产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

在 Web Studio 和 Director 上启用 TLS

March 25, 2026
投稿者: 
C C

建议始终通过启用 HTTPS 来使用 TLS 保护与 Web Studio 和 Director 的连接。本文介绍如何配置 Web Studio 和 Director 以使用受信任的证书,并确保通过 HTTPS 进行安全访问。

默认行为

安装 Web Studio 时,安装程序会创建一个自签名证书,并将其绑定到当前服务器上的端口 443。您可以通过 Web 浏览器在本地服务器上通过 HTTPS 访问 Web Studio 和 Director。

但是,如果您尝试从另一台计算机通过 HTTPS 访问 Web Studio 或 Director,浏览器会显示安全错误,因为它不信任该证书。

注意:

如果您在未安装 Web Studio 的情况下安装 Director,安装程序不会创建自签名证书。

通过 HTTPS 启用安全访问

要允许从 Web Studio 服务器以外的计算机通过 HTTPS 访问 Web Studio 或 Director,请按照以下步骤操作:

  1. 创建或导入受信任的证书

  2. 在 IIS 中将证书绑定到端口 443

  3. (可选)启用 HTTP 严格传输安全 (HSTS)

  4. 如果 Web Studio 未配置为代理(客户端计算机连接到 Web Studio 和 Delivery Controller),请在 Delivery Controller 上启用 TLS

注意:

不建议使用自签名证书,因为它需要在每台计算机上进行手动配置。有关详细信息,请参阅使用自签名证书

创建或导入受信任的证书

建议使用来自企业或公共证书颁发机构的证书,该证书受到连接到服务器的计算机的信任。

有关详细信息,请参阅创建新证书导入现有证书。证书的公用名或主题备用名称必须与用户用于连接 Web Studio 或 Director 的 FQDN 匹配。如果在服务器前面部署了负载均衡器,请使用负载均衡器的 FQDN。

将证书绑定到端口 443

创建或导入受信任的证书后,将其绑定到 IIS 中的端口 443。您可以在安装之前或之后执行此操作。如果已为端口 443 配置了证书绑定,则安装程序不会进行任何更改。

注意:

默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。如果需要,可以更改端口号。有关详细信息,请参阅更改默认端口号

要将证书绑定到端口 443,请按照以下步骤操作:

  1. 以管理员身份登录到服务器。

  2. 打开 IIS 管理器,并导航到 “站点”>“默认网站”>“绑定”

  3. 如果存在类型为 https 的现有绑定,则选择它并单击“编辑…”。如果没有 https 绑定,则单击“添加”

    突出显示如何打开站点绑定的屏幕截图

  4. 创建或编辑站点绑定:

    1. 对于新绑定,将类型设置为 https,并将端口设置为 443

    2. 选择相应的 SSL 证书。

    3. 在 Windows Server 2022 或更高版本上,(可选)选择“禁用旧版 TLS”以确保用户只能使用现代 TLS 版本进行连接。

    4. 单击“确定”

    添加站点绑定

或者,您可以使用 PowerShell 更改证书。例如,以下脚本会查找具有给定公用名的证书,并将其绑定到所有 IP 地址、端口 443,并禁用旧版 TLS 版本。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

请注意,appid 是一个任意 GUID,可用于标识哪个应用程序添加了证书。

使用自签名证书

您可以使用现有的自签名证书,但不建议这样做,因为它需要在每台访问服务器的计算机上进行手动配置。

要在需要连接到 Web Studio 的计算机上安装自签名证书,请执行以下操作:

  1. 从 Web Studio 和 Delivery Controller 服务器导出现有自签名证书。
  2. 将证书导入到必须访问服务器的计算机的“受信任的根证书”存储中。

(可选)启用 HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 告知 Web 浏览器在访问站点时仅使用 HTTPS。如果用户尝试使用 HTTP 访问 URL,浏览器会自动切换到 HTTPS。此设置可确保客户端和服务器端的安全连接验证。浏览器会在配置的期限内保持此验证。

在 Windows Server 2019 及更高版本上,您可以在 IIS 中配置 HSTS:

  1. 打开 “Internet 信息服务 (IIS) 管理器”
  2. 选择“默认网站”(或相应的网站)。
  3. 在右侧的“操作”窗格中,选择 “HSTS…”
  4. 选择“启用”并输入最大期限,例如 31536000(一年)。
  5. 选择“将 Http 重定向到 Https”

    注意:

    Web Studio 会自动配置 URL 重写规则,以在访问 Studio 网站时将 HTTP 重定向到 HTTPS。但是,此选项也适用于 Director 和 IIS 站点上的任何其他应用程序。

  6. 单击“确定”

    HSTS 设置的屏幕截图

(可选)更改默认端口号

默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。要更改此端口号,请按照以下步骤为“默认网站”上的所需端口创建站点绑定。

步骤:

  1. 在托管 Web Studio 的服务器上,打开 “Internet 信息服务 (IIS) 管理器”

  2. “连接”窗格中,展开服务器节点,并在“站点”下选择“默认网站”

  3. 在右侧的“操作”窗格中,单击“绑定”

  4. “站点绑定”窗口中,单击“添加”

  5. 在“添加站点绑定”窗口中,为新绑定设置以下内容:

    1. 类型:选择 https
    2. IP 地址:选择相应的 IP 地址,或者,如果适用,保留为“全部未分配”。
    3. 端口:输入所需的端口号(例如,444)。
    4. SSL 证书:选择用于安全通信的相应 SSL 证书。

    注意:

    如果 Delivery Controller™ 和 Web Studio 安装在不同的计算机上,并且服务器没有部署其他服务或网站,则可以删除端口 443。否则,请保留此端口以避免与 Orchestration 服务和其他 FMA 服务出现通信问题。

  6. 单击“确定”以保存绑定,然后关闭“站点绑定”窗口。

  7. IIS 管理器中,单击服务器节点,然后在“操作”窗格中,单击“重新启动”以应用新绑定。

(可选)禁用 HTTPS 重定向

默认情况下,安装 Web Studio 后,任何 HTTP 访问都会自动重定向到 HTTPS。可以禁用此重定向以允许 HTTP 访问。仅当已采取其他措施阻止 HTTP 访问时,才建议采用此方法。如果在 Web Studio 前部署了 TLS 终止负载平衡器,仍然建议在负载平衡器和 Web Studio 之间使用 HTTPS。

  1. 登录到 Web Studio 服务器。
  2. 打开 Internet 信息服务 (IIS) 管理器,然后导航到 服务器名称 > 站点 > 默认网站 > URL 重写

  3. 禁用入站规则中的重定向到 https,如下图所示。

    禁用 HTTPS 重定向

如果已在 IIS 中启用 HSTS,则还必须清除将 Http 重定向到 Https

在 Web Studio 和 Director 上启用 TLS
March 25, 2026
投稿者: 
C C
March 25, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.