Proteger uma implantação do Web Studio (opcional)
Quando você instala o Web Studio junto com um Delivery Controller, o instalador cria um certificado autoassinado vinculado à porta 443
do servidor atual. O Web Studio e o Delivery Controller usarão o certificado como um certificado TLS. Ao acessar de uma máquina diferente, talvez você não consiga acessar o Web Studio ou talvez veja um erro na tela de logon do Web Studio.
Se quiser acessar o Web Studio de uma máquina diferente, você pode fazer o seguinte:
-
Exporte o certificado autoassinado do Delivery Controller.
-
Em Exportar chave privada, selecione No, do not export the private key.
-
Em Export File Format, selecione DER encoded binary X.509 (.CER).
-
-
Vá até a máquina em que você deseja acessar o Web Studio e instale o certificado.
- Em Store Location, selecione Local Machine.
Se você optar por instalar o Web Studio em um servidor dedicado remoto do Delivery Controller, precisará executar duas tarefas:
-
Tarefa 1: Exportar os certificados do servidor Web Studio e do Delivery Controller, respectivamente.
-
Tarefa 2: Instalar os dois certificados na máquina em que deseja acessar o Web Studio.
Nota:
Como uma boa prática, recomendamos que você proteja sua implantação do Web Studio usando um certificado público confiável externo ou uma CA corporativa.
Use um certificado público confiável externo
Você pode importar um certificado público confiável externo para o servidor Web Studio usando qualquer um dos três métodos a seguir:
-
Instale o arquivo PFX.
-
Clique duas vezes no arquivo PFX.
-
Em Store Location, selecione Local Machine.
-
Digite a senha, se necessário.
-
Em Certificate Store, selecione Personal.
-
-
Use o console Gerenciar certificados de computador.
-
Abra o console Gerenciar certificados de computador e acesse Pessoal > Certificados > Todas as tarefas > Importar.
-
Selecione o arquivo PFX e digite a senha, se necessário.
-
-
Use o PowerShell.
Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx <!--NeedCopy-->
Em seguida, você associa o certificado à porta 443
. Você pode fazer isso antes da instalação ou atualização ou depois da instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443
. Para obter mais informações, consulte Antes da instalação ou atualização.
Usar um certificado de uma CA corporativa
Antes de começar, certifique-se de ter o servidor da Autoridade de Certificação (CA) corporativa implantado em seu domínio.
Para solicitar um certificado, execute as seguintes etapas:
-
No servidor, abra o console Gerenciar certificados de computador.
-
Vá para Pessoal > Certificados > Todas as tarefas > Solicitar novo certificado.
-
Vá para Registro de certificado, selecione o Servidor Web e clique na mensagem de aviso para preencher as informações necessárias.
-
Selecione Nome comum como o tipo de nome do assunto e insira seu FQDN ou DNS. Insira também o nome alternativo.
Nota:
Se você precisar de um certificado curinga, poderá inserir
CN=*.bvttree.local
no nome do assunto e*.bvttree.local and bvttree.local
no nome DNS alternativo.
O certificado está disponível em Pessoal > Certificados.
Em seguida, você associa o certificado à porta 443
. Você pode fazer isso antes da instalação ou atualização ou depois da instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443
.
Antes da instalação ou atualização
Para vincular o certificado à porta 443
, execute as seguintes etapas (desde que a vinculação do certificado ainda não esteja configurada em 443
e o IIS esteja habilitado no servidor):
-
Faça login no servidor do Web Studio como administrador.
-
Abra o Gerenciador do IIS e navegue até Sites > Site padrão > Ligações.
-
Em Ligações de sites, clique em Adicionar.
-
Em Adicionar vinculação do site, defina o tipo como
https
e a porta como 443, selecione o certificado SSL que você solicitou da CA e clique em OK.
Depois de instalar o Web Studio, o Web Studio e o Delivery Controller são configurados automaticamente para usar o certificado para proteger as conexões.
Como alternativa, você pode alterar o certificado usando o PowerShell.
$certSName = 'CN=whpdevddc0.bvttree.local' # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->
Depois da instalação ou atualização
Vá para o servidor do Web Studio e altere o certificado usando o Gerenciador do IIS. Como alternativa, você pode alterar o certificado usando o PowerShell.
$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->
Usar um novo certificado autoassinado
Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente. Execute as seguintes etapas:
-
Faça login no servidor do Web Studio como administrador.
-
Abra o Gerenciador do IIS, navegue até Certificados de Servidor e selecione Criar Certificado Autoassinado no painel Actions.
-
Em Criar Certificado Autoassinado, insira um nome para o certificado e clique em OK. O certificado autoassinado é criado.
-
Navegue até Sites > Default Web Site, selecione Bindings no painel Actions, selecione a entrada
https
e selecione Edit. -
Em Editar Ligação do Site, selecione o certificado na lista e clique em OK.
Isso conclui a alteração do certificado.
Como alternativa, você pode alterar o certificado usando o PowerShell.
$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5
## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue
## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root"
## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->