Product Documentation

使用 TLS 保护端点安全

Feb 23, 2016

本文档介绍了如何使用 TLS 为 Monitor Service OData API 端点提供安全保护。 如果选择使用 TLS,则必须在站点内的所有 Delivery Controller 上配置 TLS。不能同时使用 TLS 和非 TLS。

要使用 TLS 为 Monitor Service 端点提供安全保护,必须执行以下配置。 有些步骤需要在每个站点一次性完成,其余步骤则须在站点中托管 Monitor Service 的计算机上执行。 各步骤的说明如下所述。

第 1 部分:在系统中注册证书

  1. 使用可信证书管理器创建证书。 证书必须与您希望用于 OData TLS 的计算机上的端口相关联。
  2. 配置 Monitor Service,以使用此端口进行 TLS 通信。 操作步骤取决于您的环境及其与证书结合使用的方式。 下例说明了如何配置端口 449:
  • 将证书与某个端口相关联:
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9  appid='{00000000-0000-0000-0000-000000000000}'
    提示:在 PowerShell 命令窗口中,请务必用单引号引起 appID 中的 GUID(如下所示),否则命令将不起作用。 请注意,在此示例中添加的换行符只是为了方便阅读。

第 2 部分:修改 Monitor Service 的配置设置

  1. 在站点中的任意 Delivery Controller 上,运行以下 PowerShell 命令一次。 此命令解除了 Monitor Service 在 Configuration Service 中的注册状态。
    asnp citrix.*   $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid   remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid 
  2. 在站点中的所有 Controller 上执行以下操作:
    • 使用 cmd 提示符查找已安装的 Citrix Monitor 目录(通常位于 C:\Program Files\Citrix\Monitor\Service 中)。 在该目录下,运行:
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • 运行以下 PowerShell 命令:
    asnp citrix.*  (if not already run within this window)  get-MonitorServiceInstance | register-ConfigServiceInstance   Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership