Konfigurieren von Host-Überwachungsdienst für HTTPS-KommunikationConfigure HGS for HTTPS communications

Gilt für: WindowsServer 2019, WindowsServer (Halbjährlicher Kanal), WindowsServer 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

In der Standardeinstellung beim Initialisieren des HGS-Servers wird die IIS-Websites für die nur für HTTP-Kommunikation konfiguriert.By default, when you initialize the HGS server it will configure the IIS web sites for HTTP-only communications. Alle vertraulichen Materials zum und vom Host-Überwachungsdienst übertragenen sind always encrypted mithilfe von Verschlüsselung auf Nachrichtenebene, aber wenn Sie eine höhere Sicherheitsstufe wünschen Sie auch HTTPS aktivieren können durch Konfigurieren von Host-Überwachungsdienst mit einem SSL-Zertifikat.All sensitive material being transmitted to and from HGS are always encrypted using message-level encryption, however if you desire a higher level of security you can also enable HTTPS by configuring HGS with an SSL certificate.

Rufen Sie zunächst ein SSL-Zertifikat für Host-Überwachungsdienst, von Ihrer Zertifizierungsstelle.First, obtain an SSL certificate for HGS from your certificate authority. Jeden Hostcomputer muss das SSL-Zertifikat vertrauen, daher wird empfohlen, dass Sie das SSL-Zertifikat von Ihres Unternehmens public Key-Infrastruktur oder Drittanbietern Zertifizierungsstelle ausgeben.Each host machine will need to trust the SSL certificate, so it is recommended that you issue the SSL certificate from your company's public key infrastructure or a third party CA. Beliebiges SSL-Zertifikat, das von IIS unterstützt wird jedoch vom Host-Überwachungsdienst bietet unterstützt Name des Antragstellers des Zertifikats muss der vollqualifizierte Name des Host-Überwachungsdienst-Dienst entsprechen (verteilter Netzwerkname Cluster).Any SSL certificate supported by IIS is supported by HGS, however the subject name on the certificate must match the fully qualified HGS service name (cluster distributed network name). Beispielsweise sollte die Host-Überwachungsdienst-Domäne ist "bastion.local" und den Namen des Host-Überwachungsdienst-Diensts ist "Host-Überwachungsdienst", das SSL-Zertifikat für "hgs.bastion.local" ausgegeben werden.For instance, if the HGS domain is "bastion.local" and your HGS service name is "hgs", your SSL certificate should be issued for "hgs.bastion.local". Sie können das Zertifikat der alternative Antragstellername bei Bedarf zusätzliche DNS-Namen hinzufügen.You can add additional DNS names to the certificate's subject alternative name field if necessary.

Nachdem Sie die SSL-Zertifikat, öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten verfügen, und geben Sie entweder den Zertifikatpfad beim Ausführen von Set-HgsServer:Once you have the SSL certificate, open an elevated PowerShelll session and either provide the certificate path when you run Set-HgsServer:

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Oder, wenn Sie das Zertifikat bereits im lokalen Zertifikatspeicher installiert haben, können Sie es durch Fingerabdruck verweisen:Or, if you have already installed the certificate into the local certificate store, you can reference it by thumbprint:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Wichtig

Konfigurieren von Host-Überwachungsdienst mit einem SSL-Zertifikat wird den HTTP-Endpunkt nicht deaktiviert werden.Configuring HGS with an SSL certificate does not disable the HTTP endpoint. Wenn Sie nur die Verwendung von HTTPS-Endpunkt zulassen möchten, konfigurieren Sie Windows-Firewall so, dass eingehende Verbindungen an Port 80 blockiert.If you wish to only allow use of the HTTPS endpoint, configure Windows Firewall to block inbound connections to port 80. Ändern Sie die IIS-Bindungen nicht für Host-Überwachungsdienst Websites So entfernen Sie den HTTP-Endpunkt an; es wird nicht unterstützt. zu diesem Zweck.Do not modify the IIS bindings for HGS websites to remove the HTTP endpoint; it is unsupported to do so.