为 HTTPS 通信配置 HGS
默认情况下,在你初始化 HGS 服务器后,HGS 服务器会将 IIS 网站配置为仅用于 HTTP 通信。 传输到 HGS 和从 HGS 传输的所有敏感材料始终使用消息级加密进行加密,但是,如果你需要更高级别的安全性,也可以通过使用 SSL 证书配置 HGS 来启用 HTTPS。
首先,从你的证书颁发机构获取 HGS 的 SSL 证书。 每台主机都需要信任 SSL 证书,因此建议你从公司的公钥基础结构或第三方 CA 颁发 SSL 证书。 IIS 支持的任何 SSL 证书都受 HGS 支持,但是证书上的使用者名称必须与完全限定的 HGS 服务名称(群集分布式网络名称)匹配。 例如,如果 HGS 域是“bastion.local”,而你的 HGS 服务名称是“hgs”,则应为“hgs.bastion.local”颁发 SSL 证书。 如有必要,你可以将其他 DNS 名称添加到证书的“主题备用名称”字段中。
获得 SSL 证书后,打开提升的 PowerShellL 会话,并在运行 Set-HgsServer 时提供证书路径:
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
或者,如果你已将证书安装到本地证书存储中,则可以通过指纹引用该证书:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
重要
使用 SSL 证书配置 HGS 不会禁用 HTTP 终结点。 如果你希望仅允许使用 HTTPS 端点,请将 Windows 防火墙配置为阻止到端口 80 的入站连接。 请勿通过修改 HGS 网站的 IIS 绑定来移除 HTTP 终结点。不支持这样做。