产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

在 Web Studio 和 Director 上启用 TLS

April 8, 2026
投稿者: 
C C

我们建议始终通过启用 HTTPS 来使用 TLS 保护与 Web Studio 和 Director 的连接。本文介绍了如何配置 Web Studio 和 Director 以使用受信任的证书并确保通过 HTTPS 进行安全访问。

默认行为

安装 Web Studio 时,安装程序会创建自签名证书并将其绑定到当前服务器上的端口 443。您可以通过 Web 浏览器在本地服务器上通过 HTTPS 访问 Web Studio 和 Director。

但是,如果您尝试通过 HTTPS 从其他计算机访问 Web Studio 或 Director,浏览器会显示安全错误,因为它不信任该证书。

注意:

如果您在未安装 Web Studio 的情况下安装 Director,安装程序不会创建自签名证书。

启用通过 HTTPS 的安全访问

要允许从 Web Studio 服务器以外的计算机通过 HTTPS 访问 Web Studio 或 Director,请执行以下步骤:

  1. 创建或导入受信任的证书

  2. 在 IIS 中将证书绑定到端口 443

  3. (可选) 启用 HTTP 严格传输安全 (HSTS)

  4. 如果 Web Studio 未配置为代理(客户端计算机连接到 Web Studio 和 Delivery Controller),请在 Delivery Controller 上启用 TLS

注意:

不建议使用自签名证书,因为它需要在每台计算机上进行手动配置。有关详细信息,请参阅使用自签名证书

创建或导入受信任的证书

我们建议使用来自企业或公共证书颁发机构的证书,该证书应受连接到服务器的计算机信任。

有关详细信息,请参阅创建新证书导入现有证书。证书的公用名或主题备用名称必须与用户用于连接 Web Studio 或 Director 的 FQDN 匹配。如果在服务器前面部署了负载均衡器,请使用负载均衡器的 FQDN。

将证书绑定到端口 443

创建或导入受信任的证书后,请在 IIS 中将其绑定到端口 443。您可以在安装之前或之后执行此操作。如果已为端口 443 配置证书绑定,则安装程序不会进行任何更改。

注意:

默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。如果需要,您可以更改端口号。有关详细信息,请参阅更改默认端口号

要将证书绑定到端口 443,请执行以下步骤:

  1. 以管理员身份登录到服务器。

  2. 打开 IIS 管理器,然后导航到 “站点”>“默认网站”>“绑定”

  3. 如果存在类型为 https 的现有绑定,请将其选中,然后单击“编辑…”。如果不存在 https 绑定,请单击“添加”

突出显示如何打开站点绑定的屏幕截图

  1. 创建或编辑站点绑定:

    1. 对于新绑定,将类型设置为 https,将端口设置为 443

    2. 选择相应的 SSL 证书。

    3. 在 Windows Server 2022 或更高版本上,可以选择“禁用旧版 TLS”以确保用户只能使用现代 TLS 版本进行连接。

    4. 单击“确定”

添加站点绑定

或者,您可以使用 PowerShell 更改证书。例如,以下脚本查找具有给定公用名的证书,并将其绑定到所有 IP 地址、端口 443,并禁用旧版 TLS 版本。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

请注意,appid 是一个任意 GUID,可用于标识哪个应用程序添加了该证书。

使用自签名证书

您可以使用现有的自签名证书,但不建议这样做,因为它需要手动配置访问服务器的每台计算机。

要在需要连接到 Web Studio 的计算机上安装自签名证书,请执行以下操作:

  1. 从 Web Studio 和 Delivery Controller 服务器导出现有自签名证书。
  2. 将证书导入到必须访问服务器的计算机的“受信任的根证书”存储中。

(可选) 启用 HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 告知 Web 浏览器在访问站点时仅使用 HTTPS。如果用户尝试使用 HTTP 访问 URL,浏览器会自动切换到 HTTPS。此设置可确保在客户端和服务器端进行安全的连接验证。浏览器会在配置的期限内保持此验证。

在 Windows Server 2019 及更高版本上,您可以在 IIS 中配置 HSTS:

  1. 打开 “Internet Information Services (IIS) 管理器”
  2. 选择“默认网站”(或相应的网站)。
  3. 在右侧的“操作”窗格中,选择 “HSTS…”
  4. 选择“启用”并输入最大使用期限,例如 31536000(一年)。
  5. 选择“将 Http 重定向到 Https”

    注意:

    访问 Studio 网站时,Web Studio 会自动配置 URL 重写规则以将 HTTP 重定向到 HTTPS。但是,此选项也适用于 Director 和 IIS 站点上的任何其他应用程序。

  6. 单击“确定”

HSTS 设置的屏幕截图

(可选) 更改默认端口号

默认情况下,Web Studio 和 Director 使用端口 443 进行安全的 HTTPS 访问。要更改此端口号,请按照以下步骤为“默认网站”上的所需端口创建站点绑定。

步骤:

  1. 在托管 Web Studio 的服务器上,打开 “Internet Information Services (IIS) 管理器”

  2. “连接”窗格中,展开服务器节点,然后在“站点”下选择“默认网站”

  3. 在右侧的“操作”窗格中,单击“绑定”

  4. “站点绑定”窗口中,单击“添加”

  5. “添加站点绑定”窗口中,为新绑定设置以下内容:

    1. 类型:选择 https
    2. IP 地址:选择相应的 IP 地址,如果适用,则保留为“全部未分配”
    3. 端口:输入所需的端口号(例如 444)。
    4. SSL 证书:选择用于安全通信的相应 SSL 证书。

    注意:

    如果 Delivery Controller™ 和 Web Studio 安装在不同的计算机上,并且服务器没有部署其他服务或网站,则可以删除端口 443。否则,请保留此端口以避免与 Orchestration 服务和其他 FMA 服务出现通信问题。

  6. 单击“确定”以保存绑定,然后关闭“站点绑定”窗口。

  7. IIS 管理器中,单击服务器节点,然后在“操作”窗格中,单击“重新启动”以应用新绑定。

(可选) 禁用 HTTPS 重定向

安装 Web Studio 时,默认情况下,任何 HTTP 访问都会自动重定向到 HTTPS。可以禁用此重定向以允许 HTTP 访问。仅当您已采取其他措施来阻止 HTTP 访问时,才建议采用此方法。如果您在 Web Studio 前面有一个 TLS 终止负载均衡器,则仍建议在负载均衡器和 Web Studio 之间使用 HTTPS。

  1. 登录到 Web Studio 服务器。

  2. 打开 “Internet Information Services (IIS) 管理器”,然后转到 Server_name >“站点”>“默认网站”>“URL 重写”

  3. 禁用入站规则中的重定向到 https,如以下屏幕截图所示。

    禁用 HTTPS 重定向

如果您已在 IIS 中启用 HSTS,则还必须清除将 Http 重定向到 Https

在 Web Studio 和 Director 上启用 TLS
April 8, 2026
投稿者: 
C C
April 8, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.