Configurer Microsoft Azure Pack : Sites web
S’applique à : Windows Azure Pack
Ce chapitre fournit des informations sur les opérations de configuration supplémentaires pour la mise en service, notamment, sur la configuration du magasin de certificats SSL, sur la configuration de SSL IP, et sur la configuration des certificats partagés. Pour plus d'informations sur la configuration du contrôle de code source, consultez Configure source control for Windows Azure Pack: Web Sites. Pour plus d'informations sur les méthodes conseillées en matière de sécurité pour les sites Web, consultez Windows Azure Pack: Web Sites Security Enhancements.
Configurer SSL IP
Si vous voulez autoriser les sites Web locataires à utiliser des certificats SSL basés sur IP, vous devez configurer les serveurs frontaux, le contrôleur et, le cas échéant, un programme d'équilibrage de charge matérielle.
Notes
SNI (Server Name Indication) SSL est activé par défaut. Pour le rendre accessible aux locataires, incluez-le dans les plans que vous créez dans le portail de gestion pour les administrateurs.
Pour configurer SSL IP
Liez les adresses IP que vous souhaitez utiliser :
Sur chaque serveur frontal, ouvrez l'interface de gestion du réseau.
Cliquez sur Internet Protocol Version 6 (TCP/IPv6), puis cliquez sur Propriétés.
Cliquez sur Avancé pour ouvrir la page des propriétés avancées.
Cliquez sur Ajouter pour ajouter les adresses IP.
Répétez ces étapes pour Internet Protocol Version 4 (TCP/IPv4).
Conseil
Chaque client ou site Web qui utilise SSL IP doit avoir une adresse IP sur chaque serveur frontal. Étant donné que cela demande un travail important, vous pouvez utiliser un script pour automatiser la liaison des adresses IP.
Ensuite, configurez le cloud de site Web afin d'utiliser les adresses IP pour le trafic SSL IP.
Dans le portail de gestion pour les administrateurs, cliquez sur Cloud Sites Web, puis double-cliquez sur le cloud que vous souhaitez configurer.
Cliquez sur Rôles, puis sélectionnez le serveur frontal.
Cliquez sur SSL IP.
Cliquez sur Ajouter pour ajouter la plage d'adresses IP.
Entrez l'adresse de début et l'adresse de fin, puis cliquez sur la coche.
Notes
La plage d'adresses IP doit être unique pour chaque serveur frontal.
Répétez ces étapes pour les adresses IPv4 et IPv6.
Répétez ces étapes pour chaque serveur frontal de la batterie de serveurs.
Si vous utilisez un équilibrage de charge matérielle en amont pour équilibrer le trafic sur les serveurs frontaux, l'étape finale consiste à modifier le Registre et annuler l'inscription des scripts de rappel, de façon à ce que le cloud de site Web communique avec l'équilibrage de charge pour créer des pools d'équilibrage de charge pour une adresse IP donnée.
Les scripts de rappel se trouvent sur le contrôleur de cloud de site Web dans la batterie de serveurs, avec le chemin C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.
Modifiez le script DNS-RegisterSSLBindings.ps1. Ce script est utilisé lorsqu'un utilisateur vous permet de créer ou de modifier un site Web qui utilise SSL IP.
Utilisez la $bindings pour créer un pool d’équilibreur de charge. Vous pouvez utiliser le $hostname comme clé pour le suivi.
Retourne l’adresse IP virtuelle affectée au pool d’équilibreur de charge (à l’aide de $retval).
Modifiez le script DNS-DeRegisterSSLBindings.ps1. Ce script est utilisé lorsqu'un utilisateur supprime SSL IP d'un site Web ou supprime ou annule le déploiement d'un site Web.
Transmettez une valeur vide (à l’aide de $retval).
Configurer les certificats partagés
Le service Site Web utilise des certificats pour chiffrer les données entre les serveurs frontaux, les serveurs de publication, puis le contrôleur.
Par défaut, Microsoft Azure Pack : Sites Web fournit les certificats auto-signés de sorte que les premières opérations ne s'effectuent pas en texte clair. Bien évidemment, les certificats auto-signés génèrent des messages d'avertissement, et doivent pas être utilisés dans un environnement de production.
Dans un environnement de production, trois certificats sont requis pour sécuriser les points de terminaison dans la batterie de serveurs Web :
Serveur frontal - Le certificat de serveur frontal est utilisé pour le SSL partagé et pour les opérations de contrôle de code source et comporte une liaison « Non assigné ». Le certificat de serveur frontal doit être un certificat à deux objets.
Serveur de publication - Le certificat de publication sécurise le trafic FTPS et Web Deploy.
Vous devez obtenir ces certificats d'une autorité de certification (CA) et les télécharger via le portail de gestion pour les administrateurs. Vous fournissez le mot de passe de chaque certificat de sorte qu'il puisse être déployé sur la batterie.
Certificat de domaine par défaut
Le certificat de domaine par défaut est placé sur le rôle de serveur frontal et est utilisé par les sites Web locataires pour les demandes de caractère générique ou de domaine par défaut sur la batterie de sites Web. Le certificat par défaut est également utilisé pour les opérations de contrôle de code source.
Ce certificat doit avoir le format .pfx et doit être un certificat de caractère générique à deux objets. Cela permet de couvrir le domaine par défaut et le point de terminaison scm pour les opérations de contrôle de code source par un seul certificat :
*. <DomainName.com>
*.scm. <DomainName.com>
Conseil
Un certificat à deux objets est parfois appelé un certificat SAN (Subject Alternative Name). L'avantage d'un certificat à deux objets est que l'on peut acheter un seul certificat au lieu de deux.
Spécifier le certificat du domaine par défaut
Dans le portail de gestion pour les administrateurs, cliquez sur Cloud Sites Web, puis choisissez le cloud que vous souhaitez configurer.
Cliquez sur Configurer pour ouvrir la page de configuration du cloud de site Web.
Dans le champ ertificat par défaut des sites Web, cliquez sur l'icône représentant un dossier. La boîte de dialogue Télécharger le certificat de site Web par défaut s'affiche.
Naviguez jusqu'au certificat que vous souhaitez utiliser et téléchargez-le.
Entrez le mot de passe du certificat, puis cliquez sur la coche. Le certificat sera propagé à tous les serveurs frontaux dans la batterie de serveurs Web.
Certificat de publication
Le certificat du rôle de serveur de publication sécurise le trafic Web Deploy et FTPS des propriétaires de sites Web lorsqu'ils téléchargent du contenu vers leurs sites Web.
Dans le portail de gestion pour les administrateurs, la page Configurer du cloud de site Web contient une section Paramètres de publication où vous affichez ou configurez les entrées DNS de déploiement FTP et de Web Deploy.
Le certificat de publication doit contenir un objet qui correspond à l'entrée DNS de Web Deploy et un objet qui correspond à l'entrée DNS du déploiement FTPS.
Notes
Si vous avez utilisé des caractères génériques dans le certificat par défaut, vous pouvez également utiliser le certificat par défaut pour le serveur de publication. Toutefois, il est plus sûr d'utiliser un certificat distinct.
Spécifier le certificat de publication
Dans le portail de gestion pour les administrateurs, cliquez sur Cloud Sites Web, puis choisissez le cloud que vous souhaitez configurer.
Cliquez sur Configurer pour ouvrir la page de configuration du cloud de site Web.
Dans le champ Certificat de l'éditeur, cliquez sur l'icône représentant un dossier. La boîte de dialogue Télécharger le certificat de l'éditeur s'affiche.
Naviguez jusqu'au certificat que vous souhaitez utiliser et téléchargez-le.
Entrez le mot de passe du certificat, puis cliquez sur la coche. Le certificat sera propagé à tous les serveurs de publication dans la batterie de serveurs Web.
Remplacer la publication de déploiement web par HTTPS
Pendant l'installation, le paramètre de publication DNS de déploiement web est défini par défaut sur HTTP (port 80). Il est recommandé de remplacer cette valeur par HTTPS (port 443). Pour ce faire, suivez les étapes suivantes :
Dans le portail de gestion pour les administrateurs, cliquez sur Cloud Sites Web, puis choisissez le cloud que vous souhaitez configurer.
Cliquez sur Configurer pour ouvrir la page de configuration du cloud de site Web.
Dans la section Paramètres de publication , ajoutez :443 à l'entrée DNS de déploiement web (par exemple, publish.domainname:443).
Cliquez sur Enregistrerdans la barre de commandes au bas de la page du portail.
Meilleures pratiques pour les certificats
Assurez-vous que l'objet du certificat correspond. Microsoft Azure Pack : Sites Web n'autorise pas le téléchargement des certificats s'il y a des incompatibilités.
La meilleure configuration consiste à utiliser des certificats et des domaines distincts. Cela offre une protection contre l'hameçonnage et les attaques de piratage psychologique.
Vérifiez l'expiration du certificat. Actualisez les certificats de façon périodique.
Pour plus d'informations sur le remplacement de certificats auto-signés non fiables par des certificats approuvés dans Windows Azure Pack, consultez Post-installation best practices dans le guide Deploy Windows Azure Pack for Windows Server .
Activer la prise en charge des commandes PowerShell
Le système Windows Azure Pack : Sites Web est fourni avec un ensemble complet de commandes PowerShell pour gérer le système. Ces commandes permettent à l'administrateur système d'effectuer toutes les actions disponibles dans le portail, ainsi que d'autres qui n'y figurent pas.
Pour accéder aux commandes PowerShell pour Windows Azure Pack : Sites Web, utilisez la commande PowerShell
import-module websitesdev
Des informations d'aide sont disponibles pour chaque commande. Pour obtenir une liste des commandes, utilisez la commande
get-commands –module websitesdev
Pour plus d'informations sur une commande spécifique, utilisez la commande
Nom> de la commande get-help<
Activer le mode ISAPI/Classique
Vous pouvez activer le mode ISAPI/Classique sur Windows Azure Pack : Sites Web à l'aide des commandes PowerShell.
Pour définir le mode classique pour un site web, exécutez les commandes suivantes. Remplacez <sitename> par le nom de votre site web.
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -SiteName sitename<>
Pour vérifier que le mode Classique a été défini, vous pouvez exécuter la commande suivante qui génère un vidage de la configuration de votre site web. Remplacez <sitename> par le nom de votre site web.
Get-websitessite –rawview –name <sitename>