Configurar o HGS para comunicações HTTPS
Por padrão, quando você inicializa o servidor HGS, ele configurará os sites do IIS para comunicações somente HTTP. Todo o material sensível transmitido de e para o HGS é sempre encriptado usando encriptação ao nível da mensagem, no entanto, se desejar um nível mais elevado de segurança, também pode ativar o HTTPS configurando o HGS com um certificado SSL.
Primeiro, obtenha um certificado SSL para HGS da sua autoridade de certificação. Cada máquina host precisará confiar no certificado SSL, portanto, é recomendável que você emita o certificado SSL da infraestrutura de chave pública da sua empresa ou de uma CA de terceiros. Qualquer certificado SSL suportado pelo IIS é suportado pelo HGS, no entanto, o nome do assunto no certificado deve corresponder ao nome de serviço HGS totalmente qualificado (nome da rede distribuída do cluster). Por exemplo, se o domínio HGS for "bastion.local" e o seu nome de serviço HGS for "hgs", o seu certificado SSL deve ser emitido para "hgs.bastion.local". Você pode adicionar nomes DNS adicionais ao campo de nome alternativo da entidade do certificado, se necessário.
Depois de obter o certificado SSL, abra uma sessão PowerShell elevada e forneça o caminho do certificado quando executar Set-HgsServer:
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Ou, se você já tiver instalado o certificado no armazenamento de certificados local, poderá consultá-lo por impressão digital:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
Importante
Configurar o HGS com um certificado SSL não desativa o endpoint HTTP. Se desejar permitir apenas o uso do ponto de extremidade HTTPS, configure o Firewall do Windows para bloquear conexões de entrada com a porta 80. Não modifique as ligações do IIS para sites HGS para remover o ponto de extremidade HTTP; não é suportado fazer isso.