Product Documentation

使用 SSL 保护端点安全

Oct 12, 2015

本主题介绍了如何使用 SSL 为 Monitor Service OData API 端点提供安全保护。如果选择使用 SSL,则必须在站点内的所有 Delivery Controller 上配置 SSL。不能同时使用 SSL 和非 SSL。

要使用 SSL 为 Monitor Service 端点提供安全保护,必须执行以下配置。有些步骤需要在每个站点一次性完成,其余步骤则须在站点中托管 Monitor Service 的计算机上执行。各步骤的说明如下所述。

第 1 部分:在系统中注册证书

  1. 使用可信证书管理器创建证书。证书必须与您希望用于 OData SSL 的计算机上的端口相关联。
  2. 配置 Monitor Service,以使用此端口进行 SSL 通信。操作步骤取决于您的环境及其与证书结合使用的方式。下例说明了如何配置端口 449:
  • 将证书与某个端口相关联:
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9 appid='{00000000-0000-0000-0000-000000000000}'
    提示:在 PowerShell 命令窗口中,请务必用单引号引起 appID 中的 GUID(如下所示),否则命令将不起作用。请注意,在此示例中添加的换行符只是为了方便阅读。

第 2 部分:修改 Monitor Service 的配置设置

  1. 在站点中的任意 Delivery Controller 上,运行以下 PowerShell 命令一次。此命令解除了 Monitor Service 在 Configuration Service 中的注册状态。
    asnp citrix.* $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid
  2. 在站点中的所有 Controller 上执行以下操作:
    • 使用 cmd 提示符查找已安装的 Citrix Monitor 目录(通常位于 C:\Program Files\Citrix\Monitor\Service 中)。在该目录下,运行:
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • 运行以下 PowerShell 命令:
    asnp citrix.* (if not already run within this window) get-MonitorServiceInstance | register-ConfigServiceInstance Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership