Configurare il servizio Sorveglianza host per le comunicazioni HTTPS
Per impostazione predefinita, quando si inizializza il server del servizio Sorveglianza host (HGS), verranno configurati i siti Web IIS per le comunicazioni solo HTTP. Tutti i materiali sensibili trasmessi da e verso il servizio Sorveglianza host vengono sempre crittografati usando la crittografia a livello di messaggio. Se tuttavia si vuole un livello di sicurezza superiore, è anche possibile abilitare HTTPS configurando il servizio Sorveglianza host con un certificato SSL.
Ottenere prima di tutto un certificato SSL per il servizio Sorveglianza host dall'autorità di certificazione. Ogni computer host dovrà considerare attendibile il certificato SSL, quindi è consigliabile che il certificato SSL venga rilasciato dall'infrastruttura a chiave pubblica dell'azienda o da un'autorità di certificazione di terze parti. Qualsiasi certificato SSL supportato da IIS è supportato dal servizio Sorveglianza host, ma il nome del soggetto nel certificato deve corrispondere al nome completo del servizio Sorveglianza host (nome di rete distribuita del cluster). Ad esempio, se il dominio del servizio Sorveglianza host è "bastion.local" e il nome del servizio Sorveglianza host è "hgs", il certificato SSL deve essere rilasciato per "hgs.bastion.local". Se necessario, è possibile aggiungere altri nomi DNS al campo del nome alternativo del soggetto del certificato.
Dopo aver ottenuto il certificato SSL, aprire una sessione di PowerShelll con privilegi elevati e specificare il percorso del certificato quando si esegue Set-HgsServer:
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
In alternativa, se il certificato è già stato installato nell'archivio certificati locale, è possibile farvi riferimento tramite identificazione personale:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
Importante
La configurazione del servizio Sorveglianza host con un certificato SSL non disabilita l'endpoint HTTP. Se si vuole consentire solo l'uso dell'endpoint HTTPS, configurare Windows Firewall per bloccare le connessioni in ingresso sulla porta 80. Non modificare le associazioni IIS per i siti Web del servizio Sorveglianza host per rimuovere l'endpoint HTTP. Questa operazione non è supportata.