Configurare HGS per le comunicazioni HTTPS
Per impostazione predefinita, quando inizializzi il server HGS, i siti Web IIS verranno configurati per supportare solo comunicazioni HTTP. Tutti i materiali sensibili trasmessi da e verso il servizio Sorveglianza host vengono sempre crittografati usando la crittografia a livello di messaggio. Se tuttavia si vuole un livello di sicurezza superiore, è anche possibile abilitare HTTPS configurando il servizio Sorveglianza host con un certificato SSL.
Prima, ottenere un certificato SSL per HGS dalla vostra autorità di certificazione. Ogni computer host dovrà considerare attendibile il certificato SSL, quindi è consigliabile che il certificato SSL venga rilasciato dall'infrastruttura a chiave pubblica dell'azienda o da un'autorità di certificazione di terze parti. Qualsiasi certificato SSL supportato da IIS è supportato da HGS, tuttavia il nome del soggetto sul certificato deve corrispondere al nome completo del servizio HGS (nome di rete distribuita del cluster). Ad esempio, se il dominio HGS è "bastion.local" e il nome del servizio HGS è "hgs", il certificato SSL deve essere rilasciato per "hgs.bastion.local". Se necessario, è possibile aggiungere altri nomi DNS al campo del nome alternativo del soggetto del certificato.
Dopo aver ottenuto il certificato SSL, aprire una sessione di PowerShelll con privilegi elevati e specificare il percorso del certificato quando si esegue Set-HgsServer:
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
In alternativa, se il certificato è già stato installato nell'archivio certificati locale, è possibile farvi riferimento tramite impronta digitale:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
Importante
La configurazione di HGS con un certificato SSL non disabilita l'endpoint HTTP. Se si vuole consentire solo l'uso dell'endpoint HTTPS, configurare Windows Firewall per bloccare le connessioni in ingresso sulla porta 80. Non modificare le associazioni IIS per i siti Web HGS per rimuovere l'endpoint HTTP; l'operazione non è supportata.