TLS für Web Studio und Director aktivieren

Wir empfehlen, immer TLS zu verwenden, um Verbindungen zu Web Studio und Director durch Aktivierung von HTTPS zu sichern. Dieser Artikel erklärt, wie Sie Web Studio und Director so konfigurieren, dass sie ein vertrauenswürdiges Zertifikat verwenden und einen sicheren Zugriff über HTTPS gewährleisten.

Standardverhalten

Wenn Sie Web Studio installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat und bindet es an Port 443 auf dem aktuellen Server. Sie können über einen Webbrowser auf dem lokalen Server über HTTPS auf Web Studio und Director zugreifen.

Wenn Sie jedoch versuchen, von einem anderen Computer aus über HTTPS auf Web Studio oder Director zuzugreifen, zeigt der Browser einen Sicherheitsfehler an, da er dem Zertifikat nicht vertraut.

Hinweis:

Wenn Sie Director ohne Web Studio installieren, erstellt das Installationsprogramm kein selbstsigniertes Zertifikat.

Sicheren Zugriff über HTTPS aktivieren

Um den Zugriff auf Web Studio oder Director über HTTPS von anderen Computern als dem Web Studio-Server zu ermöglichen, führen Sie die folgenden Schritte aus:

1. Ein vertrauenswürdiges Zertifikat erstellen oder importieren.

2. Das Zertifikat in IIS an Port 443 binden.

3. (Optional) HTTP Strict Transport Security (HSTS) aktivieren.

4. Wenn Web Studio nicht als Proxy konfiguriert ist (Clientcomputer stellen eine Verbindung sowohl zu Web Studio als auch zu den Delivery Controllern her), aktivieren Sie TLS auf Delivery Controllern.

Hinweis:

Die Verwendung des selbstsignierten Zertifikats wird nicht empfohlen, da dies eine manuelle Konfiguration auf jedem Computer erfordert. Weitere Informationen finden Sie unter Das selbstsignierte Zertifikat verwenden.

Ein vertrauenswürdiges Zertifikat erstellen oder importieren

Wir empfehlen die Verwendung eines Zertifikats von einer Unternehmens- oder öffentlichen Zertifizierungsstelle, dem die mit dem Server verbundenen Computer vertrauen.

Weitere Informationen finden Sie unter Neues Zertifikat erstellen und Vorhandenes Zertifikat importieren. Der allgemeine Name oder der alternative Antragstellername des Zertifikats muss mit dem FQDN übereinstimmen, den die Benutzer für die Verbindung mit Web Studio oder Director verwenden. Wenn ein Lastenausgleich vor dem Server bereitgestellt wird, verwenden Sie den FQDN des Lastenausgleichs.

Zertifikat an Port 443 binden

Nachdem Sie ein vertrauenswürdiges Zertifikat erstellt oder importiert haben, binden Sie es in IIS an Port 443. Sie können dies vor oder nach der Installation tun. Wenn die Zertifikatbindung bereits für Port 443 konfiguriert ist, nimmt das Installationsprogramm keine Änderungen vor.

Hinweis:

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Sie können die Portnummer bei Bedarf ändern. Weitere Informationen finden Sie unter Standardportnummer ändern.

Um das Zertifikat an Port 443 zu binden, führen Sie die folgenden Schritte aus:

1. Melden Sie sich als Administrator am Server an.

2. Öffnen Sie den IIS-Manager und navigieren Sie zu Sites > Default Web Site > Bindings.

3. Wenn eine vorhandene Bindung vom Typ https vorhanden ist, wählen Sie diese aus und klicken Sie auf Bearbeiten…. Wenn keine https-Bindung vorhanden ist, klicken Sie auf Hinzufügen.

   

4. Die Site-Bindung erstellen oder bearbeiten:

   1. Legen Sie für eine neue Bindung den Typ auf https und den Port auf 443 fest.

   2. Wählen Sie das entsprechende SSL-Zertifikat aus.

   3. Wählen Sie unter Windows Server 2022 oder höher optional Legacy-TLS deaktivieren aus, um sicherzustellen, dass Benutzer nur moderne TLS-Versionen verwenden können.

   4. Klicken Sie auf OK.

   

Alternativ können Sie das Zertifikat mit PowerShell ändern. Das folgende Skript sucht beispielsweise nach einem Zertifikat mit einem bestimmten allgemeinen Namen und bindet es an alle IP-Adressen, Port 443, und deaktiviert ältere TLS-Versionen.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Beachten Sie, dass appid eine beliebige GUID ist, die verwendet werden kann, um zu identifizieren, welche Anwendung das Zertifikat hinzugefügt hat.

Das selbstsignierte Zertifikat verwenden

Sie können das vorhandene selbstsignierte Zertifikat verwenden, dies wird jedoch nicht empfohlen, da jede Maschine, die auf den Server zugreift, manuell konfiguriert werden muss.

So installieren Sie das selbstsignierte Zertifikat auf Maschinen, die eine Verbindung zu Web Studio herstellen müssen:

1. Exportieren Sie das vorhandene selbstsignierte Zertifikat von den Web Studio- und Delivery Controller-Servern.
2. Importieren Sie das Zertifikat in den Speicher Vertrauenswürdige Stammzertifikate der Maschinen, die auf den Server zugreifen müssen.

(Optional) HTTP Strict Transport Security (HSTS) aktivieren

HTTP Strict Transport Security (HSTS) weist Webbrowser an, beim Zugriff auf die Website nur HTTPS zu verwenden. Wenn ein Benutzer versucht, die URL über HTTP aufzurufen, wechselt der Browser automatisch zu HTTPS. Diese Einstellung gewährleistet eine sichere Verbindungsvalidierung sowohl auf Client- als auch auf Serverseite. Der Browser behält diese Validierung für den konfigurierten Zeitraum bei.

Unter Windows Server 2019 und höher können Sie HSTS in IIS konfigurieren:

1. Öffnen Sie den Internet Information Services (IIS) Manager.
2. Wählen Sie Standardwebsite (oder die entsprechende Website) aus.
3. Wählen Sie im Bereich Aktionen auf der rechten Seite HSTS… aus.
4. Wählen Sie Aktivieren und geben Sie ein maximales Alter ein, zum Beispiel 31536000 für ein Jahr.
5. Wählen Sie HTTP zu HTTPS umleiten.

   Hinweis:

   Web Studio konfiguriert automatisch eine URL-Rewrite-Regel, um HTTP zu HTTPS umzuleiten, wenn auf die Studio-Website zugegriffen wird. Diese Option gilt jedoch auch für Director und alle anderen Anwendungen auf der IIS-Site.

6. Klicken Sie auf OK.

   

(Optional) Ändern der Standardportnummer

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Um diese Portnummer zu ändern, führen Sie die folgenden Schritte aus, um eine Site-Bindung für den gewünschten Port auf Default Web Site zu erstellen.

Schritte:

1. Öffnen Sie auf dem Server, auf dem Web Studio gehostet wird, den Internetinformationsdienste (IIS)-Manager.

2. Erweitern Sie im Bereich Verbindungen den Serverknoten und wählen Sie unter Sites die Option Standardwebsite aus.

3. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Bindungen.

   

4. Klicken Sie im Fenster Sitebindungen auf Hinzufügen.

5. Legen Sie im Fenster „Websitebindung hinzufügen“ Folgendes für die neue Bindung fest:

   1. Typ: Wählen Sie https.
   2. IP-Adresse: Wählen Sie die entsprechende IP-Adresse aus, oder lassen Sie sie bei Bedarf als „Alle nicht zugewiesen“.
   3. Port: Geben Sie die gewünschte Portnummer ein (z. B. 444).
   4. SSL-Zertifikat: Wählen Sie das entsprechende SSL-Zertifikat für die sichere Kommunikation aus.

   Hinweis:

   Wenn der Delivery Controller™ und Web Studio auf separaten Maschinen installiert sind und der Server keine anderen Dienste oder Websites bereitgestellt hat, können Sie Port 443 entfernen. Andernfalls behalten Sie diesen Port bei, um Kommunikationsprobleme mit dem Orchestrierungsdienst und anderen FMA-Diensten zu vermeiden.

6. Klicken Sie auf OK, um die Bindung zu speichern, und schließen Sie dann das Fenster Websitebindungen.

7. Klicken Sie im IIS-Manager auf den Serverknoten und dann im Bereich Aktionen auf Neu starten, um die neue Bindung anzuwenden.

(Optional) HTTPS-Umleitung deaktivieren

Wenn Sie Web Studio installieren, wird standardmäßig jeder HTTP-Zugriff automatisch auf HTTPS umgeleitet. Es ist möglich, diese Umleitung zu deaktivieren, um HTTP-Zugriff zu ermöglichen. Dieser Ansatz wird nur empfohlen, wenn Sie andere Maßnahmen ergriffen haben, um den HTTP-Zugriff zu blockieren. Falls Sie einen TLS-terminierenden Lastenausgleich vor Web Studio haben, wird dennoch empfohlen, HTTPS zwischen Ihrem Lastenausgleich und Web Studio zu verwenden.

1. Melden Sie sich am Web Studio-Server an.
2. Öffnen Sie den Internet Information Services (IIS) Manager und navigieren Sie zu Servername > Sites > Default Web Site > URL Rewrite.

3. Deaktivieren Sie die Inbound Rules für Redirection to https, wie im folgenden Screenshot gezeigt.

   

Wenn Sie HSTS in IIS aktiviert haben, müssen Sie auch Redirect Http to Https deaktivieren.