Abilitare TLS su Web Studio e Director

Si consiglia di utilizzare sempre TLS per proteggere le connessioni a Web Studio e Director abilitando HTTPS. Questo articolo spiega come configurare Web Studio e Director per utilizzare un certificato attendibile e garantire l’accesso sicuro tramite HTTPS.

Comportamento predefinito

Quando si installa Web Studio, il programma di installazione crea un certificato autofirmato e lo associa alla porta 443 sul server corrente. È possibile accedere a Web Studio e Director da un browser web tramite HTTPS sul server locale.

Tuttavia, se si tenta di accedere a Web Studio o Director da un’altra macchina tramite HTTPS, il browser mostra un errore di sicurezza perché non si fida del certificato.

Nota:

Se si installa Director senza Web Studio, il programma di installazione non crea un certificato autofirmato.

Abilitare l’accesso sicuro tramite HTTPS

Per consentire l’accesso a Web Studio o Director tramite HTTPS da macchine diverse dal server Web Studio, seguire questi passaggi:

1. Creare o importare un certificato attendibile.

2. Associare il certificato alla porta 443 in IIS.

3. (Facoltativo) Abilitare HTTP Strict Transport Security (HSTS).

4. Se Web Studio non è configurato come proxy (le macchine client si connettono sia a Web Studio che ai Delivery Controller), abilitare TLS sui Delivery Controller.

Nota:

L’utilizzo del certificato autofirmato non è consigliato perché richiede una configurazione manuale su ogni macchina. Per maggiori informazioni, vedere Utilizzare il certificato autofirmato.

Creare o importare un certificato attendibile

Si consiglia di utilizzare un certificato rilasciato da un’autorità di certificazione aziendale o pubblica attendibile dai computer che si connettono al server.

Per maggiori informazioni, vedere Creare un nuovo certificato e Importare un certificato esistente. Il nome comune o il nome alternativo del soggetto del certificato deve corrispondere all’FQDN che gli utenti utilizzano per connettersi a Web Studio o Director. Se un bilanciamento del carico è distribuito davanti al server, utilizzare l’FQDN del bilanciamento del carico.

Associare il certificato alla porta 443

Dopo aver creato o importato un certificato attendibile, associarlo alla porta 443 in IIS. È possibile farlo prima o dopo l’installazione. Se l’associazione del certificato è già configurata per la porta 443, il programma di installazione non apporta modifiche.

Nota:

Per impostazione predefinita, Web Studio e Director utilizzano la porta 443 per l’accesso HTTPS sicuro. È possibile modificare il numero di porta se necessario. Per i dettagli, vedere Modificare il numero di porta predefinito.

Per associare il certificato alla porta 443, seguire questi passaggi:

1. Accedere al server come amministratore.

2. Aprire Gestione IIS e passare a Siti > Sito Web predefinito > Associazioni.

3. Se esiste un’associazione di tipo https, selezionarla e fare clic su Modifica…. Se non esiste un’associazione https, fare clic su Aggiungi.

   

4. Creare o modificare l’associazione del sito:

   1. Per una nuova associazione, impostare il tipo su https e la porta su 443.

   2. Selezionare il certificato SSL appropriato.

   3. Su Windows Server 2022 o versioni successive, selezionare facoltativamente Disabilita TLS legacy per garantire che gli utenti possano connettersi solo utilizzando versioni TLS moderne.

   4. Fare clic su OK.

   

In alternativa, è possibile modificare il certificato utilizzando PowerShell. Ad esempio, lo script seguente cerca un certificato con un nome comune specificato e lo associa a tutti gli indirizzi IP, alla porta 443 e disabilita le versioni TLS legacy.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

Si noti che appid è un GUID arbitrario che può essere utilizzato per identificare quale applicazione ha aggiunto il certificato.

Utilizzare il certificato autofirmato

È possibile utilizzare il certificato autofirmato esistente, ma non è consigliato perché richiede la configurazione manuale di ogni macchina che accede al server.

Per installare il certificato autofirmato sulle macchine che devono connettersi a Web Studio:

1. Esportare il certificato autofirmato esistente dai server Web Studio e Delivery Controller.
2. Importare il certificato nell’archivio Certificati radice attendibili delle macchine che devono accedere al server.

(Facoltativo) Abilitare HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) indica ai browser web di utilizzare solo HTTPS quando si accede al sito. Se un utente tenta di accedere all’URL utilizzando HTTP, il browser passa automaticamente a HTTPS. Questa impostazione garantisce la convalida della connessione sicura sia sul lato client che sul lato server. Il browser mantiene questa convalida per il periodo configurato.

Su Windows Server 2019 e versioni successive, è possibile configurare HSTS in IIS:

1. Aprire Gestione Internet Information Services (IIS).
2. Selezionare Sito Web predefinito (o il sito web appropriato).
3. Nel riquadro Azioni sul lato destro, selezionare HSTS….
4. Selezionare Abilita e immettere un’età massima, ad esempio 31536000 per un anno.
5. Selezionare Reindirizza Http a Https.

   Nota:

   Web Studio configura automaticamente una regola di riscrittura URL per reindirizzare HTTP a HTTPS quando si accede al sito Web di Studio. Tuttavia, questa opzione si applica anche a Director e a qualsiasi altra applicazione sul sito IIS.

6. Fare clic su OK.

   

(Facoltativo) Modificare il numero di porta predefinito

Per impostazione predefinita, Web Studio e Director utilizzano la porta 443 per l’accesso HTTPS sicuro. Per modificare questo numero di porta, seguire questi passaggi per creare un binding del sito per la porta desiderata su Default Web Site.

Passaggi:

1. Sul server che ospita Web Studio, aprire Gestione Internet Information Services (IIS).

2. Nel riquadro Connessioni, espandere il nodo del server e selezionare Sito Web predefinito in Siti.

3. Nel riquadro Azioni a destra, fare clic su Binding.

   

4. Nella finestra Binding sito, fare clic su Aggiungi.

5. Nella finestra Aggiungi associazione sito, impostare quanto segue per la nuova associazione:

   1. Tipo: Selezionare https.
   2. Indirizzo IP: Selezionare l’indirizzo IP appropriato o lasciare su Tutti non assegnati, se applicabile.
   3. Porta: Immettere il numero di porta desiderato (ad esempio, 444).
   4. Certificato SSL: Selezionare il certificato SSL appropriato per la comunicazione sicura.

   Nota:

   Se Delivery Controller™ e Web Studio sono installati su macchine separate e il server non ha altri servizi o siti Web distribuiti, è possibile rimuovere la porta 443. In caso contrario, mantenere questa porta per evitare problemi di comunicazione con il servizio Orchestration e altri servizi FMA.

6. Fare clic su OK per salvare l’associazione, quindi chiudere la finestra Associazioni sito.

7. In IIS Manager, fare clic sul nodo del server, quindi nel riquadro Azioni, fare clic su Riavvia per applicare la nuova associazione.

(Facoltativo) Disabilitare il reindirizzamento HTTPS

Quando si installa Web Studio, per impostazione predefinita, qualsiasi accesso HTTP viene reindirizzato automaticamente a HTTPS. È possibile disabilitare questo reindirizzamento per consentire l’accesso HTTP. Questo approccio è consigliato solo se sono state adottate altre misure per bloccare l’accesso HTTP. Nel caso in cui si disponga di un bilanciamento del carico con terminazione TLS davanti a Web Studio, si consiglia comunque di utilizzare HTTPS tra il bilanciamento del carico e Web Studio.

1. Accedere al server Web Studio.
2. Aprire Gestione Internet Information Services (IIS) e andare a Nome_server > Siti > Sito Web predefinito > Riscrivi URL.

3. Disabilitare le Regole in ingresso per il Reindirizzamento a https, come mostrato nello screenshot seguente.

   

Se hai abilitato HSTS in IIS, devi anche deselezionare Redirect Http to Https.