Web Studio-Bereitstellung sichern (optional)

Wenn Sie Web Studio zusammen mit einem Delivery Controller installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat, das an den Port 443 des aktuellen Servers gebunden ist. Web Studio und der Delivery Controller verwenden das Zertifikat als TLS-Zertifikat. Von einer anderen Maschine aus ist möglicherweise kein Zugriff auf Web Studio möglich, oder es wird ein Fehler auf dem Web Studio-Anmeldebildschirm angezeigt.

Um von einer anderen Maschine aus auf Web Studio zuzugreifen, können Sie Folgendes tun:

  1. Exportieren Sie das selbstsignierte Zertifikat aus dem Delivery Controller.

    Selbstsigniertes Zertifikat exportieren

    • Wählen Sie unter Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.

    • Wählen Sie als Format der zu exportierenden Datei die Option DER-codiert-binär X.509 (.CER).

  2. Installieren Sie das Zertifikat auf der Maschine, auf der Sie auf Web Studio zugreifen möchten.

    Zertifikat installieren

    • Wählen Sie als Speicherort die Option Lokale Maschine.

Um Web Studio auf einem dedizierten Server zu installieren, der an einem anderen Standort als der Delivery Controller ist, müssen Sie zwei Aufgaben ausführen:

  • Aufgabe 1: Exportieren Sie das Zertifikat vom Web Studio-Server und vom Delivery Controller.

  • Aufgabe 2: Installieren Sie beide Zertifikate auf der Maschine, auf der Sie auf Web Studio zugreifen möchten.

Hinweis:

Als bewährte Methode empfehlen wir, die Web Studio-Bereitstellung mit einem externen, öffentlich vertrauenswürdigen Zertifikat oder einem Zertifikat einer Zertifizierungsstelle des Unternehmens zu sichern.

Externes, öffentlich vertrauenswürdiges Zertifikat verwenden

Sie können ein externes, öffentlich vertrauenswürdiges Zertifikat mit einer der folgenden drei Methoden in den Web Studio-Server importieren:

  • Installieren Sie die PFX-Datei.

    1. Doppelklicken Sie auf die PFX-Datei.

    2. Wählen Sie als Speicherort die Option Lokale Maschine.

      Assistent für Zertifikatimport

    3. Geben Sie das Kennwort ein, falls erforderlich.

      Schlüsselschutz

    4. Wählen Sie für den Zertifikatspeicher die Option Persönlich.

      Zertifikatspeicher

  • Verwenden Sie die Konsole “Computerzertifikate verwalten”.

    1. Öffnen Sie die Konsole “Computerzertifikate verwalten” und wählen Sie Persönlich > Zertifikate > Alle Aufgaben > Importieren.

      Konsole "Computerzertifikate verwalten"

    2. Wählen Sie die PFX-Datei aus und geben Sie bei Bedarf das Kennwort ein.

  • Verwenden Sie PowerShell.

    Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx

Binden Sie dann das Zertifikat an den Port 443. Sie können diesen Schritt vor oder nach der Installation oder dem Upgrade durchführen. Das Installationsprogramm unternimmt nichts, wenn die Zertifikatsbindung für den Port 443 konfiguriert ist. Weitere Informationen finden Sie unter Vor der Installation oder dem Upgrade.

Zertifikat einer Zertifizierungsstelle des Unternehmens verwenden

Stellen Sie zunächst sicher, dass der Server der unternehmenseigenen Zertifizierungsstelle in Ihrer Domäne bereitgestellt ist.

Gehen Sie wie folgt vor, um ein Zertifikat anzufordern:

  1. Öffnen Sie auf dem Server die Konsole “Computerzertifikate verwalten”.

  2. Gehen Sie zu Persönlich > Zertifikate > Alle Aufgaben > Neues Zertifikat anfordern.

    Neues Zertifikat anfordern

  3. Gehen Sie zu Zertifikatregistrierung, wählen Sie den Webserver aus und klicken Sie auf die Warnmeldung, um die erforderlichen Informationen einzugeben.

    Zertifikatregistrierung

  4. Wählen Sie als Antragstellernamenstyp Allgemeiner Name und geben Sie Ihren FQDN oder DNS ein. Geben Sie außerdem den alternativen Namen ein.

    Hinweis:

    Wenn Sie ein Platzhalterzertifikat benötigen, können Sie CN=*.bvttree.local als Antragstellernamen und *.bvttree.local and bvttree.local als alternativen DNS-Namen eingeben.

    Zertifikateigenschaften

Das Zertifikat ist unter Persönlich > Zertifikate verfügbar.

Persönlich > Zertifikate

Binden Sie dann das Zertifikat an den Port 443. Sie können diesen Schritt vor oder nach der Installation oder dem Upgrade durchführen. Das Installationsprogramm unternimmt nichts, wenn die Zertifikatsbindung für den Port 443 konfiguriert ist.

Vor der Installation oder dem Upgrade

Führen Sie folgende Schritte aus, um das Zertifikat an den Port 443 zu binden (sofern die Zertifikatsbindung noch nicht für 443 konfiguriert ist und der IIS auf dem Server aktiviert ist):

  1. Melden Sie sich als Administrator am Web Studio-Server an.

  2. Öffnen Sie den IIS-Manager und navigieren Sie zu Sites > Standardwebsite > Bindungen.

  3. Klicken Sie unter Sitebindungen auf Hinzufügen.

    Sitebindungen 2

  4. Legen Sie unter Sitebindung hinzufügen den Typ https und den Port 443 fest, wählen Sie das SSL-Zertifikat aus, das Sie von der Zertifizierungsstelle angefordert haben, und klicken Sie auf OK.

    Sitebindung hinzufügen

Nach der Installation von Web Studio werden Web Studio und Delivery Controller automatisch so konfiguriert, dass sie das Zertifikat zur Sicherung von Verbindungen verwenden.

Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local' # The subject name of the certificate $certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName} netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"

Nach der Installation oder dem Upgrade

Navigieren Sie zum Web Studio-Server und ändern Sie das Zertifikat mit dem IIS-Manager. Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject. $certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName} netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)

Neues selbstsigniertes Zertifikat verwenden

Sie können ein neues selbstsigniertes Zertifikat generieren und anstelle des vorhandenen Zertifikats verwenden. Gehen Sie wie folgt vor:

  1. Melden Sie sich als Administrator am Web Studio-Server an.

  2. Öffnen Sie den IIS-Manager, suchen Sie nach Serverzertifikaten und wählen Sie im Aktionsbereich die Option Privates Zertifikat erstellen.

    Serverzertifikate

  3. Geben Sie unter Privates Zertifikat erstellen einen Namen für das Zertifikat ein und klicken Sie auf OK. Das selbstsignierte Zertifikat wird dann erstellt.

    Selbstsigniertes Zertifikat erstellen

  4. Navigieren Sie zu Sites > Standardwebsite, wählen Sie im Aktionsbereich die Option Bindungen, wählen Sie den Eintrag https und dann Bearbeiten.

    Sitebindungen

  5. Wählen Sie unter Sitebindung bearbeiten das Zertifikat aus der Liste aus und klicken Sie auf OK.

    Sitebindung bearbeiten

Damit ist der Wechsel des Zertifikats abgeschlossen.

Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server. $frindlyName = "Self-Signed-3" $expireYears = 5 ## new self-signed certificate under LocalMachine\My $certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears)) Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue ## Import this certificate into LocalMachine\Root to let this OS trust this certificate Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root" ## Update bind the 0.0.0.0:443 with this certificate Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)