Proteger uma implantação do Web Studio (opcional)

Ao instalar o Web Studio junto com um Delivery Controller™, o instalador cria um certificado autoassinado, vinculado à porta 443 do servidor atual. O Web Studio e o Delivery Controller usarão o certificado como certificado TLS. Ao acessar de uma máquina diferente, talvez você não consiga acessar o Web Studio ou possa ver um erro na tela de logon do Web Studio.

Se você quiser acessar o Web Studio de uma máquina diferente, você pode fazer o seguinte:

1. Exporte o certificado autoassinado do Delivery Controller.

   

   • Para Exportar Chave Privada, selecione Não, não exportar a chave privada.

   • Para Formato de Arquivo de Exportação, selecione Binário codificado DER X.509 (.CER).

2. Vá para a máquina onde você deseja acessar o Web Studio e então instale o certificado.

   

   • Para Local de Armazenamento, selecione Máquina Local.

Se você optar por instalar o Web Studio em um servidor dedicado que esteja remoto do Delivery Controller, você precisa executar duas tarefas:

• Tarefa 1: Exporte os certificados do servidor Web Studio e do Delivery Controller, respectivamente.

• Tarefa 2: Instale os dois certificados na máquina onde você deseja acessar o Web Studio.

Nota:

Como prática recomendada, recomendamos que você proteja sua implantação do Web Studio usando um certificado de confiança pública externo ou um certificado de uma CA corporativa.

Usar um certificado de confiança pública externo

Você pode importar um certificado de confiança pública externo para o servidor do Web Studio usando qualquer um dos três métodos a seguir:

• Instalar o arquivo PFX.

  1. Clique duas vezes no arquivo PFX.

  2. Para Local do Repositório, selecione Máquina Local.

     

  3. Insira a senha, se necessário.

     

  4. Para Repositório de Certificados, selecione Pessoal.

     

• Usar o console Gerenciar certificados do computador.

  1. Abra o console Gerenciar Certificados do Computador e vá para Pessoal > Certificados > Todas as Tarefas > Importar.

     

  2. Selecione o arquivo PFX e insira a senha, se necessário.

• Usar o PowerShell.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

Em seguida, você vincula o certificado à porta 443. Você pode fazer isso antes ou depois da instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443. Para obter mais informações, consulte Antes da instalação ou atualização.

Usar um certificado de uma CA corporativa

Antes de começar, certifique-se de que o servidor da Autoridade de Certificação (CA) corporativa esteja implantado em seu domínio.

Para solicitar um certificado, execute as seguintes etapas:

1. No servidor, abra o console Gerenciar Certificados do Computador.

2. Vá para Pessoal > Certificados > Todas as Tarefas > Solicitar Novo Certificado.

   

3. Vá para Registro de Certificado, selecione o Servidor Web e clique na mensagem de aviso para preencher as informações necessárias.

   

4. Selecione Nome comum como o tipo de nome do assunto e insira seu FQDN ou DNS. Além disso, insira o nome alternativo.

   Nota:

   Se você precisar de um certificado curinga, poderá inserir CN=*.bvttree.local para o nome do assunto e *.bvttree.local and bvttree.local para o nome DNS alternativo.

   

O certificado está disponível em Pessoal > Certificados.

Em seguida, você vincula o certificado à porta 443. Você pode fazer isso antes da instalação ou atualização, ou após a instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443.

Antes da instalação ou atualização

Para vincular o certificado à porta 443, execute as seguintes etapas (desde que a vinculação do certificado ainda não esteja configurada para 443 e o IIS esteja habilitado no servidor):

1. Faça logon no servidor do Web Studio como administrador.

2. Abra o Gerenciador do IIS, navegue até Sites > Default Web Site > Bindings.

3. Em Site Bindings, clique em Add.

   

4. Em Add Site Binding, defina o tipo como https e a porta como 443, selecione o certificado SSL que você solicitou da CA e clique em OK.

   

Após instalar o Web Studio, o Web Studio e o Delivery Controller são configurados automaticamente para usar o certificado para proteger as conexões.

Alternativamente, você pode alterar o certificado usando o PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Após a instalação ou atualização

Vá para o servidor do Web Studio e altere o certificado usando o Gerenciador do IIS. Alternativamente, você pode alterar o certificado usando o PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Usar um novo certificado autoassinado

Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente. Execute as seguintes etapas:

1. Faça logon no servidor do Web Studio como administrador.

2. Abra o Gerenciador do IIS, navegue até Certificados de Servidor e selecione Criar Certificado Autoassinado no painel Ações.

   

3. Em Criar Certificado Autoassinado, insira um nome para o certificado e clique em OK. O certificado autoassinado é então criado.

   

4. Navegue até Sites > Default Web Site, selecione Associações no painel Ações, selecione a entrada https e selecione Editar.

   

5. Em Editar Associação do Site, selecione o certificado da lista e clique em OK.

   

Isso conclui a alteração do certificado.

Alternativamente, você pode alterar o certificado usando o PowerShell.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->