Proteger una implementación de Web Studio (opcional)

Cuando instala Web Studio junto con un Delivery Controller™, el instalador crea un certificado autofirmado, vinculado al puerto 443 del servidor actual. Web Studio y el Delivery Controller usarán el certificado como certificado TLS. Al acceder desde una máquina diferente, es posible que no pueda acceder a Web Studio o que vea un error en la pantalla de inicio de sesión de Web Studio.

Si desea acceder a Web Studio desde una máquina diferente, puede hacer lo siguiente:

1. Exporte el certificado autofirmado desde el Delivery Controller.

   

   • En Exportar clave privada, seleccione No, no exportar la clave privada.

   • En Formato de archivo de exportación, seleccione DER encoded binary X.509 (.CER).

2. Vaya a la máquina desde la que desea acceder a Web Studio y, a continuación, instale el certificado.

   

   • En Ubicación de almacenamiento, seleccione Máquina local.

Si decide instalar Web Studio en un servidor dedicado que está remoto del Delivery Controller, debe realizar dos tareas:

• Tarea 1: Exporte los certificados del servidor de Web Studio y del Delivery Controller, respectivamente.

• Tarea 2: Instale los dos certificados en la máquina desde la que desea acceder a Web Studio.

Nota:

Como práctica recomendada, le recomendamos que proteja su implementación de Web Studio utilizando un certificado de confianza pública externo o un certificado de una CA empresarial.

Usar un certificado de confianza público externo

Puede importar un certificado de confianza público externo en el servidor de Web Studio mediante cualquiera de los tres métodos siguientes:

• Instalar el archivo PFX.

  1. Haga doble clic en el archivo PFX.

  2. En Ubicación del almacén, seleccione Equipo local.

     

  3. Introduzca la contraseña si es necesario.

     

  4. En Almacén de certificados, seleccione Personal.

     

• Usar la consola Administrar certificados de equipo.

  1. Abra la consola Administrar certificados de equipo y vaya a Personal > Certificados > Todas las tareas > Importar.

     

  2. Seleccione el archivo PFX e introduzca la contraseña si es necesario.

• Usar PowerShell.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

A continuación, vincule el certificado al puerto 443. Puede hacerlo antes o después de la instalación o actualización. El instalador no hace nada si la vinculación del certificado está configurada para el puerto 443. Para obtener más información, consulte Antes de la instalación o actualización.

Usar un certificado de una CA empresarial

Antes de empezar, asegúrese de tener el servidor de la entidad de certificación (CA) empresarial implementado en su dominio.

Para solicitar un certificado, realice los siguientes pasos:

1. En el servidor, abra la consola Administrar certificados de equipo.

2. Vaya a Personal > Certificados > Todas las tareas > Solicitar nuevo certificado.

   Solicitar nuevo certificado(/es-es/citrix-virtual-apps-desktops/2407/media/request-new-certificate.png)

3. Vaya a Inscripción de certificados, seleccione el servidor web y haga clic en el mensaje de advertencia para rellenar la información necesaria.

   Inscripción de certificado(/es-es/citrix-virtual-apps-desktops/2407/media/certificate-enrollment.png)

4. Seleccione Nombre común como tipo de nombre de sujeto e introduzca su FQDN o DNS. Además, introduzca el nombre alternativo.

   Nota:

   Si necesita un certificado comodín, puede introducir CN=*.bvttree.local para el nombre del sujeto y *.bvttree.local and bvttree.local para el nombre DNS alternativo.

   Propiedades del certificado(/es-es/citrix-virtual-apps-desktops/2407/media/certificate-properties.png)

El certificado está disponible en Personal > Certificados.

Personal > Certificados(/es-es/citrix-virtual-apps-desktops/2407/media/personal-certificates.png)

A continuación, vincule el certificado al puerto 443. Puede hacerlo antes o después de la instalación o actualización. El instalador no hace nada si la vinculación del certificado está configurada para el puerto 443.

Antes de la instalación o actualización

Para vincular el certificado al puerto 443, realice los siguientes pasos (siempre que la vinculación del certificado aún no esté configurada para 443 y el IIS esté habilitado en el servidor):

1. Inicie sesión en el servidor de Web Studio como administrador.

2. Abra el Administrador de IIS, vaya a Sitios > Sitio web predeterminado > Enlaces.

3. En Enlaces de sitio, haga clic en Agregar.

   

4. En Agregar enlace de sitio, establezca el tipo en https y el puerto en 443, seleccione el certificado SSL que solicitó a la CA y, a continuación, haga clic en Aceptar.

   

Después de instalar Web Studio, Web Studio y el Delivery Controller se configuran automáticamente para usar el certificado para proteger las conexiones.

Alternativamente, puede cambiar el certificado mediante PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Después de la instalación o actualización

Vaya al servidor de Web Studio y cambie el certificado mediante el Administrador de IIS. Alternativamente, puede cambiar el certificado mediante PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Usar un nuevo certificado autofirmado

Puede generar un nuevo certificado autofirmado y usarlo para reemplazar el existente. Realice los siguientes pasos:

1. Inicie sesión en el servidor de Web Studio como administrador.

2. Abra el Administrador de IIS, vaya a Certificados de servidor y seleccione Crear certificado autofirmado en el panel Acciones.

   

3. En Crear certificado autofirmado, introduzca un nombre para el certificado y haga clic en Aceptar. A continuación, se crea el certificado autofirmado.

   

4. Vaya a Sitios > Sitio web predeterminado, seleccione Enlaces en el panel Acciones, seleccione la entrada https y seleccione Editar.

   

5. En Editar enlace de sitio, seleccione el certificado de la lista y haga clic en Aceptar.

   

Con esto se completa el cambio del certificado.

Alternativamente, puede cambiar el certificado mediante PowerShell.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->