TLS für Web Studio und Director aktivieren

Wir empfehlen, immer TLS zu verwenden, um Verbindungen zu Web Studio und Director durch Aktivierung von HTTPS zu sichern. Dieser Artikel erklärt, wie Web Studio und Director konfiguriert werden, um ein vertrauenswürdiges Zertifikat zu verwenden und sicheren Zugriff über HTTPS zu gewährleisten.

Standardverhalten

Wenn Sie Web Studio installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat und bindet es an Port 443 auf dem aktuellen Server. Sie können über einen Webbrowser auf dem lokalen Server über HTTPS auf Web Studio und Director zugreifen.

Wenn Sie jedoch versuchen, von einem anderen Computer aus über HTTPS auf Web Studio oder Director zuzugreifen, zeigt der Browser einen Sicherheitsfehler an, da er dem Zertifikat nicht vertraut.

Hinweis:

Wenn Sie Director ohne Web Studio installieren, erstellt das Installationsprogramm kein selbstsigniertes Zertifikat.

Sicheren Zugriff über HTTPS aktivieren

Um den Zugriff auf Web Studio oder Director über HTTPS von anderen Computern als dem Web Studio-Server zu ermöglichen, führen Sie die folgenden Schritte aus:

1. Ein vertrauenswürdiges Zertifikat erstellen oder importieren.

2. Das Zertifikat in IIS an Port 443 binden.

3. (Optional) HTTP Strict Transport Security (HSTS) aktivieren.

4. Wenn Web Studio nicht als Proxy konfiguriert ist (Clientcomputer stellen eine Verbindung sowohl zu Web Studio als auch zu den Delivery Controllern her), aktivieren Sie TLS auf Delivery Controllern.

Hinweis:

Die Verwendung des selbstsignierten Zertifikats wird nicht empfohlen, da es eine manuelle Konfiguration auf jedem Computer erfordert. Weitere Informationen finden Sie unter Das selbstsignierte Zertifikat verwenden.

Vertrauenswürdiges Zertifikat erstellen oder importieren

Wir empfehlen die Verwendung eines Zertifikats von einer Unternehmens- oder öffentlichen Zertifizierungsstelle, dem die mit dem Server verbundenen Maschinen vertrauen.

Weitere Informationen finden Sie unter Neues Zertifikat erstellen und Vorhandenes Zertifikat importieren. Der allgemeine Name oder der alternative Antragstellername des Zertifikats muss mit dem FQDN übereinstimmen, den die Benutzer für die Verbindung mit Web Studio oder Director verwenden. Wenn ein Lastenausgleich vor dem Server bereitgestellt wird, verwenden Sie den FQDN des Lastenausgleichs.

Zertifikat an Port 443 binden

Nachdem Sie ein vertrauenswürdiges Zertifikat erstellt oder importiert haben, binden Sie es an Port 443 in IIS. Dies können Sie entweder vor oder nach der Installation tun. Wenn die Zertifikatbindung bereits für Port 443 konfiguriert ist, nimmt das Installationsprogramm keine Änderungen vor.

Hinweis:

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Sie können die Portnummer bei Bedarf ändern. Weitere Informationen finden Sie unter Standard-Portnummer ändern.

Führen Sie die folgenden Schritte aus, um das Zertifikat an Port 443 zu binden:

1. Melden Sie sich als Administrator am Server an.

2. Öffnen Sie den IIS-Manager und navigieren Sie zu Sites > Default Web Site > Bindings.

3. Wenn eine vorhandene Bindung vom Typ https vorhanden ist, wählen Sie diese aus und klicken Sie auf Bearbeiten…. Wenn keine https-Bindung vorhanden ist, klicken Sie auf Hinzufügen.

   

4. Site-Bindung erstellen oder bearbeiten:

   1. Legen Sie für eine neue Bindung den Typ auf https und den Port auf 443 fest.

   2. Wählen Sie das entsprechende SSL-Zertifikat aus.

   3. Wählen Sie unter Windows Server 2022 oder höher optional Disable Legacy TLS (Veraltetes TLS deaktivieren) aus, um sicherzustellen, dass Benutzer nur moderne TLS-Versionen verwenden können.

   4. Klicken Sie auf OK.

   

Alternativ können Sie das Zertifikat mit PowerShell ändern. Das folgende Skript sucht beispielsweise nach einem Zertifikat mit einem bestimmten allgemeinen Namen und bindet es an alle IP-Adressen, Port 443, und deaktiviert ältere TLS-Versionen.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Beachten Sie, dass appid eine beliebige GUID ist, die verwendet werden kann, um zu identifizieren, welche Anwendung das Zertifikat hinzugefügt hat.

Das selbstsignierte Zertifikat verwenden

Sie können das vorhandene selbstsignierte Zertifikat verwenden, dies wird jedoch nicht empfohlen, da jede Maschine, die auf den Server zugreift, manuell konfiguriert werden muss.

So installieren Sie das selbstsignierte Zertifikat auf Maschinen, die eine Verbindung zu Web Studio herstellen müssen:

1. Exportieren Sie das vorhandene selbstsignierte Zertifikat von den Web Studio- und Delivery Controller-Servern.
2. Importieren Sie das Zertifikat in den Speicher Vertrauenswürdige Stammzertifizierungsstellen der Maschinen, die auf den Server zugreifen müssen.

(Optional) HTTP Strict Transport Security (HSTS) aktivieren

HTTP Strict Transport Security (HSTS) weist Webbrowser an, beim Zugriff auf die Site nur HTTPS zu verwenden. Wenn ein Benutzer versucht, die URL über HTTP aufzurufen, wechselt der Browser automatisch zu HTTPS. Diese Einstellung gewährleistet eine sichere Verbindungsvalidierung sowohl auf Client- als auch auf Serverseite. Der Browser behält diese Validierung für den konfigurierten Zeitraum bei.

Unter Windows Server 2019 und höher können Sie HSTS in IIS konfigurieren:

1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
2. Wählen Sie Standardwebsite (oder die entsprechende Website) aus.
3. Wählen Sie im Bereich Aktionen auf der rechten Seite HSTS… aus.
4. Wählen Sie Aktivieren und geben Sie ein Höchstalter ein, z. B. 31536000 für ein Jahr.
5. Wählen Sie HTTP zu HTTPS umleiten.

   Hinweis:

   Web Studio konfiguriert automatisch eine URL-Rewrite-Regel, um HTTP zu HTTPS umzuleiten, wenn auf die Studio-Website zugegriffen wird. Diese Option gilt jedoch auch für Director und alle anderen Anwendungen auf der IIS-Site.

6. Klicken Sie auf OK.

   

(Optional) Standard-Portnummer ändern

Standardmäßig verwenden Web Studio und Director Port 443 für den sicheren HTTPS-Zugriff. Um diese Portnummer zu ändern, führen Sie die folgenden Schritte aus, um eine Site-Bindung für den gewünschten Port auf Default Web Site zu erstellen.

Schritte:

1. Öffnen Sie auf dem Server, auf dem Web Studio gehostet wird, den Internet Information Services (IIS) Manager.

2. Erweitern Sie im Bereich Verbindungen den Serverknoten und wählen Sie unter Sites die Option Default Web Site aus.

3. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Bindungen.

   

4. Klicken Sie im Fenster Site-Bindungen auf Hinzufügen.

5. Legen Sie im Fenster „Websitebindung hinzufügen“ Folgendes für die neue Bindung fest:

   1. Typ: Wählen Sie https.
   2. IP-Adresse: Wählen Sie die entsprechende IP-Adresse aus oder lassen Sie sie gegebenenfalls als „Alle nicht zugewiesen“.
   3. Port: Geben Sie die gewünschte Portnummer ein (z. B. 444).
   4. SSL-Zertifikat: Wählen Sie das entsprechende SSL-Zertifikat für die sichere Kommunikation aus.

   Hinweis:

   Wenn der Delivery Controller™ und Web Studio auf separaten Maschinen installiert sind und auf dem Server keine anderen Dienste oder Websites bereitgestellt werden, können Sie Port 443 entfernen. Andernfalls behalten Sie diesen Port bei, um Kommunikationsprobleme mit dem Orchestration-Dienst und anderen FMA-Diensten zu vermeiden.

6. Klicken Sie auf OK, um die Bindung zu speichern, und schließen Sie dann das Fenster Websitebindungen.

7. Klicken Sie im IIS-Manager auf den Serverknoten und dann im Bereich Aktionen auf Neu starten, um die neue Bindung anzuwenden.

(Optional) HTTPS-Umleitung deaktivieren

Wenn Sie Web Studio installieren, wird standardmäßig jeder HTTP-Zugriff automatisch auf HTTPS umgeleitet. Es ist möglich, diese Umleitung zu deaktivieren, um HTTP-Zugriff zu ermöglichen. Dieser Ansatz wird nur empfohlen, wenn Sie andere Maßnahmen ergriffen haben, um den HTTP-Zugriff zu blockieren. Falls Sie einen TLS-terminierenden Lastenausgleich vor Web Studio haben, wird weiterhin empfohlen, HTTPS zwischen Ihrem Lastenausgleich und Web Studio zu verwenden.

1. Melden Sie sich am Web Studio-Server an.
2. Öffnen Sie den Internetinformationsdienste (IIS)-Manager und navigieren Sie zu Servername > Sites > Default Web Site > URL Rewrite.

3. Deaktivieren Sie die eingehenden Regeln für die Umleitung zu https, wie im folgenden Screenshot gezeigt.

   

Wenn Sie HSTS in IIS aktiviert haben, müssen Sie auch Redirect Http to Https deaktivieren.