Při mnoha příležitostech jsem byl požádán o můj „cheat sheet“ pro nastavení více webových aplikací SharePoint pomocí SSL a naslouchání na portu 443. I když se to může zdát Je to přímočarý úkol, existuje několik klíčových věcí o SSL, které nejsou dostatečně známé, a překvapením je, že SharePoint trochu ztěžuje život kvůli naprosté neznalosti správného adresování. Tento článek je v podstatě upravená verze cheat sheet spolu s trochou dalšího vysvětlení. To je především proto, abych měl na co upozornit lidi, když se jich na postup zeptali.
Níže uvedené kroky ukazují, jak nastavit dvě webové aplikace, ale samozřejmě je můžete propláchnout a opakovat, pokud potřebujete více než dvě.
Spuštění více webů SSL na IIS na portu 443. Za prvé, IIS podporuje provozování více webů SSL na stejném portu. To však vyžaduje jedinečnou pevnou IP adresu pro každý virtuální web. V opačném případě se služba zjevně nemůže vázat na již používaný port.
Je také možné provozovat více webových stránek SSL na 443 pomocí sdílené IP adresy pomocí hlaviček hostitele, ale to vyžaduje certifikát zástupných znaků (zástupné certifikáty jsou zlé, čisté a jednoduché) a změnu konfigurace metabáze.
Budu podrobně popisovat oba tyto přístupy a to, jak musíte udělat věci, aby se SharePoint nezmátl a neudělal za vás nepořádek v konfiguraci IIS. Oba fungují na IIS 6 nebo IIS 7, i když uživatelské rozhraní je samozřejmě trochu jiné.
Zamýšlené webové aplikace Pro scénář podrobně popsaný zde chceme vytvořit dvě webové aplikace, pro které jsme již nakonfigurovali záznamy hostitele (A) v DNS. V případě, že jste se o tom dříve zmínili, nepoužívejte CNames!
intranet.sharepoint.com = 192 168.0.16 my.sharepoint.com = 192.168.0.17
Kroky pro vytvoření pomocí pevných IP adres
Vytvořte novou webovou aplikaci pro intranet.sharepoint.com (Centrální správa) Popis: SharePoint Intranet Port: 443 Záhlaví hostitele: intranet.sharepoint.com (toto je ve skutečnosti u aplikací SSL ignorováno, ale pomáhá – viz níže a zabraňuje duplicitní chybě ) Všimněte si výše uvedené opravy umístění cesty pro nás Použít SSL: vyberte tuto URL s vyváženým zatížením: https://intranet.sharepoint.com toto je automaticky vyplněno hlavičkou hostitele výše. Při použití tohoto přístupu na 443 bitu vůbec nezáleží Všechna ostatní nastavení: dle libosti Vytvořte novou webovou aplikaci pro my.sharepoint.com (Centrální správa) Popis: SharePoint Port My Sites: 443 Host Header: my.sharepoint.com toto je ve skutečnosti u aplikací SSL ignorováno, ale pomáhá to – viz níže a zabraňuje duplicitní chybě Poznámka: výše opravuje umístění cesty za nás Použít SSL: vyberte tuto URL s vyvážením zatížení: https://my.sharepoint.com toto se vyplňuje automaticky podle hlavičky hostitele výše. Při použití tohoto přístupu na 443 bitech vůbec nezáleží Všechna ostatní nastavení: jak si přejete Konfigurace vazeb IIS (Inetmgr.exe) Všimněte si, že jedna z aplikací (intranet) bude v tomto okamžiku zastavena. Všimněte si, že obě aplikace mají port TCP 0 (idjut, idjut SharePoint!!!) Všimněte si, že žádný web nemá hlavičku hostitele. Klikněte pravým tlačítkem na Virtuální web SharePoint Intranet, zvolte Vlastnosti Všimněte si, že to opraví port TCP na nyní 80 Klepněte na kartu Zabezpečení adresáře a nainstalujte certifikát (musíte to udělat, abyste povolili další krok) Klepněte na kartu Web a klepněte na Upřesnit Klikněte na identitu SSL a Upravit Změňte IP adresu na 192.168.0.16 Udělejte totéž pro TCP Port. OK dvakrát Klikněte pravým tlačítkem na SharePoint My Sites Virtual Web Site, zvolte Vlastnosti. Klepněte na kartu Zabezpečení adresáře a nainstalujte certifikát (musíte to udělat, abyste povolili další krok) Klepněte na kartu Web a klepněte na tlačítko Upřesnit Klepněte na identitu SSL a Upravit Změňte adresu IP na 192.168.0.17 Proveďte totéž pro port TCP OK dvakrát Nyní můžete spustit intranetový web SharePoint – a oba mohou být spuštěny současně.Používání záhlaví hostitele a certifikátu zástupných znaků (zlo)
Při nastavení webových aplikací v SharePointu musíte projít stejnými kroky, jaké jsem popsal výše. Než však začnete, musíte nainstalovat zástupný certifikát pomocí certifikátu MMC.
Když jste ve fázi, kdy potřebujete nakonfigurovat certifikát SSL, použijte následující příkaz:
cscript.exe adsutil.vbs set /w3svc//SecureBindings ":443:"je příšerné osmimístné číslo podrobně popsané ve Správci IIS je vaše adresa URL, např. intranet.sharepoint.com
Musíte to udělat pro každou webovou aplikaci. Všechny ostatní kroky zůstávají stejné.
PREV: Kapitola 7 Síťová informační služba (NIS) (Přehled...
NEXT: 10 hlavních důvodů pro nastavení sítě klient-server – IT peer síť