Product Documentation

Sécurisation de points de terminaison à l'aide de TLS

Jul 25, 2017

Ce document explique comment utiliser TLS pour sécuriser les points de terminaison de l'API Monitor Service OData. Si vous choisissez d'utiliser TLS, vous devez configurer TLS sur tous les Delivery Controllers dans le site ; vous ne pouvez pas utiliser un mélange de TLS et non TLS.

Pour sécuriser les points de terminaison Monitor Service à l'aide de TLS, vous devez réaliser la configuration suivante. Des étapes doivent être effectuées une seule fois par site, d'autres doivent être exécutées à partir de chaque machine hébergeant Monitor Service dans le site. Les étapes sont décrites ci-dessous.

Partie 1 : enregistrement du certificat avec le système

  1. Créez un certificat utilisant un gestionnaire de certificat approuvé. Le certificat doit être associé avec le port sur la machine que vous souhaitez utiliser pour OData TLS.
  2. Configurez Monitor Service pour utiliser ce port pour la communication TLS. Les étapes dépendent de votre environnement et de la manière dont il fonctionne avec les certificats. L'exemple suivant illustre comment configurer le port 449 :
  • Associez le certificat avec un port :
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9 appid='{00000000-0000-0000-0000-000000000000}'
    Conseil : dans une fenêtre de commande PowerShell, assurez-vous de placer des guillemets simples autour du GUID du appID, comme illustré ci-dessus, ou la commande ne fonctionnera pas. Notez qu'un saut de ligne a été ajouté à cet exemple à des fins de lisibilité uniquement.

Partie 2 : modifier les paramètres de configuration de Monitor Service

  1. À partir de n'importe quel Delivery Controller dans le site, exécutez les commandes PowerShell suivantes une seule fois. Ceci supprime l'enregistrement de Monitor Service par le service de configuration.
    asnp citrix.* $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid 
  2. Effectuez les opérations suivantes sur tous les contrôleurs du site :
    • À l'aide d'une invite cmd, accédez au répertoire Citrix Monitor installé (généralement dans C:\Program Files\Citrix\Monitor\Service). Dans ce répertoire, exécutez :
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • Exécutez les commandes PowerShell suivantes :
    asnp citrix.* (s'il n'est pas exécuté dans cette fenêtre) get-MonitorServiceInstance | register-ConfigServiceInstance Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership