租用戶入口網站的儀表板索引標籤上選取 [檢視虛擬 IP 位址] 時 (如下圖所示),租用戶可以看到其網站所關聯之網域名稱中使用了虛擬 IP 位址。

對於可以從網際網路定址的前端,系統管理員必須使用管理入口網站在前端上建立使用公用虛擬 IP 位址與連接埠 443 的 IIS 繫結。這稱為「本機位址對應」,下表將加以說明。唯一支援的拓撲是為每部前端上的每個主機名稱設定相同的虛擬 IP 位址。每部前端伺服器都必須在本機設定這些 VIP。為了達成此目的,必須部署 Windows 網路負載平衡器 (NLB) 叢集,而且所有前端伺服器也必須加入其中。所有與 IP SSL 搭配使用的虛擬 IP 位址都必須加入為叢集 IP 位址。

可從網際網路定址的本機位址對應

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

Windows NLB 叢集成員

前端 1 IIS 繫結

IP 位址與連接埠號碼

主機名稱

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

前端 2 IIS 繫結

IP 位址與連接埠號碼

主機名稱

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

前端 3 IIS 繫結

IP 位址與連接埠號碼

主機名稱

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

系統管理員必須建立 Windows NLB 叢集,並加入數目等於可用於 IP SSL 繫結之網際網路對應 IP 位址數目的叢集 IP 位址。所有前端都必須加入新的 Windows NLB 叢集中。

設定叢集 IP 位址之後,必須依照設定 Windows Azure Pack: Web Sites文章中的指示,在系統管理員之管理入口網站的 IP SSL 區段中輸入。

對於非生產環境或不需要高可用性的環境,使用單一前端即可達成本機位址對應。

使用單一前端的本機位址對應

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

前端 1 IIS 繫結

IP 位址與連接埠號碼

主機名稱

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

您可以使用下列建議,決定最適合您部署的 IP SSL 拓撲。

IP SSL 方法

使用對象

VIP 對應 (建議)

具有高可用性需求之高流量的企業層級部署。

本機位址對應

中低規模的流量部署工作負載。

單一前端

僅適用於實驗室及概念證明部署。

下列各節列舉 IP SSL 更新 4 與更新 6 實作之間的差異。

  1. Pfx 憑證檔案會儲存在前端伺服器所能使用的中央共用上。

  2. 為每部前端上之特定主機名稱所建立的 IIS IP 位址與連接埠號碼繫結,不保證會使用相同的連接埠或 IP 位址。例如,在「以連接埠為主的繫結 - V2U4」圖表的主機名稱 1 中,連接埠 3001 與 3302 各用在不同的前端上。

  3. 支援位於前方負載平衡器後方之前端上使用連接埠 443 的本機位址拓撲 (請參閱「前方負載平衡器後方的本機位址 - V2U6 之前的版本」圖表)。更新 6 或更新版本不予支援。

  4. 支援前端 (具有可從網際網路定址的 IP 位址) 上使用連接埠 443 之本機位址的拓撲 (請參閱「可從網際網路路由傳送的本機位址 - V2U6 之前的版本」圖表)。更新 6 仍予支援,但必須移轉到 Windows NLB 或使用單一前端。

  5. 在更新 4 中使用前方負載平衡器時,Microsoft Azure Pack 系統管理員必須修改擴充性指令碼,以設定單一 VIP 與前端上多個 IP SSL 繫結之間的前方負載平衡器對應。例如,下列「VIP 對應 - V2U6 之前的版本」表格顯示 VIP 192.168.1.101:443 與 10.1.1.1:3001、10.1.1.2:3002、10.1.1.3:3001 之間的對應。在更新 4 中,這些對應不會預先在前方負載平衡器上建立。系統管理員必須修改擴充性指令碼 (特別是針對前方負載平衡器器),而且每當使用者在租用戶入口網站中啟用 IP SSL 時,此指令碼就會在前方負載平衡器上建立新的對應。

    在前端上設定已啟用 IP SSL 的主機名稱與 IIS 繫結時,Microsoft Azure Pack 便會呼叫擴充性指令碼。繫結資料 (IP 位址與連接埠) 與主機名稱會以參數形式傳遞給指令碼。系統管理員所編寫的指令碼會接受這些參數,並使用特定前方負載平衡器可了解的指令碼語言或 API 方法,建立前方負載平衡器對應。

  1. Pfx 憑證會儲存在每部前端伺服器的本機資料夾中。

  2. 系統管理員必須先建立外部負載平衡器 VIP 與前端上 IIS 繫結之間的對應,使用者才能為其主機名稱啟用 IP SSL。這是更新 4 的基本差異。VIP 對應必須在使用之前建立,而不是由隨需指令碼呼叫。

    例如,在「VIP 對應 - 升級為 V2U6 之後」表格中,系統管理員會在前方負載平衡器上建立所有前端上 VIP 192.168.1.101:443 與連接埠 3001 之間的對應。VIP 對應必須輸入到系統管理員的管理入口網站,WAP 才會將 VIP 對應配置給每一個啟用了 IP SSL 的主機名稱。

  3. 根據 VIP 對應概念,在 IIS 繫結層級中,連接埠 (如果是 Windows NLB IP 位址) 一定會與特定主機名稱相同。

IP SSL 範例會自動從更新 4 功能升級為更新 6 功能,如下所述)。

「VIP 對應 - 更新 6 之前」表格中所述的案例會升級為「VIP 對應 - 升級 6 之後」表格中所述的案例。

VIP 對應 - 更新 6 之前

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

前方負載平衡器對應

VIP

對應至

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3002

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3003

10.1.1.3:3002

前端 1 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.1:3001

主機名稱 1

10.1.1.1:3002

主機名稱 2

前端 2 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.2:3002

主機名稱 1

10.1.1.2:3003

主機名稱 2

前端 3 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.3:3001

主機名稱 1

10.1.1.3:3002

主機名稱 2

VIP 對應 - 更新 6 之後

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

前方負載平衡器對應

VIP

對應至

192.168.1.101:443

10.1.1.1:3001

10.1.1.2:3002 -> 10.1.1.2:3001

10.1.1.3:3001

192.168.1.102:443

10.1.1.1:3002

10.1.1.2:3003 -> 10.1.1.2:3002

10.1.1.3:3002

前端 1 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.1:3001

主機名稱 1

10.1.1.1:3002

主機名稱 2

前端 2 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.2:3002 -> 3001

主機名稱 1

10.1.1.2:3003 -> 3002

主機名稱 2

前端 3 IIS 繫結

IP 位址與連接埠號碼

主機名稱

10.1.1.3:3001

主機名稱 1

10.1.1.3:3002

主機名稱 2

在上表中,所有前端伺服器上特定主機名稱的 IIS 繫結在升級之前,都是使用不同的連接埠。因此,升級指令碼會選擇最常用的連接埠 (主機名稱 1 的 3001 與主機名稱 2 的 3002) 並建立一個 VIP 對應使用這兩個連接埠。

舊組態假設前端 2 會使用不同的連接埠。升級之後,前端 2 已經過重新設定,可以為連接埠 3001 上的主機名稱 1 及連接埠 3002 上的主機名稱 2 提供 IP SSL 服務。

剩餘的唯一步驟就是重新設定前方負載平衡器,使其能夠正確地轉送流量:

  • 從 192.168.1.1:443 到 10.1.1.2:3001。

  • 從 192.168.1.2:443 到 10.1.1.2:3002。

前方負載平衡器已有其他前端之 VIP 的正確負載平衡設定。

「可從網際網路定址的本機位址對應 - 更新 6 之前」表格中所述的案例將會升級為「可從網際網路定址的本機位址對應 - 更新 6 之後」表格中所述的案例。

可從網際網路定址的本機位址對應 - 更新 6 之前

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.103

主機名稱 1

192.168.1.105

主機名稱 1

192.168.1.102

主機名稱 2

192.168.1.104

主機名稱 2

192.168.1.106

主機名稱 2

前端 1

VIP

主機名稱

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

前端 2

VIP

主機名稱

192.168.1.103:443

主機名稱 1

192.168.1.104:443

主機名稱 2

前端 3

VIP

主機名稱

192.168.1.105:443

主機名稱 1

192.168.1.106:443

主機名稱 2

可從網際網路定址的本機位址對應 - 更新 6 之後

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 2

Windows NLB 叢集

前端 1

IP 位址與連接埠號碼

對應至

192.168.1.101:443

主機名稱 1

192.168.1.102:443

主機名稱 2

前端 2

IP 位址與連接埠號碼

對應至

192.168.1.103:443 -> 192.168.1.101:443

主機名稱 1

192.168.1.104:443 -> 192.168.1.102:443

主機名稱 2

前端 3

IP 位址與連接埠號碼

對應至

192.168.1.105:443 -> 192.168.1.101:443

主機名稱 1

192.168.1.106:443 -> 192.168.1.102:443

主機名稱 2

在上述表格中,每部前端在升級之前都會使用不同的 IP 位址。所有 IP 位址都可以從網際網路定址,而且系統管理員必須為每個 IP 位址建立 DNS 記錄。

升級程序會選擇特定主機名稱的單一 IP 位址,並移除所有其他 IP 位址。升級之後,只有前端 1 才能服務主機名稱 1 及主機名稱 2 的 IP SSL 要求。

升級之後,系統管理員必須手動:

  • 移除不必要的 DNS 記錄。

  • 新增 Windows NLB 叢集及必要叢集 IP 位址。

不支援下列「前方負載平衡器後方的本機位址 - 更新 6 之前」表格中所述的案例進行升級。建議您在升級之前手動移轉至「VIP 對應 - 更新 6 之前」。

前方負載平衡器後方的本機位址 - 更新 6 之前

公用 DNS 記錄

IP 位址

主機名稱

192.168.1.101

主機名稱 1

192.168.1.102

主機名稱 1

前方負載平衡器

VIP

對應至

192.168.1.101:443

10.1.1.1:443

10.1.1.2:443

10.1.1.3:443

192.168.1.102:443

10.1.1.11:443

10.1.1.12:443

10.1.1.13:443

前端 1

IP 位址與連接埠號碼

對應至

10.1.1.1:443

主機名稱 1

10.1.1.11:443

主機名稱 2

前端 2

IP 位址與連接埠號碼

對應至

10.1.1.2:443

主機名稱 1

10.1.1.12:443

主機名稱 2

前端 3

IP 位址與連接埠號碼

對應至

10.1.1.3:443

主機名稱 1

10.1.1.13:443

主機名稱 2

顯示: