Proteggere una distribuzione di Web Studio (facoltativo)

Quando si installa Web Studio insieme a un Delivery Controller™, il programma di installazione crea un certificato autofirmato, associato alla porta 443 del server corrente. Web Studio e il Delivery Controller utilizzeranno il certificato come certificato TLS. Quando si accede da una macchina diversa, potrebbe non essere possibile accedere a Web Studio o potrebbe essere visualizzato un errore nella schermata di accesso di Web Studio.

Se si desidera accedere a Web Studio da una macchina diversa, è possibile eseguire le seguenti operazioni:

1. Esportare il certificato autofirmato dal Delivery Controller.

   

   • Per Esporta chiave privata, selezionare No, non esportare la chiave privata.

   • Per Formato file di esportazione, selezionare X.509 binario codificato DER (.CER).

2. Andare alla macchina da cui si desidera accedere a Web Studio e quindi installare il certificato.

   

   • Per Posizione archivio, selezionare Computer locale.

Se si sceglie di installare Web Studio su un server dedicato remoto dal Delivery Controller, è necessario eseguire due attività:

• Attività 1: Esportare i certificati dal server Web Studio e dal Delivery Controller, rispettivamente.

• Attività 2: Installare i due certificati sulla macchina da cui si desidera accedere a Web Studio.

Nota:

Come best practice, si consiglia di proteggere la distribuzione di Web Studio utilizzando un certificato di attendibilità pubblico esterno o un certificato di un’autorità di certificazione (CA) aziendale.

Usa un certificato di fiducia pubblico esterno

È possibile importare un certificato di fiducia pubblico esterno nel server Web Studio utilizzando uno dei seguenti tre metodi:

• Installa il file PFX.

  1. Fare doppio clic sul file PFX.

  2. Per Posizione archivio, selezionare Computer locale.

     

  3. Immettere la password, se richiesta.

     

  4. Per Archivio certificati, selezionare Personale.

     

• Utilizzare la console Gestisci certificati computer.

  1. Aprire la console Gestisci certificati computer e andare su Personale > Certificati > Tutte le attività > Importa.

     

  2. Selezionare il file PFX e immettere la password, se richiesta.

• Utilizzare PowerShell.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

Si associa quindi il certificato alla porta 443. È possibile farlo prima o dopo l’installazione o l’aggiornamento. Il programma di installazione non esegue alcuna operazione se il binding del certificato è configurato per la porta 443. Per maggiori informazioni, vedere Prima dell’installazione o dell’aggiornamento.

Utilizzare un certificato da una CA aziendale

Prima di iniziare, assicurarsi di avere il server dell’autorità di certificazione (CA) aziendale distribuito nel proprio dominio.

Per richiedere un certificato, eseguire i seguenti passaggi:

1. Sul server, aprire la console Gestione certificati computer.

2. Andare su Personale > Certificati > Tutte le attività > Richiedi nuovo certificato.

   

3. Andare su Registrazione certificati, selezionare il server Web e fare clic sul messaggio di avviso per compilare le informazioni necessarie.

   

4. Selezionare Nome comune come tipo di nome soggetto e immettere il proprio FQDN o DNS. Inoltre, immettere il nome alternativo.

   Nota:

   Se è necessario un certificato wildcard, è possibile immettere CN=*.bvttree.local per il nome soggetto e *.bvttree.local and bvttree.local per il nome DNS alternativo.

   

Il certificato è disponibile in Personale > Certificati.

Si associa quindi il certificato alla porta 443. È possibile farlo prima o dopo l’installazione o l’aggiornamento. Il programma di installazione non esegue alcuna operazione se il binding del certificato è configurato per la porta 443.

Prima dell’installazione o dell’aggiornamento

Per associare il certificato alla porta 443, eseguire i seguenti passaggi (a condizione che il binding del certificato non sia ancora configurato per 443 e che IIS sia abilitato sul server):

1. Accedere al server Web Studio come amministratore.

2. Aprire Gestione IIS, passare a Siti > Sito Web predefinito > Binding.

3. In Binding sito, fare clic su Aggiungi.

   

4. In Aggiungi binding sito, impostare il tipo su https e la porta su 443, selezionare il certificato SSL richiesto all’autorità di certificazione e quindi fare clic su OK.

   

Dopo aver installato Web Studio, Web Studio e Delivery Controller vengono configurati automaticamente per utilizzare il certificato per proteggere le connessioni.

In alternativa, è possibile modificare il certificato utilizzando PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Dopo l’installazione o l’aggiornamento

Accedere al server Web Studio e modificare il certificato utilizzando Gestione IIS. In alternativa, è possibile modificare il certificato utilizzando PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Utilizzare un nuovo certificato autofirmato

È possibile generare un nuovo certificato autofirmato e utilizzarlo per sostituire quello esistente. Eseguire i seguenti passaggi:

1. Accedere al server Web Studio come amministratore.

2. Aprire Gestione IIS, passare a Certificati server e selezionare Crea certificato autofirmato nel riquadro Azioni.

   Certificati server(/it-it/citrix-virtual-apps-desktops/2407/media/server-certificates.png)

3. In Crea certificato autofirmato, immettere un nome per il certificato e fare clic su OK. Il certificato autofirmato viene quindi creato.

   Crea certificato autofirmato(/it-it/citrix-virtual-apps-desktops/2407/media/create-self-signed-certificate.png)

4. Passare a Siti > Sito Web predefinito, selezionare Associazioni nel riquadro Azioni, selezionare la voce https e selezionare Modifica.

   Associazioni sito(/it-it/citrix-virtual-apps-desktops/2407/media/site-bindings.png)

5. In Modifica associazione sito, selezionare il certificato dall’elenco e fare clic su OK.

   Modifica associazione sito(/it-it/citrix-virtual-apps-desktops/2407/media/edit-site-binding.png)

Questo completa la modifica del certificato.

In alternativa, è possibile modificare il certificato utilizzando PowerShell.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->