Поделиться через


Настройка Windows Azure Pack. Веб-сайты

 

Область применения: Windows Azure Pack

Этот раздел предоставляет сведения о дополнительной настройке после подготовки службы, включая настройку хранилища SSL-сертификатов, настройку SSL IP-адреса и настройку общих сертификатов. Сведения о настройке системы управления версиями см. в статье "Настройка системы управления версиями для Windows Azure Pack: веб-сайты". Сведения о рекомендациях по обеспечению безопасности для веб-сайтов см. в статье Windows Azure Pack: улучшения безопасности веб-сайтов.

Настройка IP SSL

Если необходимо разрешить клиентским веб-сайтам использовать SSL-сертификаты на основе IP, то для этого необходимо настроить контроллер, внешний интерфейс и при необходимости подсистему балансировки нагрузки.

Примечание

Ssl SNI (указание имени сервера) включен по умолчанию. Чтобы сделать эту функцию доступной для клиентов, включите ее в план на портале управления для администраторов.

Настройка IP SSL

  1. Привяжите IP-адреса, которые собираетесь использовать.

    1. На каждом сервере внешнего интерфейса откройте интерфейс управления сетью.

    2. Выберите Протокол IP версии 6 (TCP/IPv6), а затем Свойства.

    3. Нажмите кнопку Дополнительно, чтобы открыть расширенные свойства.

    4. Нажмите кнопку Добавить, чтобы добавить IP-адрес.

    5. Повторите эти шаги для IP-протокола версии 4 (TCP/IPv4).

      Совет

      Каждому заказчику или веб-сайту, которые используют протокол IP SSL, потребуется IP-адрес на каждом сервере внешнего интерфейса. Поскольку это может стать трудоемким, возможно, стоит использовать скрипт для автоматизации привязки IP-адресов.

  2. Далее настройте облако службы веб-сайтов на использование IP-адресов для трафика IP SSL.

    1. На портале управления для администраторов щелкните Облака веб-сайтов и дважды щелкните облако, которое собираетесь настроить.

    2. Нажмите Роли и выберите сервер внешнего интерфейса.

    3. Нажмите IP SSL.

    4. Нажмите кнопку Добавить, чтобы добавить диапазон IP-адресов.

    5. Введите начальный и конечный адреса, затем установите флажок.

      Примечание

      Диапазон IP-адресов для каждого сервера внешнего интерфейса должен быть уникальным.

    6. Повторите эти шаги для адресов IPv4 и IPv6.

    Повторите эти шаги для каждого сервера клиентского интерфейса в веб-ферме.

  3. Если вы используете аппаратную подсистему балансировки исходящей нагрузки для балансировки трафика к серверам внешнего интерфейса, то нужно изменить реестр и удалить регистрацию скриптов обратного вызова, чтобы облако веб-сайтов могло взаимодействовать с подсистемой балансировки нагрузки и создавать пулы подсистемы балансировки нагрузки для заданного IP-адреса.

    Скрипты обратного вызова расположены в контроллере облака веб-сайтов на веб-ферме в C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win.

    1. Измените скрипт DNS-RegisterSSLBindings.ps1. Этот скрипт используется каждый раз, когда пользователь создает или изменяет веб-сайт, который использует IP SSL.

      1. Используйте $bindings для создания пула подсистем балансировки нагрузки. Вы можете использовать $hostname в качестве ключа для отслеживания.

      2. Возвращает виртуальный IP-адрес, назначенный пулу подсистемы балансировки нагрузки (с помощью $retval).

    2. Измените скрипт DNS-DeRegisterSSLBindings.ps1. Этот скрипт используется каждый раз, когда пользователь удаляет IP SSL со своего веб-сайта или отменяет выделение ресурсов под веб-сайт.

      Передайте пустое значение (с помощью $retval).

Настройка общих сертификатов

Служба веб-сайтов использует сертификаты для шифрования данных, передающихся между серверами внешнего интерфейса, издателями и контроллером.

По умолчанию Windows Azure Pack: веб-сайты предоставляют самозаверяющие сертификаты, чтобы начальные операции не выполнялись в виде ясного текста. Конечно же, самозаверяющие сертификаты вызывают предупреждения и не должны использоваться в рабочей среде.

В рабочей среде требуются три сертификата защиты конечных точек в ферме веб-сайтов.

  • Внешний интерфейс — сертификат внешнего интерфейса используется для общих SSL-операций и для операций при системе управлении версиями, когда не назначены другие сертификаты. Сертификат внешнего интерфейса должен быть сертификатом для двух субъектов.

  • Издатель — сертификат публикации защищает трафик протокола FTPS и Web Deploy.

Для получения этих сертификатов обратитесь в центр сертификации (CA), затем передайте их через портал управления для администраторов. Необходимо ввести пароль для каждого сертификата, после чего его можно развернуть на ферме.

Сертификат домена по умолчанию

Сертификат домена по умолчанию помещается в роли внешнего интерфейса и используется клиентскими веб-сайтами для шаблонных или стандартных доменных обращений к ферме веб-сайтов. Сертификат по умолчанию также используется для операций системы управления версиями.

Этот сертификат должен быть в формате PFX и должен быть сертификатом с подстановочными символами для двух субъектов. Таким образом один сертификат может защищать и домен по умолчанию, и конечную точку SCM для операций системы управления версиями.

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

Совет

Сертификат для двух субъектов иногда называют сертификатом с альтернативным именем (SAN). Одно из преимуществ данного сертификата заключается в том, что покупатель может купить один сертификат вместо двух.

Укажите сертификат для домена по умолчанию

  1. На портале управления для администраторов щелкните Облака веб-сайтов и выберите облако, которое необходимо настроить.

  2. Нажмите кнопку Настройка, чтобы открыть страницу настройки облака служб веб-сайтов.

  3. В поле Сертификат по умолчанию для веб-сайтов щелкните значок папки. Откроется диалоговое окно Загрузка сертификата по умолчанию для веб-сайта.

  4. Найдите и передайте нужный сертификат.

  5. Введите пароль для сертификата и установите флажок подтверждения. Сертификат будет передан на все серверы внешнего интерфейса веб-фермы.

Сертификат для публикации

Сертификат для роли издателя защищает трафик владельцев сайтов FTPS и Web Deploy, когда они отправляют содержимое на свои веб-сайты.

На портале управления для администраторов страница Настройка для облака службы веб-сайтов содержит раздел Параметры публикации, где можно просмотреть и настроить DNS-записи для Web Deploy и FTP Deploy.

Сертификат для публикации должен содержать субъект, соответствующей DNS-записи Web Deploy, и субъект, соответствующий DNS-записи FTPS Deploy.

Примечание

Если в сертификате по умолчанию используются символы-шаблоны, то его также можно использовать для издателя. Однако предоставление отдельного сертификата будет более безопасным.

Указание сертификата для публикации

  1. На портале управления для администраторов щелкните Облака веб-сайтов и выберите облако, которое необходимо настроить.

  2. Нажмите кнопку Настройка, чтобы открыть страницу настройки облака служб веб-сайтов.

  3. В поле Сертификат издателя щелкните значок папки. Откроется диалоговое окно Загрузка сертификата издателя.

  4. Найдите и передайте нужный сертификат.

  5. Введите пароль для сертификата и установите флажок подтверждения. Сертификат будет передан на все серверы с издателями в веб-ферме.

Изменение публикации веб-развертывания на HTTPS

Во время установки по умолчанию параметр публикации DNS установлен в HTTP (порт 80). Рекомендуется изменить его на HTTPS (порт 443). Для этого выполните следующие действия:

  1. На портале управления для администраторов щелкните Облака веб-сайтов и выберите облако, которое необходимо настроить.

  2. Нажмите кнопку Настройка, чтобы открыть страницу настройки облака служб веб-сайтов.

  3. В разделе "Публикация Параметры" добавьте :443 в запись DNS веб-развертывания (например, publish.domainname:443).

  4. На панели команд в нижней части страницы портала нажмите кнопку "Сохранить".

Рекомендации для сертификатов

  • Убедитесь, что сопоставление сертификата верно. Windows Azure Pack: веб-сайты не позволяют отправлять сертификаты, если имеются несоответствия.

  • Наибольший уровень безопасности достигается при использовании отдельных сертификатов и доменов. Это помогает защитить от фишинговых и социотехнических атак.

  • Следите за истечением срока действия сертификата. Регулярно обновляйте сертификаты.

  • Сведения о замене недоверенных сертификатов Self-Signed доверенными сертификатами в самом пакете Azure Windows см. в руководстве по развертыванию Windows Пакета Azure для Windows Server.

Включение поддержки команд PowerShell

Система веб-сайтов Microsoft Azure Pack поставляется с широким набором команд PowerShell для управления системой. Эти команды позволяют системному администратору выполнять все действия, доступные на портале, а также некоторые другие, которые не доступны.

Чтобы получить доступ к командам PowerShell для службы веб-сайтов Microsoft Azure Pack, используйте команду PowerShell

Import-module websitesdev

Для каждой команды существует справочная информация. Чтобы получить список команд, используйте команду

get-commands –module websitesdev

Для получения сведений о конкретной команде используйте команду

Имя> команды get-help<

Включение режима ISAPI или обычного режима

Вы можете включить режим ISAPI/Classic в Windows Azure Pack: веб-сайты с помощью команд PowerShell.

Чтобы задать обычный режим для веб-сайтов, выполните следующие команды. Замените <имя> сайта именем веб-сайта.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName sitename<>

Чтобы проверить, установлен ли обычный режим, запустите следующую команду, которая создает дамп конфигурации веб-сайта. Замените <имя> сайта именем веб-сайта.

Get-websitessite –rawview –name <sitename>

См. также:

Развертывание Windows Azure Pack. Веб-сайты