Dela via

Konfigurera Windows Azure Pack: Webbplatser

  • Artikel

 

Gäller för: Windows Azure Pack

Det här kapitlet innehåller information om ytterligare konfiguration efter etablering, inklusive att konfigurera SSL-certifikatarkivet, konfigurera IP SSL och konfigurera delade certifikat. Information om hur du konfigurerar källkontroll finns i Konfigurera källkontroll för Windows Azure Pack: Webbplatser. Information om rekommenderade säkerhetsmetoder för webbplatser finns i Windows Azure Pack: Förbättringar av webbplatssäkerhet.

Konfigurera IP SSL

Om du vill att klientwebbplatser ska kunna använda IP-baserade SSL-certifikat måste du konfigurera klientdelarna, kontrollanten och eventuellt en maskinvarubaserad lastbalanserare för att göra det.

Anteckning

SSL för SNI (servernamnindikering) är aktiverat som standard. Om du vill göra den tillgänglig för klienter inkluderar du den i de planer som du skapar i hanteringsportalen för administratörer.

Så här konfigurerar du IP SSL

  1. Binda de IP-adresser som du vill använda:

    1. Öppna nätverkshanteringsgränssnittet på varje klientdelsserver.

    2. Klicka på Internet Protocol Version 6 (TCP/IPv6) och klicka sedan på Egenskaper.

    3. Klicka på Avancerat för att öppna avancerade egenskaper.

    4. Klicka på Lägg till för att lägga till IP-adresserna.

    5. Upprepa de här stegen för Internet Protocol Version 4 (TCP/IPv4).

      Tips

      Varje kund eller webbplats som använder IP SSL måste ha en IP-adress på varje klientdelsserver. Eftersom detta kan bli arbetsintensivt kanske du vill använda ett skript för att automatisera bindningen av IP-adresser.

  2. Konfigurera sedan webbplatsmolnet att använda IP-adresserna för IP SSL-trafik.

    1. I hanteringsportalen för administratörer klickar du på Webbplatsmoln och dubbelklickar sedan på det moln som du vill konfigurera.

    2. Klicka på Roller och välj sedan klientdelsservern.

    3. Klicka på IP SSL.

    4. Klicka på Lägg till för att lägga till IP-adressintervallet.

    5. Ange startadressen och slutadressen och klicka på bockmarkeringen.

      Anteckning

      IP-adressintervallet måste vara unikt för varje klientdelsserver.

    6. Upprepa de här stegen för både IPv4- och IPv6-adresser.

    Upprepa dessa steg för varje klientdelsserver i webbgruppen.

  3. Om du använder en överordnad maskinvarubaserad lastbalanserare för att balansera trafik till klientdelsservrarna är det sista steget att redigera register- och avregistreringsskripten för återanrop så att webbplatsmolnet kan kommunicera med lastbalanseraren för att skapa lastbalanseringspoolerna för en viss IP-adress.

    Motringningsskripten finns på webbplatsmolnkontrollanten i webbgruppen i sökvägen C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Redigera skriptet DNS-RegisterSSLBindings.ps1. Det här skriptet används varje gång en användare skapar eller redigerar en webbplats som använder IP SSL.

      1. Använd $bindings för att skapa en lastbalanseringspool. Du kan använda $hostname som en nyckel för att spåra den.

      2. Returnera den virtuella IP-adress som tilldelats lastbalanseringspoolen (med hjälp av $retval).

    2. Redigera skriptet DNS-DeRegisterSSLBindings.ps1. Det här skriptet används varje gång en användare tar bort IP SSL från sin webbplats eller tar bort eller avet tillhandahåller webbplatsen.

      Skicka tillbaka ett tomt värde (med hjälp av $retval).

Konfigurera delade certifikat

Webbplatstjänsten använder certifikat för att kryptera data mellan frontend-servrarna, utgivare och kontrollanten.

Som standard Windows Azure Pack: Webbplatser tillhandahåller självsignerade certifikat så att dina första åtgärder inte sker i klartext. Självsignerade certifikat orsakar naturligtvis certifikatvarningsmeddelanden och får inte användas i en produktionsmiljö.

I en produktionsmiljö krävs tre certifikat för att skydda slutpunkter i webbplatsgruppen:

  • Klientdel – Klientdelscertifikatet används för delad SSL och för källkontrollåtgärder och har en bindning för "alla otilldelade". Klientdelscertifikatet måste vara ett certifikat med två certifikatmottagare.

  • Publisher – Publiceringscertifikatet skyddar FTPS- och Web Deploy-trafik.

Du hämtar dessa certifikat från en certifikatutfärdare (CA) och laddar upp dem via hanteringsportalen för administratörer. Du anger lösenordet för varje certifikat så att det kan distribueras till servergruppen.

Standarddomäncertifikatet

Standarddomäncertifikatet placeras i klientdelsrollen och används av klientwebbplatser för jokertecken eller standarddomänbegäranden till webbplatsgruppen. Standardcertifikatet används också för källkontrollåtgärder.

Det här certifikatet måste vara i PFX-format och ska vara ett jokerteckencertifikat med två ämnen. På så sätt kan både standarddomänen och scm-slutpunkten för källkontrollåtgärder omfattas av ett certifikat:

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Tips

Ett certifikat med två certifikatmottagare kallas ibland för ett SAN-certifikat (Alternativt namn på certifikatmottagare). En fördel med ett certifikat med två certifikat är att köparen bara behöver köpa ett certifikat i stället för två.

Ange certifikatet för standarddomänen

  1. I hanteringsportalen för administratörer klickar du på Webbplatsmoln och väljer sedan det moln som du vill konfigurera.

  2. Klicka på Konfigurera för att öppna konfigurationssidan för webbplatsmoln.

  3. I fältet Websites Default Certificate (Standardcertifikat för webbplatser ) klickar du på mappikonen. Dialogrutan Upload standardwebbplatscertifikat visas.

  4. Bläddra till och ladda upp certifikatet som du vill använda.

  5. Ange lösenordet för certifikatet och klicka sedan på bockmarkeringen. Certifikatet kommer att spridas till alla frontend-servrar i webbgruppen.

Certifikatet för publicering

Certifikatet för Publisher-rollen skyddar webbdistributions- och FTPS-trafik för webbplatsägare när de laddar upp innehåll till sina webbplatser.

I hanteringsportalen för administratörer innehåller sidan Konfigurera för webbplatsmolnet ett publicerings-Inställningar-avsnitt där du visar eller konfigurerar DNS-posterna För webbdistribution och FTP-distribution.

Certifikatet för publicering måste innehålla ett ämne som matchar DNS-posten Web Deploy och ett ämne som matchar DNS-posten FTPS Deploy.

Anteckning

Om du använde jokertecken i standardcertifikatet kan du också använda standardcertifikatet för utgivaren. Det är dock säkrare att tillhandahålla ett separat certifikat.

Ange certifikatet för publicering

  1. I hanteringsportalen för administratörer klickar du på Webbplatsmoln och väljer sedan det moln som du vill konfigurera.

  2. Klicka på Konfigurera för att öppna konfigurationssidan för webbplatsmoln.

  3. I fältet Publisher certifikat klickar du på mappikonen. Dialogrutan Upload Publisher certifikat visas.

  4. Bläddra till och ladda upp certifikatet som du vill använda.

  5. Ange lösenordet för certifikatet och klicka sedan på bockmarkeringen. Certifikatet kommer att spridas till alla publiceringsservrar i webbgruppen.

Ändra publicering av webbdistribution till HTTPS

Under installationen är dns-publiceringsinställningen För webbdistribuering standardinställningen HTTP (port 80). Vi rekommenderar att du ändrar detta till HTTPS (port 443). Det gör du på följande sätt:

  1. I hanteringsportalen för administratörer klickar du på Webbplatsmoln och väljer sedan det moln som du vill konfigurera.

  2. Klicka på Konfigurera för att öppna konfigurationssidan för webbplatsmoln.

  3. I avsnittet Publishing Inställningar lägger du till :443 i DNS-posten Web Deploy (till exempel publish.domainname:443).

  4. Klicka på Spara i kommandofältet längst ned på portalsidan.

Metodtips för certifikat

  • Se till att certifikatets ämnesmatchning är korrekt. Windows Azure Pack: Webbplatser tillåter inte att certifikat laddas upp om det finns matchningar.

  • Den säkraste installationen är att ha separata certifikat och separata domäner. På så sätt kan du skydda dig mot nätfiskescenarier och socialtekniska attacker.

  • Håll utkik efter förfallodatum för certifikat. Uppdatera certifikaten något regelbundet.

  • Information om hur du ersätter ej betrodda Self-Signed-certifikat med betrodda certifikat i själva Windows Azure Pack finns i Metodtips efter installationen i guiden Distribuera Windows Azure Pack for Windows Server.

Aktivera Stöd för PowerShell-kommandon

Det Windows azure pack web sites system levereras med en omfattande uppsättning PowerShell-kommandon för att hantera systemet. Med de här kommandona kan systemadministratören utföra alla åtgärder som är tillgängliga i portalen samt vissa andra som inte är det.

För att komma åt PowerShell-kommandon för Windows Azure Pack-webbplatser använder du PowerShell-kommandot

import-module websitesdev

Det finns hjälpinformation för varje kommando. Om du vill hämta en lista över kommandon använder du kommandot

get-commands – module websitesdev

Om du vill ha information om ett visst kommando använder du kommandot

get-help-kommandonamn<>

Aktivera ISAPI/klassiskt läge

Du kan aktivera ISAPI/klassiskt läge i Windows Azure Pack: Webbplatser med hjälp av PowerShell-kommandon.

Om du vill ange klassiskt läge för en webbplats kör du följande kommandon. Ersätt <sitename> med namnet på webbplatsen.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <sitename>

Om du vill kontrollera att klassiskt läge har angetts kan du köra följande kommando som skapar en dump av webbplatskonfigurationen. Ersätt <sitename> med namnet på webbplatsen.

Get-websitessite –rawview –name <sitename>

Se även

Distribuera Windows Azure Pack: Webbplatser