Microsoft Azure网站内建支持两种HTTPS方式以满足客户应用的安全需求:SNI SSL和IP SSL。如下图所示,Azure网站采用SSL(off load)卸载功能。客户端与前端服务器使用HTTPS建立安全连接。前端服务器到工作服务器使用HTTP。目前暂时不支持采用客户端证书进行双向加密认证。

 

ssl offload

在Azure网站前端服务器默认安装有*.azurewebsites.net的通配符证书(CN=*.azurewebsites.net)。客户网站创建后,即可使用HTTPS://.azurewebsites.net访问。这时,使用的就是CN=*.azurewebsites.net的证书。

出于商业机密以及商业形象的考虑,商业客户更希望使用自有域名和自有安全证书,比如https://www.contoso.com。只有基本和标准模式下的网站支持客户使用自有安全证书。免费和共享模式网站只能使用默认默认安装的CN=*.azurewebsites.net证书。

Azure网站SSL绑定模式
Microsoft Azure网站内建支持两种HTTPS方式:SNI SSL和IP SSL。
SNI SSL
SNI(Server Name Indication)是TLS协议的一个扩展。采用传统的SSL安全连接,服务器端采用IP地址+TCP端口号作为唯一的标识。在这种情况下,如果网站要求采用标准的443端口,那么每个IP地址只能支持一个HTTPS网站。如果服务器只有一个IP地址,那么它只能支持一个网站采用HTTPS。通过SNI,即使我们只有一个IP地址,我们也可以同时运行多个不同域名的支持HTTPS的网站,而且这些网站可以使用不同的证书。您可以阅读下面的文档深入了解IIS SNI功能。
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-server-name-indication-sni-ssl-scalability

注意:SNI需要浏览器的支持。一些老的浏览器并不支持SNI功能。比如,所有运行在Windows XP上的浏览器都不支持SNI。如果XP的用户使用https://www.contoso.com访问您的网站,客户会发现使用的并不是您的自有证书,而是*.azurewebsites.net的证书。如果您的业务需要支持XP的用户使用https://www.contoso.com来访问您的网站,您需要使用基于IP的SSL

Azure网站采用了IIS8的CCS(Central Certificate Store)功能实现SNI SSL。您可以阅读下面的文章深入了解IIS8的CCS功能。
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-centralized-ssl-certificate-support-ssl-scalability-and-manageability

IP SSL
大多数情况下,SNI SSL即可满足您的需求。如果您有很多客户仍然使用不支持SNI的浏览器,那么您需要考虑采用IP SSL功能。

当您的网站启用IP SSL后,Azure网站为您分配一个专用的公有IP地址给您的网站。您需要将您的自有域名绑定到分配给您的网站的公有IP地址。您可以在Microsoft Azure管理门户网站的仪表盘选项卡上的速览下面找到分配给您的IP地址。

注意:
1. 每个标准模式的站点只能有一个专有IP。
2. 每个标准的托管计划已经包含了一个免费的专有IP和5个SNI绑定。
3. 如果同一个托管计划下,两个标准模式网站同时采用IP SSL,则每个网站分配一个专有IP。其中一个免费,另外一个则需要另外付费。全球价格为$39/月,中国区网站暂时未定。
4. 一旦您停用IP SSL后,分配给您的IP地址立即被释放。当您再次启用IP SSL,您可能会被分配一个不同的IP地址。如果您采用A记录配置您的自有域名,则需要重新配置DNS。建议采用CNAME记录配置DNS。

Leave a comment

电子邮件地址不会被公开。 必填项已用*标注