This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
在 Web Studio 和 Director 上启用 TLS
我们建议始终使用 TLS 通过启用 HTTPS 来保护与 Web Studio 和 Director 的连接安全。 本文介绍了如何配置 Web Studio 和 Director 以使用可信证书并确保通过 HTTPS 进行安全访问。
默认行为
安装 Web Studio 时,安装程序会创建一个自签名证书并将其绑定到当前服务器上的端口 443。 可以通过本地服务器上的 HTTPS 从 Web 浏览器访问 Web Studio 和 Director。
但是,如果尝试通过 HTTPS 从另一台计算机访问 Web Studio 或 Director,浏览器会显示安全错误,因为它不信任该证书。
注意:
如果在没有 Web Studio 的情况下安装 Director,安装程序将不创建自签名证书。
启用通过 HTTPS 进行安全访问
要允许从 Web Studio 服务器以外的计算机通过 HTTPS 访问 Web Studio 或 Director,请按照以下步骤进行操作:
-
如果 Web Studio 未配置为代理(客户端计算机同时连接到 Web Studio 和 Delivery Controller),请在 Delivery Controller 上启用 TLS。
注意:
不建议使用自签名证书,因为它需要在每台计算机上进行手动配置。 有关详细信息,请参阅使用自签名证书。
创建或导入可信证书
我们建议使用来自连接到服务器的计算机信任的企业或公共证书颁发机构颁发的证书。
有关详细信息,请参阅创建新证书和导入现有证书。 证书的公用名或使用者备用名称必须与用户用于连接到 Web Studio 或 Director 的 FQDN 相匹配。 如果在服务器前面部署了负载平衡器,请使用负载平衡器的 FQDN。
将证书绑定到端口 443
创建或导入可信证书后,将其绑定到 IIS 中的端口 443。 可以在安装之前或安装之后执行此操作。 如果已经为端口 443 配置了证书绑定,安装程序不会进行任何更改。
注意:
默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。 如有需要,可以更改端口号。 有关详细信息,请参阅更改默认端口号。
要将证书绑定到端口 443,请按照以下步骤进行操作:
-
以管理员身份登录服务器。
-
打开 IIS 管理器,然后浏览到站点 > 默认 Web 站点 > 绑定。
-
如果存在类型为 https 的现有绑定,请选择该绑定并单击编辑…。 如果没有 https 绑定,请单击添加。
-
创建或编辑站点绑定:
-
对于新绑定,请将类型设置为 https,将端口设置为
443。 -
选择适当的 SSL 证书。
-
在 Windows Server 2022 或更高版本中,可以选择禁用旧版 TLS 以确保用户只能使用新式 TLS 版本进行连接。
-
单击确定。
-
或者,您可以使用 PowerShell 更改证书。 例如,以下脚本查找具有给定公用名的证书并将其绑定到所有 IP 地址、端口 443,并禁用旧版 TLS 版本。
$certSName = 'CN=whpdevddc0.bvttree.local' # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->
请注意,appid 是一个任意 GUID,可用于识别添加了证书的应用程序。
使用自签名证书
可以使用现有的自签名证书,但不建议这样做,因为它需要手动配置访问服务器的每台计算机。
要在需要连接到 Web Studio 的计算机上安装自签名证书,请执行以下操作:
(可选)启用 HTTP 严格传输安全性 (HSTS)
HTTP 严格传输安全性 (HSTS) 告知 Web 浏览器在访问站点时仅使用 HTTPS。 如果用户尝试使用 HTTP 访问 URL,浏览器会自动切换到 HTTPS。 此设置可确保客户端和服务器端的安全连接验证。 浏览器会在配置的时间段内维持此验证。
在 Windows Server 2019 及更高版本中,可以在 IIS 中配置 HSTS:
- 打开 Internet Information Services (IIS)管理器。
- 选择默认 Web 站点(或适当的 Web 站点)。
- 在右侧的操作窗格中,选择 HSTS…。
- 选择启用并输入最大存在时间,例如 31536000 表示一年。
- 选择将 HTTP 重定向到 HTTPS。 > 注意: > > Web Studio 自动配置 URL 重写规则,以便在访问 Studio Web 站点时将 HTTP 重定向到 HTTPS。 但是,此选项也适用于 Director 和 IIS 站点上的任何其他应用程序。
-
单击确定。
(可选)更改默认端口号
默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。 要更改此端口号,请按照以下步骤在默认 Web 站点上为所需端口创建站点绑定。
步骤:
-
在托管 Web Studio 的服务器上,打开 Internet Information Services (IIS)管理器。
-
在连接窗格中,展开服务器节点并选择站点下的默认 Web 站点。
-
在右侧的操作窗格中,单击绑定。
-
在站点绑定窗口中,单击添加。
-
在“添加站点绑定”窗口中,为新绑定设置以下对象:
- 类型:选择 https。
- IP 地址:选择适当的 IP 地址,或者如果适用,则保留为“全部未分配”。
- 端口:输入所需的端口号(例如,444)。
- SSL 证书:选择适当的 SSL 证书以便进行安全通信。
注意:
如果 Delivery Controller 和 Web Studio 安装在不同的计算机上,并且服务器未部署其他服务或 Web 站点,则可以删除端口 443。 否则,请保留此端口以避免与 Orchestration Service 和其他 FMA 服务出现通信问题。
-
单击确定保存绑定,然后关闭站点绑定窗口。
-
在 IIS 管理器中,单击服务器节点,然后在操作窗格中,单击重新启动以应用新绑定。
(可选)禁用 HTTPS 重定向
安装 Web Studio 时,默认情况下,任何 HTTP 访问都会自动重定向到 HTTPS。 可以禁用此重定向以允许 HTTP 访问。 仅当您已采取其他措施阻止 HTTP 访问时才建议采用此方法。 如果在 Web Studio 前面有一个 TLS 终止负载平衡,仍然建议在负载平衡器与 Web Studio 之间使用 HTTPS。
- 登录到 Web Studio 服务器。
- 打开 Internet Information Services (IIS)管理器,然后转到 Server_name > 站点 > 默认 Web 站点 > URL 重写。
-
对重定向到 https 禁用入站规则,如下面的屏幕截图所示。
如果您在 IIS 中启用了 HSTS,还必须取消选中将 HTTP 重定向到 HTTPS。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.