在 Web 工作室和管理控制台上启用 TLS

我们建议始终通过启用 HTTPS 来使用 TLS 保护与 Web Studio 和 Director 的连接。本文介绍如何配置 Web Studio 和 Director 以使用受信任的证书并确保通过 HTTPS 进行安全访问。

默认行为

安装 Web Studio 时，安装程序会创建一个自签名证书并将其绑定到当前服务器上的端口 443。您可以通过本地服务器上的 Web 浏览器通过 HTTPS 访问 Web Studio 和 Director。

但是，如果您尝试通过 HTTPS 从另一台计算机访问 Web Studio 或 Director，浏览器会显示安全错误，因为它不信任该证书。

注意：

如果您在未安装 Web Studio 的情况下安装 Director，安装程序不会创建自签名证书。

通过 HTTPS 启用安全访问

要允许从 Web Studio 服务器以外的计算机通过 HTTPS 访问 Web Studio 或 Director，请执行以下步骤：

1. 创建或导入受信任的证书。

2. 将证书绑定到 IIS 中的端口 443。

3. (可选) 启用 HTTP 严格传输安全 (HSTS)。

4. 如果 Web 工作室未配置为代理（客户端计算机同时连接到 Web 工作室和交付控制器），在交付控制器上启用 TLS。

注意：

不建议使用自签名证书，因为它需要在每台计算机上进行手动配置。有关详细信息，请参阅使用自签名证书。

创建或导入受信任的证书

我们建议使用来自企业或公共证书颁发机构的证书，该证书应受连接到服务器的计算机信任。

有关详细信息，请参阅创建新证书和导入现有证书。证书的公用名或主题备用名称必须与用户用于连接到 Web Studio 或 Director 的 FQDN 匹配。如果在服务器前面部署了负载均衡器，请使用负载均衡器的 FQDN。

将证书绑定到端口 443

创建或导入受信任的证书后，将其绑定到 IIS 中的端口 443。您可以在安装之前或之后执行此操作。如果已为端口 443 配置了证书绑定，则安装程序不会进行任何更改。

注意：

默认情况下，Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。如果需要，您可以更改端口号。有关详细信息，请参阅更改默认端口号。

要将证书绑定到端口 443，请执行以下步骤：

1. 以管理员身份登录服务器。

2. 打开 IIS 管理器，然后浏览到 站点 > 默认网站 > 绑定。

3. 如果存在类型为 https 的现有绑定，请将其选中并单击 Edit…。如果不存在 https 绑定，请单击 Add。

   

4. 创建或编辑站点绑定：

   1. 对于新绑定，将类型设置为 https，端口设置为 443。

   2. 选择相应的 SSL 证书。

   3. 在 Windows Server 2022 或更高版本上，可以选择“禁用旧版 TLS”以确保用户只能使用现代 TLS 版本进行连接。

   4. 单击“确定”。

   添加站点绑定(/zh-cn/citrix-virtual-apps-desktops/2411/media/add-site-binding.png)

或者，您可以使用 PowerShell 更改证书。例如，以下脚本会查找具有给定通用名称的证书，并将其绑定到所有 IP 地址、端口 443，并禁用旧版 TLS 版本。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

请注意，appid 是一个任意 GUID，可用于标识是哪个应用程序添加了该证书。

如何使用自签名证书

您可以使用现有的自签名证书，但不建议这样做，因为它需要手动配置访问服务器的每台计算机。

要在需要连接到 Web Studio 的计算机上安装自签名证书，请执行以下操作：

1. 从 Web Studio 和 交付控制器 服务器导出现有自签名证书。
2. 将证书导入到必须访问服务器的计算机的“受信任的根证书”存储中。

（可选）启用 HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 告知 Web 浏览器在访问站点时仅使用 HTTPS。如果用户尝试使用 HTTP 访问 URL，浏览器会自动切换到 HTTPS。此设置可确保客户端和服务器端的安全连接验证。浏览器会在配置的期限内保持此验证。

在 Windows Server 2019 及更高版本上，您可以在 IIS 中配置 HSTS：

1. 打开“Internet 信息服务 (IIS) 管理器”。
2. 选择“默认网站”（或相应的网站）。
3. 在右侧的操作窗格中，选择 HSTS…。
4. 选择启用并输入最大使用期限，例如，一年为 31536000。
5. 选择将 Http 重定向到 Https。

   注意：

   Web Studio 会自动配置一个 URL 重写规则，以便在访问 Studio 网站时将 HTTP 重定向到 HTTPS。但是，此选项也适用于 Director 以及 IIS 站点上的任何其他应用程序。

6. 单击确定。

   

（可选）更改默认端口号

默认情况下，Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。要更改此端口号，请按照以下步骤在 Default Web Site 上为所需端口创建站点绑定。

步骤：

1. 在托管 Web Studio 的服务器上，打开 Internet 信息服务 (IIS) 管理器。

2. 在连接窗格中，展开服务器节点并在站点下选择默认网站。

3. 在右侧的操作窗格中，单击绑定。

   

4. 在站点绑定窗口中，单击添加。

5. 在“添加站点绑定”窗口中，为新绑定设置以下内容：

   1. 类型：选择 https。
   2. IP 地址：选择相应的 IP 地址，如果适用，请保留为“全部未分配”。
   3. 端口：输入所需的端口号（例如，444）。
   4. SSL 证书：选择用于安全通信的相应 SSL 证书。

   注意：

   如果 Delivery Controller™ 和 Web Studio 安装在不同的计算机上，并且服务器没有部署其他服务或网站，则可以删除端口 443。否则，请保留此端口以避免与编排服务和其他 FMA 服务发生通信问题。

6. 单击“确定”保存绑定，然后关闭“站点绑定”窗口。

7. 在“IIS 管理器”中，单击服务器节点，然后在“操作”窗格中，单击“重新启动”以应用新绑定。

（可选）禁用 HTTPS 重定向

安装 Web Studio 时，默认情况下，任何 HTTP 访问都会自动重定向到 HTTPS。可以禁用此重定向以允许 HTTP 访问。仅当您已采取其他措施阻止 HTTP 访问时，才建议采用此方法。如果您在 Web Studio 前面有一个 TLS 终止负载均衡器，仍然建议在负载均衡器和 Web Studio 之间使用 HTTPS。

1. 登录到 Web Studio 服务器。
2. 打开 Internet 信息服务 (IIS) 管理器，然后转到 Server_name > 站点 > 默认网站 > URL 重写。

3. 禁用“重定向到 https”的“入站规则”，如以下屏幕截图所示。

   

如果您在 IIS 中启用了 HSTS，那么您还必须清除 将 Http 重定向到 Https。