Bereitstellung von Web Studio sichern (optional)

Wenn Sie Web Studio zusammen mit einem Delivery Controller™ installieren, erstellt das Installationsprogramm ein selbstsigniertes Zertifikat, das an den 443 Port des aktuellen Servers gebunden ist. Web Studio und der Delivery Controller verwenden das Zertifikat als TLS-Zertifikat. Beim Zugriff von einem anderen Computer aus können Sie möglicherweise nicht auf Web Studio zugreifen oder es wird ein Fehler auf dem Web Studio-Anmeldebildschirm angezeigt.

Wenn Sie von einem anderen Computer aus auf Web Studio zugreifen möchten, können Sie Folgendes tun:

1. Exportieren Sie das selbstsignierte Zertifikat vom Delivery Controller.

   

   • Wählen Sie für Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren.

   • Wählen Sie für Exportdateiformat die Option DER-codiertes binäres X.509 (.CER).

2. Gehen Sie zu dem Computer, von dem aus Sie auf Web Studio zugreifen möchten, und installieren Sie dann das Zertifikat.

   

   • Wählen Sie für Speicherort die Option Lokaler Computer.

Wenn Sie Web Studio auf einem dedizierten Server installieren, der sich remote vom Delivery Controller befindet, müssen Sie zwei Aufgaben ausführen:

• Aufgabe 1: Exportieren Sie die Zertifikate vom Web Studio-Server bzw. vom Delivery Controller.

• Aufgabe 2: Installieren Sie die beiden Zertifikate auf dem Computer, von dem aus Sie auf Web Studio zugreifen möchten.

Hinweis:

Als Best Practice empfehlen wir, Ihre Web Studio-Bereitstellung durch die Verwendung eines externen öffentlichen Vertrauenszertifikats oder eines Zertifikats einer Unternehmens-CA zu sichern.

Verwenden eines externen öffentlich vertrauenswürdigen Zertifikats

Sie können ein extern öffentlich vertrauenswürdiges Zertifikat mit einer der folgenden drei Methoden in den Web Studio-Server importieren:

• PFX-Datei installieren.

  1. Doppelklicken Sie auf die PFX-Datei.

  2. Wählen Sie für Speicherort die Option Lokaler Computer.

     

  3. Geben Sie das Kennwort ein, falls erforderlich.

     

  4. Wählen Sie für Zertifikatspeicher die Option Persönlich.

     

• Verwenden der Konsole zum Verwalten von Computerzertifikaten.

  1. Öffnen Sie die Konsole zum Verwalten von Computerzertifikaten und navigieren Sie zu Persönlich > Zertifikate > Alle Aufgaben > Importieren.

     

  2. Wählen Sie die PFX-Datei aus und geben Sie das Kennwort ein, falls erforderlich.

• PowerShell verwenden.

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

Anschließend binden Sie das Zertifikat an den 443 Port. Dies können Sie entweder vor oder nach der Installation oder dem Upgrade tun. Der Installer unternimmt nichts, wenn die Zertifikatsbindung für den 443 Port konfiguriert ist. Weitere Informationen finden Sie unter Vor der Installation oder dem Upgrade.

Verwenden Sie ein Zertifikat einer Unternehmens-CA

Stellen Sie vor dem Start sicher, dass der Server der Unternehmenszertifizierungsstelle (CA) in Ihrer Domäne bereitgestellt ist.

Führen Sie die folgenden Schritte aus, um ein Zertifikat anzufordern:

1. Öffnen Sie auf dem Server die Konsole Computerzertifikate verwalten.

2. Gehen Sie zu Persönlich > Zertifikate > Alle Aufgaben > Neues Zertifikat anfordern.

   

3. Gehen Sie zu Zertifikatregistrierung, wählen Sie den Webserver aus und klicken Sie auf die Warnmeldung, um die erforderlichen Informationen einzugeben.

   

4. Wählen Sie Allgemeiner Name als Typ des Antragstellernamens aus und geben Sie Ihren FQDN oder DNS ein. Geben Sie außerdem den alternativen Namen ein.

   Hinweis:

   Wenn Sie ein Wildcard-Zertifikat benötigen, können Sie CN=*.bvttree.local für den Antragstellernamen und *.bvttree.local and bvttree.local für den alternativen DNS-Namen eingeben.

   

Das Zertifikat ist unter Persönlich > Zertifikate verfügbar.

Sie binden das Zertifikat dann an den 443 Port. Dies können Sie entweder vor oder nach der Installation oder dem Upgrade tun. Der Installer unternimmt nichts, wenn die Zertifikatsbindung für den 443 Port konfiguriert ist.

Vor der Installation oder dem Upgrade

Um das Zertifikat an den 443 Port zu binden, führen Sie die folgenden Schritte aus (vorausgesetzt, die Zertifikatsbindung ist noch nicht für 443 konfiguriert und IIS ist auf dem Server aktiviert):

1. Melden Sie sich als Administrator am Web Studio-Server an.

2. Öffnen Sie den IIS-Manager, navigieren Sie zu Sites > Default Web Site > Bindings.

3. Klicken Sie unter Site Bindings auf Add.

   

4. Legen Sie unter Add Site Binding den Typ auf https und den Port auf 443 fest, wählen Sie das von der CA angeforderte SSL-Zertifikat aus und klicken Sie dann auf OK.

   

Nach der Installation von Web Studio werden Web Studio und der Delivery Controller automatisch so konfiguriert, dass sie das Zertifikat zur Sicherung von Verbindungen verwenden.

Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Nach der Installation oder dem Upgrade

Gehen Sie zum Web Studio-Server und ändern Sie das Zertifikat mit dem IIS-Manager. Alternativ können Sie das Zertifikat mit PowerShell ändern.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Ein neues selbstsigniertes Zertifikat verwenden

Sie können ein neues selbstsigniertes Zertifikat generieren und es verwenden, um das vorhandene zu ersetzen. Führen Sie die folgenden Schritte aus:

1. Melden Sie sich als Administrator am Web Studio-Server an.

2. Öffnen Sie den IIS-Manager, navigieren Sie zu Serverzertifikate, und wählen Sie im Bereich Aktionen die Option Selbstsigniertes Zertifikat erstellen.

   

3. Geben Sie unter Selbstsigniertes Zertifikat erstellen einen Namen für das Zertifikat ein und klicken Sie auf OK. Das selbstsignierte Zertifikat wird dann erstellt.

   

4. Navigieren Sie zu Sites > Default Web Site, wählen Sie im Bereich Aktionen die Option Bindungen, wählen Sie den Eintrag https und dann Bearbeiten.

   

5. Wählen Sie unter Site-Bindung bearbeiten das Zertifikat aus der Liste aus und klicken Sie auf OK.

   

Damit ist die Änderung des Zertifikats abgeschlossen.

Alternativ können Sie das Zertifikat auch mit PowerShell ändern.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->