Habilitar TLS en Web Studio y Director

Recomendamos usar siempre TLS para proteger las conexiones a Web Studio y Director habilitando HTTPS. Este artículo explica cómo configurar Web Studio y Director para usar un certificado de confianza y garantizar un acceso seguro a través de HTTPS.

Comportamiento predeterminado

Al instalar Web Studio, el instalador crea un certificado autofirmado y lo vincula al puerto 443 en el servidor actual. Puede acceder a Web Studio y Director desde un navegador web a través de HTTPS en el servidor local.

Sin embargo, si intenta acceder a Web Studio o Director desde otra máquina a través de HTTPS, el navegador muestra un error de seguridad porque no confía en el certificado.

Nota:

Si instala Director sin Web Studio, el instalador no crea un certificado autofirmado.

Habilitar acceso seguro a través de HTTPS

Para permitir el acceso a Web Studio o Director a través de HTTPS desde máquinas que no sean el servidor de Web Studio, siga estos pasos:

1. Crear o importar un certificado de confianza.

2. Vincular el certificado al puerto 443 en IIS.

3. (Opcional) Habilitar HTTP Strict Transport Security (HSTS).

4. Si Web Studio no está configurado como un proxy (las máquinas cliente se conectan tanto a Web Studio como a los Delivery Controllers), habilite TLS en los Delivery Controllers.

Nota:

No se recomienda usar el certificado autofirmado porque requiere una configuración manual en cada máquina. Para obtener más información, consulte Usar el certificado autofirmado.

Crear o importar un certificado de confianza

Recomendamos usar un certificado de una entidad de certificación empresarial o pública en la que confíen las máquinas que se conectan al servidor.

Para obtener más información, consulte Crear un certificado nuevo e Importar un certificado existente. El nombre común o el nombre alternativo del sujeto del certificado deben coincidir con el FQDN que utilizan los usuarios para conectarse a Web Studio o Director. Si hay un equilibrador de carga implementado delante del servidor, utilice el FQDN del equilibrador de carga.

Vincular el certificado al puerto 443

Después de crear o importar un certificado de confianza, vincúlelo al puerto 443 en IIS. Puede hacerlo antes o después de la instalación. Si la vinculación del certificado ya está configurada para el puerto 443, el instalador no realizará ningún cambio.

Nota:

De forma predeterminada, Web Studio y Director utilizan el puerto 443 para el acceso HTTPS seguro. Puede cambiar el número de puerto si es necesario. Consulte Cambiar el número de puerto predeterminado para obtener más información.

Para vincular el certificado al puerto 443, siga estos pasos:

1. Inicie sesión en el servidor como administrador.

2. Abra el Administrador de IIS y vaya a Sitios > Sitio web predeterminado > Enlaces.

3. Si existe un enlace de tipo https, selecciónelo y haga clic en Editar…. Si no hay ningún enlace https, haga clic en Agregar.

   

4. Cree o edite el enlace del sitio:

   1. Para un nuevo enlace, establezca el tipo en https y el puerto en 443.

   2. Seleccione el certificado SSL adecuado.

   3. En Windows Server 2022 o superior, seleccione opcionalmente Deshabilitar TLS heredado para asegurarse de que los usuarios solo puedan conectarse utilizando versiones modernas de TLS.

   4. Haga clic en Aceptar.

   

Alternativamente, puede cambiar el certificado usando PowerShell. Por ejemplo, el siguiente script busca un certificado con un nombre común dado y lo enlaza a todas las direcciones IP, puerto 443, y deshabilita las versiones TLS heredadas.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Tenga en cuenta que appid es un GUID arbitrario que se puede usar para identificar qué aplicación agregó el certificado.

Usar el certificado autofirmado

Puede usar el certificado autofirmado existente, pero no se recomienda porque requiere configurar manualmente cada máquina que accede al servidor.

Para instalar el certificado autofirmado en las máquinas que necesitan conectarse a Web Studio:

1. Exportar el certificado autofirmado existente de los servidores de Web Studio y Delivery Controller.
2. Importar el certificado en el almacén de Certificados raíz de confianza de las máquinas que deben acceder al servidor.

(Opcional) Habilitar Seguridad de transporte estricta HTTP (HSTS)

Seguridad de transporte estricta HTTP (HSTS) indica a los navegadores web que solo utilicen HTTPS al acceder al sitio. Si un usuario intenta acceder a la URL mediante HTTP, el navegador cambia automáticamente a HTTPS. Esta configuración garantiza la validación de la conexión segura tanto en el lado del cliente como en el del servidor. El navegador mantiene esta validación durante el período configurado.

En Windows Server 2019 y versiones posteriores, puede configurar HSTS en IIS:

1. Abra el Administrador de Internet Information Services (IIS).
2. Seleccione Sitio web predeterminado (o el sitio web apropiado).
3. En el panel Acciones de la derecha, seleccione HSTS….
4. Seleccione Habilitar e introduzca una edad máxima, por ejemplo, 31536000 para un año.
5. Seleccione Redirigir Http a Https.

   Nota:

   Web Studio configura automáticamente una regla de reescritura de URL para redirigir HTTP a HTTPS al acceder al sitio web de Studio. Sin embargo, esta opción también se aplica a Director y a cualquier otra aplicación en el sitio de IIS.

6. Haga clic en Aceptar.

   

(Opcional) Cambiar el número de puerto predeterminado

De forma predeterminada, Web Studio y Director utilizan el puerto 443 para el acceso seguro HTTPS. Para cambiar este número de puerto, siga estos pasos para crear un enlace de sitio para el puerto deseado en Default Web Site.

Pasos:

1. En el servidor que aloja Web Studio, abra el Administrador de Internet Information Services (IIS).

2. En el panel Conexiones, expanda el nodo del servidor y seleccione Sitio web predeterminado en Sitios.

3. En el panel Acciones de la derecha, haga clic en Enlaces.

   

4. En la ventana Enlaces de sitio, haga clic en Agregar.

5. En la ventana Agregar enlace de sitio, configure lo siguiente para el nuevo enlace:

   1. Tipo: Seleccione https.
   2. Dirección IP: Seleccione la dirección IP adecuada o déjela como Todas sin asignar si corresponde.
   3. Puerto: Introduzca el número de puerto deseado (por ejemplo, 444).
   4. Certificado SSL: Seleccione el certificado SSL adecuado para una comunicación segura.

   Nota:

   Si Delivery Controller™ y Web Studio están instalados en máquinas separadas, y el servidor no tiene otros servicios o sitios web implementados, puede quitar el puerto 443. De lo contrario, mantenga este puerto para evitar problemas de comunicación con el servicio de orquestación y otros servicios FMA.

6. Haga clic en Aceptar para guardar el enlace y, a continuación, cierre la ventana Enlaces de sitio.

7. En el Administrador de IIS, haga clic en el nodo del servidor y, a continuación, en el panel Acciones, haga clic en Reiniciar para aplicar el nuevo enlace.

(Opcional) Deshabilitar la redirección HTTPS

Cuando instala Web Studio, de forma predeterminada, cualquier acceso HTTP se redirige automáticamente a HTTPS. Es posible deshabilitar esta redirección para permitir el acceso HTTP. Este enfoque solo se recomienda si ha tomado otras medidas para bloquear el acceso HTTP. En el caso de que tenga un balanceador de carga con terminación TLS delante de Web Studio, se sigue recomendando usar HTTPS entre el balanceador de carga y Web Studio.

1. Inicie sesión en el servidor de Web Studio.
2. Abra el Administrador de Internet Information Services (IIS) y vaya a Server_name > Sitios > Sitio web predeterminado > Reescritura de URL.

3. Deshabilite las Reglas de entrada para Redirección a https, como se muestra en la siguiente captura de pantalla.

   

Si ha habilitado HSTS en IIS, también debe deshabilitar Redirect Http to Https.