Habilitar TLS en Web Studio y Director

Recomendamos usar siempre TLS para proteger las conexiones a Web Studio y Director habilitando HTTPS. Este artículo explica cómo configurar Web Studio y Director para usar un certificado de confianza y garantizar un acceso seguro a través de HTTPS.

Comportamiento predeterminado

Cuando instala Web Studio, el instalador crea un certificado autofirmado y lo vincula al puerto 443 en el servidor actual. Puede acceder a Web Studio y Director desde un explorador web a través de HTTPS en el servidor local.

Sin embargo, si intenta acceder a Web Studio o Director desde otra máquina a través de HTTPS, el explorador muestra un error de seguridad porque no confía en el certificado.

Nota:

Si instala Director sin Web Studio, el instalador no crea un certificado autofirmado.

Habilitar el acceso seguro a través de HTTPS

Para permitir el acceso a Web Studio o Director a través de HTTPS desde máquinas que no sean el servidor de Web Studio, siga estos pasos:

1. (#create-or-import-a-trusted-certificate) [Crear o importar un certificado de confianza].

2. (#bind-the-certificate-to-port-443) [Vincular el certificado al puerto 443 en IIS].

3. (#optional-enable-http-strict-transport-security-hsts) [(Opcional) Habilitar HTTP Strict Transport Security (HSTS)].

4. Si Web Studio no está configurado como proxy (las máquinas cliente se conectan tanto a Web Studio como a los Delivery Controllers), (/es-es/citrix-virtual-apps-desktops/2411/secure/tls-ddc) [habilite TLS en los Delivery Controllers].

Nota:

No se recomienda usar el certificado autofirmado porque requiere una configuración manual en cada máquina. Para obtener más información, consulte (#use-the-self-signed-certificate) [Usar el certificado autofirmado].

Crear o importar un certificado de confianza

Recomendamos usar un certificado de una entidad de certificación pública o empresarial en la que confíen las máquinas que se conectan al servidor.

Para obtener más información, consulte Crear un nuevo certificado e Importar un certificado existente. El nombre común o el nombre alternativo del sujeto del certificado deben coincidir con el FQDN que los usuarios utilizan para conectarse a Web Studio o Director. Si se implementa un equilibrador de carga delante del servidor, utilice el FQDN del equilibrador de carga.

Asociar el certificado al puerto 443

Después de crear o importar un certificado de confianza, asócielo al puerto 443 en IIS. Puede hacerlo antes o después de la instalación. Si la asociación del certificado ya está configurada para el puerto 443, el instalador no realizará ningún cambio.

Nota:

De forma predeterminada, Web Studio y Director utilizan el puerto 443 para el acceso seguro HTTPS. Puede cambiar el número de puerto si es necesario. Consulte Cambiar el número de puerto predeterminado para obtener más información.

Para asociar el certificado al puerto 443, siga estos pasos:

1. Inicie sesión en el servidor como administrador.

2. Abra el Administrador de IIS y vaya a Sitios > Sitio web predeterminado > Enlaces.

3. Si existe un enlace de tipo https, selecciónelo y haga clic en Editar…. Si no hay ningún enlace https, haga clic en Agregar.

   

4. Cree o edite el enlace del sitio:

   1. Para un nuevo enlace, establezca el tipo en https y el puerto en 443.

   2. Seleccione el certificado SSL adecuado.

   3. En Windows Server 2022 o superior, seleccione opcionalmente Deshabilitar TLS heredado para asegurarse de que los usuarios solo puedan conectarse utilizando versiones modernas de TLS.

   4. Haga clic en Aceptar.

   

Alternativamente, puede cambiar el certificado usando PowerShell. Por ejemplo, el siguiente script busca un certificado con un nombre común dado y lo enlaza a todas las direcciones IP, puerto 443, y deshabilita las versiones TLS heredadas.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Tenga en cuenta que appid es un GUID arbitrario que se puede usar para identificar qué aplicación agregó el certificado.

Usar el certificado autofirmado

Puede usar el certificado autofirmado existente, pero no se recomienda porque requiere configurar manualmente cada máquina que accede al servidor.

Para instalar el certificado autofirmado en las máquinas que necesitan conectarse a Web Studio:

1. Exportar el certificado autofirmado existente de los servidores Web Studio y Delivery Controller.
2. Importar el certificado en el almacén de Certificados de raíz de confianza de las máquinas que deben acceder al servidor.

(Opcional) Habilitar la seguridad de transporte estricta HTTP (HSTS)

La seguridad de transporte estricta HTTP (HSTS) indica a los navegadores web que solo utilicen HTTPS al acceder al sitio. Si un usuario intenta acceder a la URL mediante HTTP, el navegador cambia automáticamente a HTTPS. Esta configuración garantiza la validación de la conexión segura tanto en el lado del cliente como en el del servidor. El navegador mantiene esta validación durante el período configurado.

En Windows Server 2019 y versiones posteriores, puede configurar HSTS en IIS:

1. Abra el Administrador de Internet Information Services (IIS).
2. Seleccione Sitio web predeterminado (o el sitio web apropiado).
3. En el panel Acciones del lado derecho, seleccione HSTS….
4. Seleccione Habilitar e introduzca una edad máxima, por ejemplo 31536000 para un año.
5. Seleccione Redirigir Http a Https.

   Nota:

   Web Studio configura automáticamente una regla de Reescritura de URL para redirigir HTTP a HTTPS al acceder al sitio web de Studio. Sin embargo, esta opción también se aplica a Director y a cualquier otra aplicación en el sitio de IIS.

6. Haga clic en Aceptar.

   Captura de pantalla de la configuración de HSTS(/es-es/citrix-virtual-apps-desktops/2411/media/iis-hsts.png)

(Opcional) Cambiar el número de puerto predeterminado

De forma predeterminada, Web Studio y Director utilizan el puerto 443 para el acceso seguro HTTPS. Para cambiar este número de puerto, siga estos pasos para crear una vinculación de sitio para el puerto deseado en Default Web Site.

Pasos:

1. En el servidor que aloja Web Studio, abra el Administrador de Internet Information Services (IIS).

2. En el panel Conexiones, expanda el nodo del servidor y seleccione Sitio web predeterminado en Sitios.

3. En el panel Acciones de la derecha, haga clic en Vinculaciones.

   Establecer nuevo puerto(/es-es/citrix-virtual-apps-desktops/2411/media/web-studio-new-port.png)

4. En la ventana Vinculaciones de sitio, haga clic en Agregar.

5. En la ventana Agregar enlace de sitio, configure lo siguiente para el nuevo enlace:

   1. Tipo: Seleccione https.
   2. Dirección IP: Seleccione la dirección IP adecuada o déjela como Todas sin asignar si corresponde.
   3. Puerto: Introduzca el número de puerto deseado (por ejemplo, 444).
   4. Certificado SSL: Seleccione el certificado SSL adecuado para una comunicación segura.

   Nota:

   If the Delivery Controller™ and Web Studio are installed on separate machines, and the server doesn’t have other services or websites deployed, you can remove port 443. Otherwise, keep this port to avoid communication issues with the Orchestration service and other FMA services.

6. Haga clic en Aceptar para guardar el enlace y, a continuación, cierre la ventana Enlaces de sitio.

7. En el Administrador de IIS, haga clic en el nodo del servidor y, a continuación, en el panel Acciones, haga clic en Reiniciar para aplicar el nuevo enlace.

(Opcional) Deshabilitar la redirección HTTPS

Cuando instala Web Studio, de forma predeterminada, cualquier acceso HTTP se redirige automáticamente a HTTPS. Es posible deshabilitar esta redirección para permitir el acceso HTTP. Este enfoque solo se recomienda si ha tomado otras medidas para bloquear el acceso HTTP. En el caso de que tenga un equilibrador de carga de terminación TLS delante de Web Studio, se sigue recomendando usar HTTPS entre el equilibrador de carga y Web Studio.

1. Inicie sesión en el servidor de Web Studio.
2. Abra el Administrador de Internet Information Services (IIS) y vaya a Server_name > Sitios > Sitio web predeterminado > Reescritura de URL.

3. Deshabilite las Reglas de entrada para Redirección a https, como se muestra en la siguiente captura de pantalla.

   

Si ha habilitado HSTS en IIS, también debe deshabilitar Redirect Http to Https.