Bereitstellung von Web Studio sichern (optional)

Wenn Sie Web Studio zusammen mit einem Delivery Controller™ installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat, das an den 443 Port des aktuellen Servers gebunden ist. Web Studio und der Delivery Controller verwenden das Zertifikat als TLS-Zertifikat. Beim Zugriff von einem anderen Computer aus können Sie möglicherweise nicht auf Web Studio zugreifen oder es wird ein Fehler auf dem Web Studio-Anmeldebildschirm angezeigt.

Wenn Sie von einem anderen Computer aus auf Web Studio zugreifen möchten, können Sie Folgendes tun:

1. Exportieren Sie das selbstsignierte Zertifikat vom Delivery Controller.

   

   • Wählen Sie für Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.

   • Wählen Sie für Exportdateiformat die Option DER-codiertes binäres X.509 (.CER).

2. Gehen Sie zu dem Computer, von dem aus Sie auf Web Studio zugreifen möchten, und installieren Sie dann das Zertifikat.

   

   • Wählen Sie für Speicherort die Option Lokaler Computer.

Wenn Sie Web Studio auf einem dedizierten Server installieren möchten, der sich nicht auf dem Delivery Controller befindet, müssen Sie zwei Aufgaben ausführen:

• Aufgabe 1: Exportieren Sie die Zertifikate vom Web Studio-Server bzw. vom Delivery Controller.

• Aufgabe 2: Installieren Sie die beiden Zertifikate auf dem Computer, von dem aus Sie auf Web Studio zugreifen möchten.

Hinweis:

Als Best Practice empfehlen wir, Ihre Web Studio-Bereitstellung mit einem externen öffentlichen Vertrauenszertifikat oder einem Zertifikat einer Unternehmens-CA zu sichern.

Ein externes öffentliches Vertrauenszertifikat verwenden

Sie können ein externes öffentliches Vertrauenszertifikat mit einer der folgenden drei Methoden in den Web Studio-Server importieren:

• Die PFX-Datei installieren.

  1. Doppelklicken Sie auf die PFX-Datei.

  2. Wählen Sie für Speicherort die Option Lokaler Computer.

     

  3. Geben Sie bei Bedarf das Kennwort ein.

     

  4. Wählen Sie für Zertifikatspeicher die Option Persönlich.

     

• Die Konsole zum Verwalten von Computerzertifikaten verwenden.

  1. Öffnen Sie die Konsole zum Verwalten von Computerzertifikaten und navigieren Sie zu Persönlich > Zertifikate > Alle Aufgaben > Importieren.

     

  2. Wählen Sie die PFX-Datei aus und geben Sie bei Bedarf das Kennwort ein.

• PowerShell verwenden.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

Sie binden das Zertifikat dann an den 443 Port. Dies können Sie entweder vor oder nach der Installation oder dem Upgrade tun. Der Installer unternimmt nichts, wenn die Zertifikatsbindung für den 443 Port konfiguriert ist. Weitere Informationen finden Sie unter Vor der Installation oder dem Upgrade.

Verwenden eines Zertifikats einer Unternehmens-CA

Bevor Sie beginnen, stellen Sie sicher, dass der Server der Unternehmenszertifizierungsstelle (CA) in Ihrer Domäne bereitgestellt ist.

Um ein Zertifikat anzufordern, führen Sie die folgenden Schritte aus:

1. Öffnen Sie auf dem Server die Verwaltungskonsole für Computerzertifikate.

2. Gehen Sie zu Persönlich > Zertifikate > Alle Aufgaben > Neues Zertifikat anfordern.

   

3. Gehen Sie zu Zertifikatregistrierung, wählen Sie den Webserver aus und klicken Sie auf die Warnmeldung, um die erforderlichen Informationen einzugeben.

   

4. Wählen Sie Allgemeiner Name als Typ des Antragstellernamens und geben Sie Ihren FQDN oder DNS ein. Geben Sie auch den alternativen Namen ein.

   Hinweis:

   Wenn Sie ein Wildcard-Zertifikat benötigen, können Sie CN=*.bvttree.local für den Antragstellernamen und *.bvttree.local and bvttree.local für den alternativen DNS-Namen eingeben.

   

Das Zertifikat ist unter Persönlich > Zertifikate verfügbar.

Sie binden das Zertifikat dann an den 443 Port. Dies können Sie entweder vor oder nach der Installation oder dem Upgrade tun. Der Installer unternimmt nichts, wenn die Zertifikatsbindung für den 443 Port konfiguriert ist.

Vor der Installation oder dem Upgrade

Um das Zertifikat an den 443 Port zu binden, führen Sie die folgenden Schritte aus (vorausgesetzt, die Zertifikatsbindung ist noch nicht für 443 konfiguriert und IIS ist auf dem Server aktiviert):

1. Melden Sie sich als Administrator am Web Studio-Server an.

2. Öffnen Sie den IIS-Manager, navigieren Sie zu Sites > Default Web Site > Bindings.

3. Klicken Sie unter Site Bindings auf Hinzufügen.

   

4. Legen Sie unter Add Site Binding den Typ auf https und den Port auf 443 fest, wählen Sie das von der CA angeforderte SSL-Zertifikat aus und klicken Sie dann auf OK.

   

Nach der Installation von Web Studio werden Web Studio und der Delivery Controller automatisch so konfiguriert, dass sie das Zertifikat zur Sicherung von Verbindungen verwenden.

Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Nach der Installation oder dem Upgrade

Gehen Sie zum Web Studio-Server und ändern Sie das Zertifikat mit dem IIS-Manager. Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Ein neues selbstsigniertes Zertifikat verwenden

Sie können ein neues selbstsigniertes Zertifikat generieren und es verwenden, um das vorhandene zu ersetzen. Führen Sie die folgenden Schritte aus:

1. Melden Sie sich als Administrator am Web Studio-Server an.

2. Öffnen Sie den IIS-Manager, navigieren Sie zu Serverzertifikate, und wählen Sie im Bereich Aktionen die Option Selbstsigniertes Zertifikat erstellen.

   

3. Geben Sie unter Selbstsigniertes Zertifikat erstellen einen Namen für das Zertifikat ein und klicken Sie auf OK. Das selbstsignierte Zertifikat wird dann erstellt.

   

4. Navigieren Sie zu Sites > Default Web Site, wählen Sie im Bereich Aktionen die Option Bindungen, wählen Sie den https Eintrag und wählen Sie Bearbeiten.

   

5. Wählen Sie unter Site-Bindung bearbeiten das Zertifikat aus der Liste aus und klicken Sie auf OK.

   

Damit ist die Änderung des Zertifikats abgeschlossen.

Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->