Citrix Virtual Apps and Desktops

Proteger uma implantação do Web Studio (opcional)

Quando você instala o Web Studio junto com um Delivery Controller, o instalador cria um certificado autoassinado vinculado à porta 443 do servidor atual. O Web Studio e o Delivery Controller usarão o certificado como um certificado TLS. Ao acessar de uma máquina diferente, talvez você não consiga acessar o Web Studio ou talvez veja um erro na tela de logon do Web Studio.

Se quiser acessar o Web Studio de uma máquina diferente, você pode fazer o seguinte:

  1. Exporte o certificado autoassinado do Delivery Controller.

    Exportar certificado autoassinado

    • Em Exportar chave privada, selecione No, do not export the private key.

    • Em Export File Format, selecione DER encoded binary X.509 (.CER).

  2. Vá até a máquina em que você deseja acessar o Web Studio e instale o certificado.

    Instalar certificado

    • Em Store Location, selecione Local Machine.

Se você optar por instalar o Web Studio em um servidor dedicado remoto do Delivery Controller, precisará executar duas tarefas:

  • Tarefa 1: Exportar os certificados do servidor Web Studio e do Delivery Controller, respectivamente.

  • Tarefa 2: Instalar os dois certificados na máquina em que deseja acessar o Web Studio.

Nota:

Como uma boa prática, recomendamos que você proteja sua implantação do Web Studio usando um certificado público confiável externo ou uma CA corporativa.

Use um certificado público confiável externo

Você pode importar um certificado público confiável externo para o servidor Web Studio usando qualquer um dos três métodos a seguir:

  • Instale o arquivo PFX.

    1. Clique duas vezes no arquivo PFX.

    2. Em Store Location, selecione Local Machine.

      Assistente de importação de certificados

    3. Digite a senha, se necessário.

      Proteção de chaves

    4. Em Certificate Store, selecione Personal.

      Repositório de certificados

  • Use o console Gerenciar certificados de computador.

    1. Abra o console Gerenciar certificados de computador e acesse Pessoal > Certificados > Todas as tarefas > Importar.

      Console Gerenciar certificados de computador

    2. Selecione o arquivo PFX e digite a senha, se necessário.

  • Use o PowerShell.

     Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
     <!--NeedCopy-->
    

Em seguida, você associa o certificado à porta 443. Você pode fazer isso antes da instalação ou atualização ou depois da instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443. Para obter mais informações, consulte Antes da instalação ou atualização.

Usar um certificado de uma CA corporativa

Antes de começar, certifique-se de ter o servidor da Autoridade de Certificação (CA) corporativa implantado em seu domínio.

Para solicitar um certificado, execute as seguintes etapas:

  1. No servidor, abra o console Gerenciar certificados de computador.

  2. Vá para Pessoal > Certificados > Todas as tarefas > Solicitar novo certificado.

    Solicitar novo certificado

  3. Vá para Registro de certificado, selecione o Servidor Web e clique na mensagem de aviso para preencher as informações necessárias.

    Registro de certificado

  4. Selecione Nome comum como o tipo de nome do assunto e insira seu FQDN ou DNS. Insira também o nome alternativo.

    Nota:

    Se você precisar de um certificado curinga, poderá inserir CN=*.bvttree.local no nome do assunto e *.bvttree.local and bvttree.local no nome DNS alternativo.

    Propriedades do certificado

O certificado está disponível em Pessoal > Certificados.

Pessoal > Certificados

Em seguida, você associa o certificado à porta 443. Você pode fazer isso antes da instalação ou atualização ou depois da instalação ou atualização. O instalador não faz nada se a vinculação do certificado estiver configurada para a porta 443.

Antes da instalação ou atualização

Para vincular o certificado à porta 443, execute as seguintes etapas (desde que a vinculação do certificado ainda não esteja configurada em 443 e o IIS esteja habilitado no servidor):

  1. Faça login no servidor do Web Studio como administrador.

  2. Abra o Gerenciador do IIS e navegue até Sites > Site padrão > Ligações.

  3. Em Ligações de sites, clique em Adicionar.

    Ligações de sites 2

  4. Em Adicionar vinculação do site, defina o tipo como https e a porta como 443, selecione o certificado SSL que você solicitou da CA e clique em OK.

    Adicionar vinculação do site

Depois de instalar o Web Studio, o Web Studio e o Delivery Controller são configurados automaticamente para usar o certificado para proteger as conexões.

Como alternativa, você pode alterar o certificado usando o PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

Depois da instalação ou atualização

Vá para o servidor do Web Studio e altere o certificado usando o Gerenciador do IIS. Como alternativa, você pode alterar o certificado usando o PowerShell.

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

Usar um novo certificado autoassinado

Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente. Execute as seguintes etapas:

  1. Faça login no servidor do Web Studio como administrador.

  2. Abra o Gerenciador do IIS, navegue até Certificados de Servidor e selecione Criar Certificado Autoassinado no painel Actions.

    Certificados de servidor

  3. Em Criar Certificado Autoassinado, insira um nome para o certificado e clique em OK. O certificado autoassinado é criado.

    Criar um certificado autoassinado

  4. Navegue até Sites > Default Web Site, selecione Bindings no painel Actions, selecione a entrada https e selecione Edit.

    Ligações do site

  5. Em Editar Ligação do Site, selecione o certificado na lista e clique em OK.

    Editar ligação do site

Isso conclui a alteração do certificado.

Como alternativa, você pode alterar o certificado usando o PowerShell.

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->
Proteger uma implantação do Web Studio (opcional)