Sécuriser un déploiement Web Studio (facultatif)

Lorsque vous installez Web Studio avec un Delivery Controller™, l’installateur crée un certificat auto-signé, lié au port 443 du serveur actuel. Web Studio et le Delivery Controller utiliseront ce certificat comme certificat TLS. Lors de l’accès depuis une machine différente, il est possible que vous ne puissiez pas accéder à Web Studio, ou que vous voyiez une erreur sur l’écran de connexion de Web Studio.

Si vous souhaitez accéder à Web Studio depuis une machine différente, vous pouvez effectuer les opérations suivantes :

1. Exportez le certificat auto-signé depuis le Delivery Controller.

   

   • Pour Exporter la clé privée, sélectionnez Non, ne pas exporter la clé privée.

   • Pour Format de fichier d’exportation, sélectionnez Binaire codé DER X.509 (.CER).

2. Accédez à la machine où vous souhaitez accéder à Web Studio, puis installez le certificat.

   

   • Pour Emplacement du magasin, sélectionnez Machine locale.

Si vous choisissez d’installer Web Studio sur un serveur dédié distant du Delivery Controller, vous devez effectuer deux tâches :

• Tâche 1 : Exportez les certificats du serveur Web Studio et du Delivery Controller, respectivement.

• Tâche 2 : Installez les deux certificats sur la machine où vous souhaitez accéder à Web Studio.

Remarque :

En tant que bonne pratique, nous vous recommandons de sécuriser votre déploiement Web Studio en utilisant un certificat de confiance public externe ou un certificat d’une autorité de certification d’entreprise.

Utiliser un certificat de confiance public externe

Vous pouvez importer un certificat de confiance public externe dans le serveur Web Studio en utilisant l’une des trois méthodes suivantes :

• Installer le fichier PFX.

  1. Double-cliquez sur le fichier PFX.

  2. Pour Emplacement du magasin, sélectionnez Ordinateur local.

     

  3. Saisissez le mot de passe si nécessaire.

     

  4. Pour Magasin de certificats, sélectionnez Personnel.

     

• Utiliser la console Gérer les certificats d’ordinateur.

  1. Ouvrez la console Gérer les certificats d’ordinateur et accédez à Personnel > Certificats > Toutes les tâches > Importer.

     

  2. Sélectionnez le fichier PFX et saisissez le mot de passe si nécessaire.

• Utiliser PowerShell.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

Vous liez ensuite le certificat au port 443. Vous pouvez le faire avant ou après l’installation ou la mise à niveau. L’installateur ne fait rien si la liaison de certificat est configurée pour le port 443. Pour plus d’informations, consultez Avant l’installation ou la mise à niveau.

Utiliser un certificat d’une autorité de certification d’entreprise

Avant de commencer, assurez-vous que le serveur d’autorité de certification (CA) d’entreprise est déployé dans votre domaine.

Pour demander un certificat, suivez les étapes suivantes :

1. Sur le serveur, ouvrez la console Gérer les certificats d’ordinateur.

2. Accédez à Personnel > Certificats > Toutes les tâches > Demander un nouveau certificat.

   

3. Accédez à Inscription de certificat, sélectionnez le serveur Web et cliquez sur le message d’avertissement pour renseigner les informations nécessaires.

   

4. Sélectionnez Nom commun comme type de nom de sujet et entrez votre FQDN ou DNS. Saisissez également le nom alternatif.

   Remarque :

   Si vous avez besoin d’un certificat générique, vous pouvez entrer CN=*.bvttree.local pour le nom du sujet et *.bvttree.local and bvttree.local pour le nom DNS alternatif.

   

Le certificat est disponible sous Personnel > Certificats.

Vous liez ensuite le certificat au port 443. Vous pouvez le faire avant ou après l’installation ou la mise à niveau. L’installateur ne fait rien si la liaison de certificat est configurée pour le port 443.

Avant l’installation ou la mise à niveau

Pour lier le certificat au port 443, effectuez les étapes suivantes (à condition que la liaison de certificat ne soit pas encore configurée pour 443 et que l’IIS soit activé sur le serveur) :

1. Connectez-vous au serveur Web Studio en tant qu’administrateur.

2. Ouvrez le Gestionnaire des services Internet (IIS), accédez à Sites > Default Web Site > Bindings.

3. Dans Liaisons de site, cliquez sur Ajouter.

   

4. Dans Ajouter une liaison de site, définissez le type sur https et le port sur 443, sélectionnez le certificat SSL que vous avez demandé à l’autorité de certification, puis cliquez sur OK.

   

Après l’installation de Web Studio, Web Studio et le Delivery Controller sont automatiquement configurés pour utiliser le certificat afin de sécuriser les connexions.

Vous pouvez également modifier le certificat à l’aide de PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Après l’installation ou la mise à niveau

Accédez au serveur Web Studio et modifiez le certificat à l’aide du Gestionnaire des services Internet (IIS). Vous pouvez également modifier le certificat à l’aide de PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Utiliser un nouveau certificat auto-signé

Vous pouvez générer un nouveau certificat auto-signé et l’utiliser pour remplacer celui existant. Effectuez les étapes suivantes :

1. Connectez-vous au serveur Web Studio en tant qu’administrateur.

2. Ouvrez le Gestionnaire des services Internet (IIS), accédez à Certificats de serveur, puis sélectionnez Créer un certificat auto-signé dans le volet Actions.

   

3. Dans Créer un certificat auto-signé, entrez un nom pour le certificat et cliquez sur OK. Le certificat auto-signé est alors créé.

   

4. Accédez à Sites > Site Web par défaut, sélectionnez Liaisons dans le volet Actions, sélectionnez l’entrée https, puis sélectionnez Modifier.

   

5. Dans Modifier la liaison de site, sélectionnez le certificat dans la liste et cliquez sur OK.

   

Ceci termine la modification du certificat.

Vous pouvez également modifier le certificat à l’aide de PowerShell.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->