大流量網站管理術:陣列架構下的網站 SSL 憑證應如何管理?
無論您打算採用 NLB 還是 WFF 搭配 ARR 套件的網站負載平衡之應用,當陣列中的 IIS 網站數量較多時,如果需要提供 SSL 的安全連線機制,Web 伺服器憑證的管理將會成為一個管理上的問題,因為傳統的做法您需要為每一部網站伺服器,手動進行憑證的安裝、設定以及後續的更新管理。究竟有沒有更有效率的做法呢?
還好從 Windows Server 2012(IIS 8.0) 版本開始,我們可以藉由 WPI 工具介面來加裝一個名為[集中式憑證]的 IIS 管理套件,如此一來 Web 伺服器的憑證檔案,便只要存放在網路的共用路徑之中,就可以讓陣列下的所有網站一起使用,往後的憑證更新管理,也同樣只須要維護一個共用的憑證檔案即可。哇!這項功能實在太酷了,不過它並不能夠安裝在以 Windows Server 2008/R2(IIS7.0/7.5) 的控制伺服器上,這對於想要採用 WFF 搭配 ARR 套件的網站陣列架構之 IT 人員來說,似乎有點令人錯愕。
不過其實也還好,因為您只要在控制伺服器上建立所需要的網站伺服器憑證,然後再將此憑證匯出成檔案,並且存放在讓陣列下的所有 IIS 8.0/8.5 網站都能夠存取的共用路徑即可。接下來就讓我們實際來建立一個網站伺服器憑證吧。如圖 32 所示便是 IIS 7.0/7.5 的管理員介面,請在伺服器的頁面中,開啟[伺服器憑證]頁面,然後點選[動作]窗格中的[建立網域憑證]連結繼續。
請注意!企業在正式對外的公開網站中,若想要使用 SSL 安全連線機制,必須申請 Internet 合法的網站伺服器憑證,而非自我簽署憑證或網域憑證。
圖 32 伺服器憑證管理
首先在如圖 33 所示的[分辨名稱屬性]頁面中,請輸入一個網站陣列專用的連線網址在[一般名稱]欄位之中,此網址必須在內外網路都要能正常夠解析的到。至於其它欄位資訊則可以任意輸入即可。點選[下一步]繼續。
圖 33 分辨名稱屬性
在如圖 34 所示的[線上憑證授權單位]頁面中,請點選[選取]按鈕然後挑選可用的憑證授權單位伺服器,接著輸入一個好記的名稱,當建立的憑證數量相當多時,此名稱將有助於在 IIS 伺服器憑證管理頁面中,以及 MMC 管理介面的[憑證]嵌入式單元中來管理。
圖 34 線上憑證授權單位
回到如圖 35 所示的[伺服器憑證]管理頁面中,將可以看到剛剛所建立的網站憑證,在此您將可以立即透過[動作]選單的[匯出]功能,來將所選取的憑證進行匯出,在匯出的設定之中您可以設定一組保護密碼。另外,未來關於整個網站陣列的憑證到期問題,也都可以回到此頁面中來透過[更新]連結來完成憑證更新。現在請立刻將此憑證檔案複製到網路的共用資料夾之中。
圖 35 伺服器憑證管理
接著請陸續開啟每一部網站陣列伺服器的 IIS 管理介面,然後在伺服器頁面中點選開啟[集中式憑證]頁面,在預設的狀態下並不會有任何設定在此頁面之中,而在如圖 36 所示的範例中則是已建立的一個集中式憑證。無論是要新增還是修改皆請點選[動作]窗格之中的[編輯功能設定]連結繼續。
圖 36 集中式憑證管理
在如圖 37 所示的[編輯集中式憑證設定]頁面中,請先勾選[啟用集中式憑證]選項,然後輸入憑證檔案的 UNC 共用路徑,並輸入可存取此檔案共用路徑的網域帳戶與密碼。至於憑證的密碼並非是必要的設定,這得看您在前面步驟中的憑證匯出設定是否要設定密碼保護。
圖 37 編輯集中式憑證設定
最後請為每一個網站陣列中的 IIS 網站,開啟如圖 38 所示的[繫結設定]頁面,然後輸入這個網站陣列共用的完整網址,此網址必須與網站憑證的主體名稱相同,然後再將[使用集中式憑證儲存區]選項勾選並點選[確定]即可。
圖 38 新增站台繫結
當網站陣列下的集中式憑證儲存區可以正常存取時,用戶端透過瀏覽器的 HTTPS 連線便不會出現錯誤訊息,相反的如果這個共用憑證無法存取時,便會出現類似如圖 39 所示一樣的錯誤訊息(以 Windows 10 的 Edge 瀏覽器為例)。
圖 39 伺服器憑證遺失
結 論
筆者個人認為 IIS 遠比 Apache 或其它開源網站平台,更適合用來建構企業級網站應用程式,主要原因並非只是它擁有易於管理的操作介面,更多的因素是它具備了極度彈性的整合能力。舉例來說,您可以善用本文所介紹的兩種負載平衡機制,來解決不同屬性的網站流量管理問題,這包括了所有架構於 IIS 網站平台上的 .NET 或 PHP 等開源應用程式,進一步您甚至可以把它部署至 Microsoft Azure 雲端平台上,完成以 Hybrid Cloud 為基礎的系統整合應用,讓不同的資料流可以自動分散至近端網路與雲端網路之中,真正打造最具效能的雲端運算平台。
瀏覽相關文章
大流量網站管理術:企業級 IIS 網站陣列最佳化指引
大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (1)
大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (2)
大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (3)
大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(上)?
大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(下)?
大流量網站管理術:陣列架構下的網站 SSL 憑證應如何管理?
3 Responses
[…] 大流量網站管理術:企業級 IIS 網站陣列最佳化指引 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (1) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (2) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (3) 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(上)? 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(下)? 大流量網站管理術:陣列架構下的網站 SSL 憑證應如何管理? […]
[…] 大流量網站管理術:企業級 IIS 網站陣列最佳化指引 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (1) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (2) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (3) 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(上)? 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(下)? 大流量網站管理術:陣列架構下的網站 SSL 憑證應如何管理? […]
[…] 大流量網站管理術:企業級 IIS 網站陣列最佳化指引 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (1) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (2) 大流量網站管理術:使用 WFF 與 ARR 套件打造 IIS 網站陣列 (3) 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(上)? 大流量網站管理術:NLB、DFS 如何解決 IIS 負載平衡需求(下)? 大流量網站管理術:陣列架構下的網站 SSL 憑證應如何管理? […]