TLS auf Web Studio und Director aktivieren

Wir empfehlen, immer TLS zu verwenden, um Verbindungen zu Web Studio und Director durch Aktivierung von HTTPS zu sichern. Dieser Artikel erklärt, wie Web Studio und Director konfiguriert werden, um ein vertrauenswürdiges Zertifikat zu verwenden und einen sicheren Zugriff über HTTPS zu gewährleisten.

Standardverhalten

Wenn Sie Web Studio installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat und bindet es an Port 443 auf dem aktuellen Server. Sie können Web Studio und Director von einem Webbrowser aus über HTTPS auf dem lokalen Server zugreifen.

Wenn Sie jedoch versuchen, von einem anderen Computer aus über HTTPS auf Web Studio oder Director zuzugreifen, zeigt der Browser einen Sicherheitsfehler an, da er dem Zertifikat nicht vertraut.

Hinweis:

If you install Director without Web Studio, the installer doesn’t create a self-signed certificate.

Enable secure access over HTTPS

Um den Zugriff auf Web Studio oder Director über HTTPS von anderen Computern als dem Web Studio-Server zu ermöglichen, führen Sie die folgenden Schritte aus:

1. Ein vertrauenswürdiges Zertifikat erstellen oder importieren.

2. Das Zertifikat in IIS an Port 443 binden.

3. (Optional) HTTP Strict Transport Security (HSTS) aktivieren.

4. Wenn Web Studio nicht als Proxy konfiguriert ist (Clientcomputer verbinden sich sowohl mit Web Studio als auch mit den Delivery Controllern), aktivieren Sie TLS auf den Delivery Controllern.

Hinweis:

Die Verwendung des selbstsignierten Zertifikats wird nicht empfohlen, da dies eine manuelle Konfiguration auf jedem Computer erfordert. Weitere Informationen finden Sie unter Das selbstsignierte Zertifikat verwenden.

Vertrauenswürdiges Zertifikat erstellen oder importieren

Wir empfehlen die Verwendung eines Zertifikats von einer Unternehmens- oder öffentlichen Zertifizierungsstelle, der von den mit dem Server verbundenen Maschinen vertraut wird.

Weitere Informationen finden Sie unter Neues Zertifikat erstellen und Vorhandenes Zertifikat importieren. Der allgemeine Name oder der alternative Antragstellernamen des Zertifikats muss mit dem FQDN übereinstimmen, den die Benutzer für die Verbindung mit Web Studio oder Director verwenden. Wenn ein Lastenausgleich vor dem Server bereitgestellt wird, verwenden Sie den FQDN des Lastenausgleichs.

Zertifikat an Port 443 binden

Nachdem Sie ein vertrauenswürdiges Zertifikat erstellt oder importiert haben, binden Sie es in IIS an Port 443. Sie können dies entweder vor oder nach der Installation tun. Wenn die Zertifikatbindung bereits für Port 443 konfiguriert ist, nimmt das Installationsprogramm keine Änderungen vor.

Hinweis:

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Sie können die Portnummer bei Bedarf ändern. Weitere Informationen finden Sie unter Standardportnummer ändern.

Führen Sie die folgenden Schritte aus, um das Zertifikat an Port 443 zu binden:

1. Melden Sie sich als Administrator am Server an.

2. Öffnen Sie den IIS-Manager und navigieren Sie zu Sites > Default Web Site > Bindings.

3. Wenn eine vorhandene Bindung vom Typ https vorhanden ist, wählen Sie diese aus und klicken Sie auf Edit…. Wenn keine https-Bindung vorhanden ist, klicken Sie auf Add.

   

4. Erstellen oder bearbeiten Sie die Site-Bindung:

   1. Legen Sie für eine neue Bindung den Typ auf https und den Port auf 443 fest.

   2. Wählen Sie das entsprechende SSL-Zertifikat aus.

   3. Unter Windows Server 2022 oder höher wählen Sie optional Legacy-TLS deaktivieren, um sicherzustellen, dass Benutzer nur über moderne TLS-Versionen eine Verbindung herstellen können.

   4. Klicken Sie auf OK.

   Websitebindung hinzufügen(/de-de/citrix-virtual-apps-desktops/2411/media/add-site-binding.png)

Alternativ können Sie das Zertifikat mit PowerShell ändern. Zum Beispiel sucht das folgende Skript nach einem Zertifikat mit einem bestimmten allgemeinen Namen und bindet es an alle IP-Adressen, Port 443, und deaktiviert ältere TLS-Versionen.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Beachten Sie, dass appid eine beliebige GUID ist, die verwendet werden kann, um zu identifizieren, welche Anwendung das Zertifikat hinzugefügt hat.

Das selbstsignierte Zertifikat verwenden

Sie können das vorhandene selbstsignierte Zertifikat verwenden, es wird jedoch nicht empfohlen, da es die manuelle Konfiguration jeder Maschine erfordert, die auf den Server zugreift.

Um das selbstsignierte Zertifikat auf Maschinen zu installieren, die eine Verbindung zu Web Studio herstellen müssen:

1. Exportieren Sie das vorhandene selbstsignierte Zertifikat von den Web Studio- und Delivery Controller-Servern.
2. Importieren Sie das Zertifikat in den Speicher für Vertrauenswürdige Stammzertifikate von Maschinen, die auf den Server zugreifen müssen.

(Optional) HTTP Strict Transport Security (HSTS) aktivieren

HTTP Strict Transport Security (HSTS) weist Webbrowser an, nur HTTPS zu verwenden, wenn auf die Website zugegriffen wird. Wenn ein Benutzer versucht, über HTTP auf die URL zuzugreifen, wechselt der Browser automatisch zu HTTPS. Diese Einstellung gewährleistet eine sichere Verbindungsvalidierung sowohl auf Client- als auch auf Serverseite. Der Browser behält diese Validierung für den konfigurierten Zeitraum bei.

Unter Windows Server 2019 und höher können Sie HSTS in IIS konfigurieren:

1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
2. Wählen Sie Standardwebsite (oder die entsprechende Website).
3. Wählen Sie im Bereich Aktionen auf der rechten Seite die Option HSTS… aus.
4. Wählen Sie Aktivieren und geben Sie ein Höchstalter ein, z. B. 31536000 für ein Jahr.
5. Wählen Sie HTTP zu HTTPS umleiten.

   Hinweis:

   Web Studio konfiguriert automatisch eine URL-Rewrite-Regel, um HTTP zu HTTPS umzuleiten, wenn auf die Studio-Website zugegriffen wird. Diese Option gilt jedoch auch für Director und alle anderen Anwendungen auf der IIS-Site.

6. Klicken Sie auf OK.

   

(Optional) Ändern der Standardportnummer

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Um diese Portnummer zu ändern, führen Sie die folgenden Schritte aus, um eine Site-Bindung für den gewünschten Port auf Default Web Site zu erstellen.

Schritte:

1. Öffnen Sie auf dem Server, auf dem Web Studio gehostet wird, den Internetinformationsdienste (IIS)-Manager.

2. Erweitern Sie im Bereich Verbindungen den Serverknoten und wählen Sie unter Sites die Option Standardwebsite aus.

3. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Bindungen.

   

4. Klicken Sie im Fenster Sitebindungen auf Hinzufügen.

5. Legen Sie im Fenster „Websitebindung hinzufügen“ Folgendes für die neue Bindung fest:

   1. Typ: Wählen Sie https.
   2. IP-Adresse: Wählen Sie die entsprechende IP-Adresse aus oder lassen Sie sie gegebenenfalls als „Alle nicht zugewiesen“.
   3. Port: Geben Sie die gewünschte Portnummer ein (z. B. 444).
   4. SSL-Zertifikat: Wählen Sie das entsprechende SSL-Zertifikat für die sichere Kommunikation aus.

   Hinweis:

   Wenn der Delivery Controller™ und Web Studio auf separaten Maschinen installiert sind und der Server keine anderen Dienste oder Websites bereitgestellt hat, können Sie Port 443 entfernen. Andernfalls behalten Sie diesen Port bei, um Kommunikationsprobleme mit dem Orchestrierungsdienst und anderen FMA-Diensten zu vermeiden.

6. Klicken Sie auf OK, um die Bindung zu speichern, und schließen Sie dann das Fenster Websitebindungen.

7. Klicken Sie im IIS-Manager auf den Serverknoten und dann im Bereich Aktionen auf Neu starten, um die neue Bindung anzuwenden.

(Optional) HTTPS-Umleitung deaktivieren

Wenn Sie Web Studio installieren, wird standardmäßig jeder HTTP-Zugriff automatisch auf HTTPS umgeleitet. Es ist möglich, diese Umleitung zu deaktivieren, um HTTP-Zugriff zu ermöglichen. Dieser Ansatz wird nur empfohlen, wenn Sie andere Maßnahmen ergriffen haben, um den HTTP-Zugriff zu blockieren. Falls Sie einen TLS-terminierenden Lastenausgleich vor Web Studio haben, wird weiterhin empfohlen, HTTPS zwischen Ihrem Lastenausgleich und Web Studio zu verwenden.

1. Melden Sie sich am Web Studio-Server an.
2. Öffnen Sie den Internet Information Services (IIS) Manager und navigieren Sie zu Servername > Sites > Default Web Site > URL Rewrite.

3. Deaktivieren Sie die Eingangsregeln für die Umleitung zu https, wie im folgenden Screenshot gezeigt.

   

Wenn Sie HSTS in IIS aktiviert haben, müssen Sie auch Redirect Http to Https deaktivieren.