Configurare Siti Web di Microsoft Azure Pack per l'uso di server proxy Siti Web
Si applica a: Windows Azure Pack
In questo capitolo vengono fornite le informazioni sulla configurazione aggiuntiva di post-provisioning, incluse le configurazioni per l'archivio certificati SSL, per SSL IP e per i certificati condivisi. Per informazioni sulla configurazione del controllo del codice sorgente, vedere Configure source control for Windows Azure Pack: Web Sites. Per informazioni sulle procedure consigliate per la sicurezza per Siti Web, vedere Windows Azure Pack: Web Sites Security Enhancements.
Configurare SSL IP
Se si desidera consentire l'utilizzo di certificati SSL basati su IP in siti Web tenant, è necessario configurare i ruoli Front-end e Controller e, facoltativamente, un bilanciamento del carico hardware a tale scopo.
Nota
SSL con SNI (Indicazione nome server) è abilitato per impostazione predefinita. Per renderlo disponibile ai tenant, includerlo nei piani creati nel portale di gestione per amministratori.
Per configurare SSL IP
Associare gli indirizzi IP che si desidera utilizzare:
In ogni server front-end aprire l'interfaccia di gestione di rete.
Fare clic su Protocollo Internet versione 6 (TCP/IPv6), quindi fare clic su Proprietà.
Fare clic su Avanzate per visualizzare le proprietà avanzate.
Fare clic su Aggiungi per aggiungere gli indirizzi IP.
Ripetere questi passaggi per Protocollo Internet versione 4 (TCP/IPv4).
Suggerimento
Ogni sito Web in cui viene utilizzato SSL IP o ogni cliente che utilizza SSL IP deve disporre di un indirizzo IP in ogni server front-end. Poiché può diventare una procedura laboriosa, è possibile utilizzare uno script per automatizzare l'associazione di indirizzi IP.
Successivamente, configurare il cloud di Siti Web per utilizzare gli indirizzi IP per il traffico SSL IP.
Nel portale di gestione per amministratori fare clic su Cloud di siti Web, quindi fare doppio clic sul cloud da configurare.
Fare clic su Ruoli, quindi scegliere il server front-end.
Fare clic su SSL IP.
Fare clic su Aggiungi per aggiungere l'intervallo di indirizzi IP.
Immettere l'indirizzo iniziale e quello finale, quindi fare clic sul segno di spunta.
Nota
L'intervallo di indirizzi IP deve essere univoco per ogni server front-end.
Ripetere questi passaggi sia per gli indirizzi IPv4 sia per quelli IPv6.
Ripetere questi passaggio per ogni server front-end server della Web farm.
Se si utilizza un bilanciamento del carico hardware a monte per bilanciare il traffico verso i server front-end, il passaggio finale consiste nel modificare il Registro di sistema e deregistrare gli script di callback affinché il cloud di Siti Web possa comunicare con il bilanciamento del carico per creare i pool di bilanciamento del carico per un determinato indirizzo IP.
Gli script di callback si trovano nel controller del cloud di Siti Web della Web farm, nel percorso C:\Programmi\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.
Modificare lo script DNS-RegisterSSLBindings.ps1. Questo script viene utilizzato ogni volta che un utente crea o modifica un sito Web in cui viene utilizzato SSL IP.
Usare il $bindings per creare un pool di bilanciamento del carico. È possibile usare il $hostname come chiave per monitorarlo.
Restituisce l'indirizzo IP virtuale assegnato al pool di bilanciamento del carico (usando $retval).
Modificare lo script DNS-DeRegisterSSLBindings.ps. Questo script viene utilizzato ogni volta che un utente elimina SSL IP dal relativo sito Web o elimina o effettua il deprovisioning del sito Web.
Passare di nuovo un valore vuoto (usando $retval).
Configurare l'archivio certificati
Tramite il servizio Siti Web vengono utilizzati i certificati per crittografare i dati tra i server front-end, i Publisher e il Controller.
Per impostazione predefinita, Siti Web di Microsoft Azure Pack fornisce certificati autofirmati in modo che le operazioni iniziali non vengano eseguite in formato testo non crittografato. Naturalmente, i certificati autofirmati possono generare messaggi di avviso relativi ai certificati e non devono essere utilizzati in un ambiente di produzione.
In un ambiente di produzione sono necessari tre certificati per la sicurezza degli endpoint nella farm di siti Web:
Front-end: il certificato per il ruolo Front-end viene utilizzato per SSL condiviso e per le operazioni di controllo del codice sorgente e dispone di un'associazione in "Non assegnati". Il certificato per il ruolo Front-end deve essere un certificato con due soggetti.
Publisher: con il certificato per il ruolo Publisher viene garantito il traffico FTPS e Distribuzione Web.
È possibile ottenere questi certificati da un'autorità di certificazione e caricarli tramite il portale di gestione per amministratori. Fornire la password per ogni certificato in modo che possa essere distribuito nella farm.
Certificato di dominio predefinito
Il certificato di dominio predefinito viene applicato al ruolo Front-end e utilizzato dai siti Web tenant per il carattere jolly o per le richieste di dominio predefinito alla farm di del sito Web. Il certificato predefinito viene utilizzato inoltre per le operazioni di controllo del codice sorgente.
Questo certificato deve essere nel formato pfx e deve essere un certificato a carattere jolly con due soggetti. In questo modo, sia il dominio predefinito sia l'endpoint di Gestione controllo servizi per le operazioni di controllo del codice sorgente sono coperti da un certificato:
*. <DomainName.com>
*.scm. <DomainName.com>
Suggerimento
Un certificato con due soggetti viene talvolta definito certificato SAN (Nome alternativo del soggetto). Un vantaggio offerto da un certificato con due soggetti consiste nel fatto che l'acquirente deve acquistare un solo certificato anziché due.
Specificare il certificato per il dominio predefinito
Nel portale di gestione per amministratori fare clic su Cloud di siti Web, quindi scegliere il cloud da configurare.
Fare clic su Configura per aprire la pagina di configurazione del cloud di Siti Web.
Nel campo Certificato predefinito del sito Web fare clic sull'icona della cartella. Verrà visualizzata la finestra di dialogo Carica certificato del sito Web predefinito.
Individuare e caricare il certificato che si desidera utilizzare.
Immettere la password per il certificato, quindi fare clic sul segno di spunta. Il certificato verrà propagato in tutti i server front-end nella Web farm.
Certificato per la pubblicazione
Tramite il certificato per il ruolo Publisher viene garantito il traffico Distribuzione Web e FTPS per i proprietari del sito Web durante il caricamento del contenuto nei relativi siti Web.
Nella pagina Configura per il cloud di Siti Web del portale di gestione per amministratori è inclusa una sezione Impostazioni di pubblicazione nella quale è possibile visualizzare o configurare le voci DNS di distribuzione Web e DNS di distribuzione FTP.
Nel certificato per la pubblicazione devono essere inclusi un soggetto corrispondente alla voce DNS di distribuzione Web e un soggetto corrispondente alla voce DNS di distribuzione FTP.
Nota
Se nel certificato predefinito sono stati utilizzati caratteri jolly, lo stesso certificato può essere utilizzato anche per il ruolo Publisher. Tuttavia, se si fornisce un certificato separato viene garantita una sicurezza maggiore.
Specificare il certificato per la pubblicazione
Nel portale di gestione per amministratori fare clic su Cloud di siti Web, quindi scegliere il cloud da configurare.
Fare clic su Configura per aprire la pagina di configurazione del cloud di Siti Web.
Nel campo Certificato del publisher fare clic sull'icona della cartella. Verrà visualizzata la finestra di dialogo Carica certificato del publisher.
Individuare e caricare il certificato che si desidera utilizzare.
Immettere la password per il certificato, quindi fare clic sul segno di spunta. Il certificato verrà propagato in tutti i server di pubblicazione nella Web farm.
Modificare la pubblicazione di Distribuzione Web su HTTPS
Durante l'installazione, il valore predefinito di pubblicazione del DNS di Distribuzione Web viene automaticamente impostato su HTTP (porta 80). Come procedura consigliata, modificare questa impostazione su HTTPS (porta 443). A questo scopo, seguire questa procedura:
Nel portale di gestione per amministratori fare clic su Cloud di siti Web, quindi scegliere il cloud da configurare.
Fare clic su Configura per aprire la pagina di configurazione del cloud di Siti Web.
Nella sezione Impostazioni di pubblicazione aggiungere: 443 alla voce DNS di distribuzione Web (ad esempio, publish.domainname:443).
Nella barra dei comandi nella parte inferiore della pagina del portale fare clic su Salva.
Procedure consigliate per i certificati
Assicurarsi che la corrispondenza del soggetto del certificato sia corretta. Siti Web di Microsoft Azure Pack non consente di caricare certificati se privi di corrispondenza.
La configurazione più sicura consiste nel disporre di certificati separati e di domini separati. In questo modo è possibile difendersi da scenari di phishing e da attacchi di ingegneria sociale.
Controllare la scadenza del certificato. Aggiornare i certificati a intervalli regolari.
Per informazioni sulla sostituzione di certificati autofirmati non attendibili con certificati attendibili in Windows Azure Pack stesso, vedere Post-installation best practices nella guida Deploy Windows Azure Pack for Windows Server .
Abilitare il supporto dei comandi di PowerShell
Siti Web di Windows Azure Pack viene fornito con un set completo di comandi di PowerShell per la gestione del sistema. Questi comandi consentono all'amministratore di sistema di eseguire tutte le azioni disponibili nel portale, nonché altre azioni non disponibili al suo interno.
Per accedere ai comandi di PowerShell per Siti Web di Windows Azure Pack, usare il comando di PowerShell
import-module sitesdev
Sono disponibili informazioni della Guida per ogni comando. Per ottenere un elenco dei comandi, usare il comando
get-commands –module sitesdev
Per informazioni su un comando specifico, usare il comando
nome> del comando get-help<
Abilitare la modalità classica/ISAPI
È possibile abilitare la modalità classica/ISAPI in Siti Web di Windows Azure Pack usando i comandi di PowerShell.
Per impostare la modalità classica per un sito Web, eseguire i comandi seguenti. Sostituire <sitename> con il nome del sito Web.
Add-pssnapin webhostingsnapin
Set-Site -ClassicPipelineMode 1 -Nome sito<>
Per verificare che sia stata impostata la modalità classica, è possibile eseguire il comando seguente che genera un dump della configurazione del sito Web. Sostituire <sitename> con il nome del sito Web.
Get-sitessite –rawview –name< sitename>