Web Studio-Bereitstellung sichern (optional)
Wenn Sie Web Studio zusammen mit einem Delivery Controller installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat, das an den Port 443
des aktuellen Servers gebunden ist. Web Studio und der Delivery Controller verwenden das Zertifikat als TLS-Zertifikat. Von einer anderen Maschine aus ist möglicherweise kein Zugriff auf Web Studio möglich, oder es wird ein Fehler auf dem Web Studio-Anmeldebildschirm angezeigt.
Um von einer anderen Maschine aus auf Web Studio zuzugreifen, können Sie Folgendes tun:
-
Exportieren Sie das selbstsignierte Zertifikat aus dem Delivery Controller.
-
Wählen Sie unter Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.
-
Wählen Sie als Format der zu exportierenden Datei die Option DER-codiert-binär X.509 (.CER).
-
-
Installieren Sie das Zertifikat auf der Maschine, auf der Sie auf Web Studio zugreifen möchten.
- Wählen Sie als Speicherort die Option Lokale Maschine.
Um Web Studio auf einem dedizierten Server zu installieren, der an einem anderen Standort als der Delivery Controller ist, müssen Sie zwei Aufgaben ausführen:
-
Aufgabe 1: Exportieren Sie das Zertifikat vom Web Studio-Server und vom Delivery Controller.
-
Aufgabe 2: Installieren Sie beide Zertifikate auf der Maschine, auf der Sie auf Web Studio zugreifen möchten.
Hinweis:
Als bewährte Methode empfehlen wir, die Web Studio-Bereitstellung mit einem externen, öffentlich vertrauenswürdigen Zertifikat oder einem Zertifikat einer Zertifizierungsstelle des Unternehmens zu sichern.
Externes, öffentlich vertrauenswürdiges Zertifikat verwenden
Sie können ein externes, öffentlich vertrauenswürdiges Zertifikat mit einer der folgenden drei Methoden in den Web Studio-Server importieren:
-
Installieren Sie die PFX-Datei.
-
Doppelklicken Sie auf die PFX-Datei.
-
Wählen Sie als Speicherort die Option Lokale Maschine.
-
Geben Sie das Kennwort ein, falls erforderlich.
-
Wählen Sie für den Zertifikatspeicher die Option Persönlich.
-
-
Verwenden Sie die Konsole “Computerzertifikate verwalten”.
-
Öffnen Sie die Konsole “Computerzertifikate verwalten” und wählen Sie Persönlich > Zertifikate > Alle Aufgaben > Importieren.
-
Wählen Sie die PFX-Datei aus und geben Sie bei Bedarf das Kennwort ein.
-
-
Verwenden Sie PowerShell.
Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
Binden Sie dann das Zertifikat an den Port 443
. Sie können diesen Schritt vor oder nach der Installation oder dem Upgrade durchführen. Das Installationsprogramm unternimmt nichts, wenn die Zertifikatsbindung für den Port 443
konfiguriert ist. Weitere Informationen finden Sie unter Vor der Installation oder dem Upgrade.
Zertifikat einer Zertifizierungsstelle des Unternehmens verwenden
Stellen Sie zunächst sicher, dass der Server der unternehmenseigenen Zertifizierungsstelle in Ihrer Domäne bereitgestellt ist.
Gehen Sie wie folgt vor, um ein Zertifikat anzufordern:
-
Öffnen Sie auf dem Server die Konsole “Computerzertifikate verwalten”.
-
Gehen Sie zu Persönlich > Zertifikate > Alle Aufgaben > Neues Zertifikat anfordern.
-
Gehen Sie zu Zertifikatregistrierung, wählen Sie den Webserver aus und klicken Sie auf die Warnmeldung, um die erforderlichen Informationen einzugeben.
-
Wählen Sie als Antragstellernamenstyp Allgemeiner Name und geben Sie Ihren FQDN oder DNS ein. Geben Sie außerdem den alternativen Namen ein.
Hinweis:
Wenn Sie ein Platzhalterzertifikat benötigen, können Sie
CN=*.bvttree.local
als Antragstellernamen und*.bvttree.local and bvttree.local
als alternativen DNS-Namen eingeben.
Das Zertifikat ist unter Persönlich > Zertifikate verfügbar.
Binden Sie dann das Zertifikat an den Port 443
. Sie können diesen Schritt vor oder nach der Installation oder dem Upgrade durchführen. Das Installationsprogramm unternimmt nichts, wenn die Zertifikatsbindung für den Port 443
konfiguriert ist.
Vor der Installation oder dem Upgrade
Führen Sie folgende Schritte aus, um das Zertifikat an den Port 443
zu binden (sofern die Zertifikatsbindung noch nicht für 443
konfiguriert ist und der IIS auf dem Server aktiviert ist):
-
Melden Sie sich als Administrator am Web Studio-Server an.
-
Öffnen Sie den IIS-Manager und navigieren Sie zu Sites > Standardwebsite > Bindungen.
-
Klicken Sie unter Sitebindungen auf Hinzufügen.
-
Legen Sie unter Sitebindung hinzufügen den Typ
https
und den Port 443 fest, wählen Sie das SSL-Zertifikat aus, das Sie von der Zertifizierungsstelle angefordert haben, und klicken Sie auf OK.
Nach der Installation von Web Studio werden Web Studio und Delivery Controller automatisch so konfiguriert, dass sie das Zertifikat zur Sicherung von Verbindungen verwenden.
Alternativ können Sie das Zertifikat mit PowerShell ändern.
$certSName = 'CN=whpdevddc0.bvttree.local' # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
Nach der Installation oder dem Upgrade
Navigieren Sie zum Web Studio-Server und ändern Sie das Zertifikat mit dem IIS-Manager. Alternativ können Sie das Zertifikat mit PowerShell ändern.
$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
Neues selbstsigniertes Zertifikat verwenden
Sie können ein neues selbstsigniertes Zertifikat generieren und anstelle des vorhandenen Zertifikats verwenden. Gehen Sie wie folgt vor:
-
Melden Sie sich als Administrator am Web Studio-Server an.
-
Öffnen Sie den IIS-Manager, suchen Sie nach Serverzertifikaten und wählen Sie im Aktionsbereich die Option Privates Zertifikat erstellen.
-
Geben Sie unter Privates Zertifikat erstellen einen Namen für das Zertifikat ein und klicken Sie auf OK. Das selbstsignierte Zertifikat wird dann erstellt.
-
Navigieren Sie zu Sites > Standardwebsite, wählen Sie im Aktionsbereich die Option Bindungen, wählen Sie den Eintrag
https
und dann Bearbeiten. -
Wählen Sie unter Sitebindung bearbeiten das Zertifikat aus der Liste aus und klicken Sie auf OK.
Damit ist der Wechsel des Zertifikats abgeschlossen.
Alternativ können Sie das Zertifikat mit PowerShell ändern.
$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5
## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue
## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root"
## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)