Product Documentation

Schützen von Endpunkten mit TLS

Jun 16, 2016

In diesem Dokument wird erläutert, wie Sie die Endpunkte der Überwachungsdienst-OData-API mit TLS schützen. Wenn Sie TLS verwenden, müssen Sie TLS auf allen Delivery Controllern in der Site konfigurieren. Sie können keine Mischung aus Controllern mit und ohne TLS verwenden.

Zum Schützen der Endpunkte des Überwachungsdiensts mit TLS müssen Sie die folgende Konfiguration vornehmen. Einige Schritte müssen nur einmal pro Site vorgenommen werden, andere hingegen auf jeder Maschine, auf der der Überwachungsdienst gehostet wird. Die Schritte werden nachfolgend beschrieben.

Teil 1: Zertifikatregistrierung im System

  1. Erstellen Sie mit einem vertrauenswürdigen Zertifikat-Manager ein Zertifikat. Das Zertifikat muss dem Port auf der Maschine zugeordnet werden, den Sie für OData TLS verwenden möchten.
  2. Konfigurieren Sie den Überwachungsdienst zur Verwendung dieses Ports für TLS-Kommunikation. Die Schritte hängen von der jeweiligen Umgebung ab und davon, wie diese mit Zertifikaten funktioniert. Das folgende Beispiel zeigt das Konfigurieren von Port 449:
  • Ordnen Sie das Zertifikat einem Port zu:
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9  appid='{00000000-0000-0000-0000-000000000000}'
    Tipp: Stellen Sie in einem PowerShell-Befehlsfenster sicher, dass Sie die GUID in der Anwendungs-ID mit einfachen Anführungszeichen wie oben dargestellt einschließen, da der Befehl sonst nicht funktioniert. Beachten Sie, dass diesem Beispiel eine Zeile für bessere Lesbarkeit hinzugefügt wurde.

Teil 2: Ändern der Konfigurationseinstellungen des Überwachungsdiensts

  1. Führen Sie auf jedem Delivery Controller in der Site folgende PowerShell-Befehle einmal aus. Damit wird die Registrierung des Überwachungsdiensts beim Konfigurationsdienst aufgehoben.
    asnp citrix.*   $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid   remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid 
  2. Führen Sie den folgenden Schritt auf allen Controllern in der Site aus:
    • Verwenden Sie eine Eingabeaufforderung zum Suchen des Verzeichnisses des installierten Citrix Überwachungsdiensts (in der Regel C:\Programme\Citrix\Monitor\Service). Führen Sie in diesem Verzeichnis Folgendes aus:
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • Führen Sie die folgenden PowerShell-Befehle aus:
    asnp citrix.*  (if not already run within this window)  get-MonitorServiceInstance | register-ConfigServiceInstance   Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership