使用 IP SSL
適用于:Windows Azure Pack
警告
若使用 VIP 對應或本機位址與 IPv6 位址實作以 IP 為主的 SSL,除非您在套用 Microsoft Azure Pack: Websites 更新 6 之前即已移轉至 IPv4,否則請勿升級為此版本。 此更新不支援此情況,但未來更新將予支援。
IP SSL 是不支援伺服器名稱指示之用戶端 (舊版瀏覽器、作業系統或行動裝置) 的憑證安全性模式。 在此模式中,特定 DNS 主機名稱的憑證,會對應到專用的虛擬 IP 位址。
在 Microsoft Azure Pack: Websites 中,當使用者在租用戶管理入口網站中執行 IP SSL 相關的動作時,會執行一些特定的步驟:
當使用者在入口網站上傳憑證時,入口網站會驗證所提供的憑證檔案 (pfx),並將其以加密位元組陣列 (Blob) 格式儲存到資料庫。
當使用者在入口網站為特定主機名稱啟用 IP SSL 時,Microsoft Azure Pack: Websites 會執行下列作業:
從資料庫擷取憑證的 pfx Blob,然後使用新的密碼保護其的安全,並將 pfx 檔案上傳至每部前端伺服器上之所有 IIS 均能存取的資料夾。
在每部前端伺服器上,為該特定主機名稱建立相符的 IP 位址與連接埠號碼 IIS 繫結。
若使用外部前方負載平衡器來平衡前端伺服器之間的流量負載,Microsoft Azure Pack: Websites 會執行下列作業:
將外部前方負載平衡器上的專用公用虛擬 IP 位址,對應到此主機名稱所關聯之每個 IP 位址與連接埠繫結。
將公用虛擬 IP 位址傳回給使用者,以更新其 DNS 記錄。
重要
Windows Azure Pack: Websites 更新 4 實作步驟 2 的方式與更新 6 不同。 若更新 4 環境中已有網站啟用 IP SSL,請閱讀本文件的所有章節。 若是第一次使用更新 6 實作 IP SSL,請閱讀<VIP 對應與本機位址對應的比較>一節。
VIP 對應與本機位址對應的比較
對應 DNS 主機名稱有兩種方式:虛擬 IP 位址 (VIP) 對應與本機位址對應。
對租用戶而言,本機位址對應與 VIP 對應看似相同。 前端伺服器之間的流量負載平衡細節,並不會提供給租用戶;租用戶只會在 DNS 記錄中看到要使用的虛擬 IP 位址。
VIP 對應
在 IP SSL 模式中,特定 DNS 主機名稱的憑證會對應至專用虛擬 IP 位址。 但為了讓 IP SSL 能夠運作,專用與唯一位址必須使用 IP 通訊端 (會以 IP 位址與連接埠號碼組合表示),而不只是 IP 位址。 所有瀏覽器與其他用戶端軟體預設都會讓 SSL 使用連接埠 443。 因此,當此位址公開時,Microsoft Azure Pack: Websites 必須使用預設連接埠 443 與唯一 IP 位址。 在內部負載平衡器後方時,使用非標準的連接埠與私人 IP 位址可能較為便利。
若前端位於前方負載平衡器後方,唯一支援的方法就是在前方負載平衡器上使用唯一虛擬 IP 位址與連接埠 443,並將其對應到前端的非標準連接埠 (非 443)。 這稱為「VIP 對應」。
VIP 對應範例
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
前方負載平衡器對應 | |
VIP | 對應至 |
192.168.1.101:443 | 10.1.1.1:3001 |
10.1.1.2:3001 | |
10.1.1.3:3001 | |
192.168.1.102:443 | 10.1.1.1:3002 |
10.1.1.2:3002 | |
10.1.1.3:3002 | |
前端 1 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.1:3001 | 主機名稱 1 |
10.1.1.1:3002 | 主機名稱 2 |
前端 2 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.2:3001 | 主機名稱 1 |
10.1.1.2:3002 | 主機名稱 2 |
前端 3 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.3:3001 | 主機名稱 1 |
10.1.1.3:3002 | 主機名稱 2 |
WAP 系統管理員必須建立外部負載平衡器 VIP (使用連接埠 443) 與私人前端 IP 位址 (使用非標準連接埠) 之間的對應。 在此範例中,所有連入 192.168.1.1:443 的流量都必須轉送給所有使用私人 IP 位址與連接埠 3001 的前端。
請注意,Microsoft Azure Pack 系統管理員可以使用非標準連接埠處理 HTTP 流量,並設定前方負載平衡器將所有連入 192.168.1.1:80 的流量,都轉送給所有使用私人 IP 位址與連接埠 4001 (例如) 的前端。 Windows Azure Pack:Websites 會建立 IIS 繫結並服務該流量。
在前方負載平衡器上設定對應之後,必須依照 Configure Windows Azure Pack: Web Sites中的指示,在系統管理員之管理入口網站的 IP SSL 區段中,輸入叢集 IP 位址。
當在租用戶入口網站的儀表板索引標籤上選取 [檢視虛擬 IP 位址] 時 (如下圖所示),租用戶可以看到其網站所關聯之網域名稱中使用了虛擬 IP 位址。
本機位址對應
對於可以從網際網路定址的前端,系統管理員必須使用管理入口網站在前端上建立使用公用虛擬 IP 位址與連接埠 443 的 IIS 繫結。 這稱為「本機位址對應」,下表將加以說明。 唯一支援的拓撲是為每部前端上的每個主機名稱設定相同的虛擬 IP 位址。 每部前端伺服器都必須在本機設定這些 VIP。 為了達成此目的,必須部署 Windows 網路負載平衡器 (NLB) 叢集,而且所有前端伺服器也必須加入其中。 所有與 IP SSL 搭配使用的虛擬 IP 位址都必須加入為叢集 IP 位址。
可從網際網路定址的本機位址對應
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
Windows NLB 叢集成員 | |
前端 1 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
前端 2 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
前端 3 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
系統管理員必須建立 Windows NLB 叢集,並加入數目等於可用於 IP SSL 繫結之網際網路對應 IP 位址數目的叢集 IP 位址。 所有前端都必須加入新的 Windows NLB 叢集中。
設定叢集 IP 位址之後,必須依照 Configure Windows Azure Pack: Web Sites文章中的指示,在系統管理員之管理入口網站的 IP SSL 區段中輸入。
使用單一前端的本機位址對應
對於非生產環境或不需要高可用性的環境,使用單一前端即可達成本機位址對應。
使用單一前端的本機位址對應
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
前端 1 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
IP SSL 建議
您可以使用下列建議,決定最適合您部署的 IP SSL 拓撲。
IP SSL 方法 |
用於 |
VIP 對應 (建議) |
具有高可用性需求之高流量的企業層級部署。 |
本機位址對應 |
中低規模的流量部署工作負載。 |
單一前端 |
僅適用於實驗室及概念證明部署。 |
更新 4 與更新 6 之間的 IP SSL 差異
下列各節列舉 IP SSL 更新 4 與更新 6 實作之間的差異。
更新 4 IP SSL 實作
Pfx 憑證檔案會儲存在前端伺服器所能使用的中央共用上。
為每部前端上之特定主機名稱所建立的 IIS IP 位址與連接埠號碼繫結,不保證會使用相同的連接埠或 IP 位址。 例如,在「以連接埠為主的繫結 - V2U4」圖表的主機名稱 1 中,連接埠 3001 與 3302 各用在不同的前端上。
支援位於前方負載平衡器後方之前端上使用連接埠 443 的本機位址拓撲 (請參閱「前方負載平衡器後方的本機位址 - V2U6 之前的版本」圖表)。 更新 6 或更新版本不予支援。
支援前端 (具有可從網際網路定址的 IP 位址) 上使用連接埠 443 之本機位址的拓撲 (請參閱「可從網際網路路由傳送的本機位址 - V2U6 之前的版本」圖表)。 更新 6 仍予支援,但必須移轉到 Windows NLB 或使用單一前端。
在更新 4 中使用前方負載平衡器時,Microsoft Azure Pack 系統管理員必須修改擴充性指令碼,以設定單一 VIP 與前端上多個 IP SSL 繫結之間的前方負載平衡器對應。 例如,下列「VIP 對應 - V2U6 之前的版本」表格顯示 VIP 192.168.1.101:443 與 10.1.1.1:3001、10.1.1.2:3002、10.1.1.3:3001 之間的對應。 在更新 4 中,這些對應不會預先在前方負載平衡器上建立。 系統管理員必須修改擴充性指令碼 (特別是針對前方負載平衡器器),而且每當使用者在租用戶入口網站中啟用 IP SSL 時,此指令碼就會在前方負載平衡器上建立新的對應。
在前端上設定已啟用 IP SSL 的主機名稱與 IIS 繫結時,Microsoft Azure Pack 便會呼叫擴充性指令碼。 繫結資料 (IP 位址與連接埠) 與主機名稱會以參數形式傳遞給指令碼。 系統管理員所編寫的指令碼會接受這些參數,並使用特定前方負載平衡器可了解的指令碼語言或 API 方法,建立前方負載平衡器對應。
更新 6 IP SSL 實作
Pfx 憑證會儲存在每部前端伺服器的本機資料夾中。
系統管理員必須先建立外部負載平衡器 VIP 與前端上 IIS 繫結之間的對應,使用者才能為其主機名稱啟用 IP SSL。 這是更新 4 的基本差異。 VIP 對應必須在使用之前建立,而不是由隨需指令碼呼叫。
例如,在「VIP 對應 - 升級為 V2U6 之後」表格中,系統管理員會在前方負載平衡器上建立所有前端上 VIP 192.168.1.101:443 與連接埠 3001 之間的對應。 VIP 對應必須輸入到系統管理員的管理入口網站,WAP 才會將 VIP 對應配置給每一個啟用了 IP SSL 的主機名稱。
根據 VIP 對應概念,在 IIS 繫結層級中,連接埠 (如果是 Windows NLB IP 位址) 一定會與特定主機名稱相同。
IP SSL 升級範例
IP SSL 範例會自動從更新 4 功能升級為更新 6 功能,如下所述)。
範例 1
「VIP 對應 - 更新 6 之前」表格中所述的案例會升級為「VIP 對應 - 升級 6 之後」表格中所述的案例。
VIP 對應 - 更新 6 之前
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
前方負載平衡器對應 | |
VIP | 對應至 |
192.168.1.101:443 | 10.1.1.1:3001 |
10.1.1.2:3002 | |
10.1.1.3:3001 | |
192.168.1.102:443 | 10.1.1.1:3002 |
10.1.1.2:3003 | |
10.1.1.3:3002 | |
前端 1 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.1:3001 | 主機名稱 1 |
10.1.1.1:3002 | 主機名稱 2 |
前端 2 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.2:3002 | 主機名稱 1 |
10.1.1.2:3003 | 主機名稱 2 |
前端 3 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.3:3001 | 主機名稱 1 |
10.1.1.3:3002 | 主機名稱 2 |
VIP 對應 - 更新 6 之後
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
前方負載平衡器對應 | |
VIP | 對應至 |
192.168.1.101:443 | 10.1.1.1:3001 |
10.1.1.2:3002 - > 10.1.1.2:3001 | |
10.1.1.3:3001 | |
192.168.1.102:443 | 10.1.1.1:3002 |
10.1.1.2:3003 - > 10.1.1.2:3002 | |
10.1.1.3:3002 | |
前端 1 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.1:3001 | 主機名稱 1 |
10.1.1.1:3002 | 主機名稱 2 |
前端 2 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.2:3002 - > 3001 | 主機名稱 1 |
10.1.1.2:3003 - > 3002 | 主機名稱 2 |
前端 3 IIS 繫結 | |
IP 位址與連接埠號碼 | 主機名稱 |
10.1.1.3:3001 | 主機名稱 1 |
10.1.1.3:3002 | 主機名稱 2 |
在上表中,所有前端伺服器上特定主機名稱的 IIS 繫結在升級之前,都是使用不同的連接埠。 因此,升級指令碼會選擇最常用的連接埠 (主機名稱 1 的 3001 與主機名稱 2 的 3002) 並建立一個 VIP 對應使用這兩個連接埠。
舊組態假設前端 2 會使用不同的連接埠。 升級之後,前端 2 已經過重新設定,可以為連接埠 3001 上的主機名稱 1 及連接埠 3002 上的主機名稱 2 提供 IP SSL 服務。
剩餘的唯一步驟就是重新設定前方負載平衡器,使其能夠正確地轉送流量:
從 192.168.1.1:443 到 10.1.1.2:3001。
從 192.168.1.2:443 到 10.1.1.2:3002。
前方負載平衡器已有其他前端之 VIP 的正確負載平衡設定。
範例 2
「可從網際網路定址的本機位址對應 - 更新 6 之前」表格中所述的案例將會升級為「可從網際網路定址的本機位址對應 - 更新 6 之後」表格中所述的案例。
可從網際網路定址的本機位址對應 - 更新 6 之前
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.103 | 主機名稱 1 |
192.168.1.105 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
192.168.1.104 | 主機名稱 2 |
192.168.1.106 | 主機名稱 2 |
FrontEnd1 | |
VIP | 主機名稱 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
FrontEnd2 | |
VIP | 主機名稱 |
192.168.1.103:443 | 主機名稱 1 |
192.168.1.104:443 | 主機名稱 2 |
FrontEnd3 | |
VIP | 主機名稱 |
192.168.1.105:443 | 主機名稱 1 |
192.168.1.106:443 | 主機名稱 2 |
可從網際網路定址的本機位址對應 - 更新 6 之後
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 2 |
Windows NLB 叢集 | |
FrontEnd1 | |
IP 位址與連接埠號碼 | 對應至 |
192.168.1.101:443 | 主機名稱 1 |
192.168.1.102:443 | 主機名稱 2 |
FrontEnd2 | |
IP 位址與連接埠號碼 | 對應至 |
192.168.1.103:443 - > 192.168.1.101:443 | 主機名稱 1 |
192.168.1.104:443 - > 192.168.1.102:443 | 主機名稱 2 |
FrontEnd3 | |
IP 位址與連接埠號碼 | 對應至 |
192.168.1.105:443 - > 192.168.1.101:443 | 主機名稱 1 |
192.168.1.106:443 - > 192.168.1.102:443 | 主機名稱 2 |
在上述表格中,每部前端在升級之前都會使用不同的 IP 位址。 所有 IP 位址都可以從網際網路定址,而且系統管理員必須為每個 IP 位址建立 DNS 記錄。
升級程序會選擇特定主機名稱的單一 IP 位址,並移除所有其他 IP 位址。 升級之後,只有前端 1 才能服務主機名稱 1 及主機名稱 2 的 IP SSL 要求。
升級之後,系統管理員必須手動:
移除不必要的 DNS 記錄。
新增 Windows NLB 叢集及必要叢集 IP 位址。
不支援的升級案例
不支援下列「前方負載平衡器後方的本機位址 - 更新 6 之前」表格中所述的案例進行升級。 建議您在升級之前手動移轉至「VIP 對應 - 更新 6 之前」。
前方負載平衡器後方的本機位址 - 更新 6 之前
公用 DNS 記錄 | |
IP 位址 | 主機名稱 |
192.168.1.101 | 主機名稱 1 |
192.168.1.102 | 主機名稱 1 |
前方負載平衡器 | |
VIP | 對應至 |
192.168.1.101:443 | 10.1.1.1:443 |
10.1.1.2:443 | |
10.1.1.3:443 | |
192.168.1.102:443 | 10.1.1.11:443 |
10.1.1.12:443 | |
10.1.1.13:443 | |
FrontEnd1 | |
IP 位址與連接埠號碼 | 對應至 |
10.1.1.1:443 | 主機名稱 1 |
10.1.1.11:443 | 主機名稱 2 |
FrontEnd2 | |
IP 位址與連接埠號碼 | 對應至 |
10.1.1.2:443 | 主機名稱 1 |
10.1.1.12:443 | 主機名稱 2 |
FrontEnd3 | |
IP 位址與連接埠號碼 | 對應至 |
10.1.1.3:443 | 主機名稱 1 |
10.1.1.13:443 | 主機名稱 2 |