HGS を HTTPS 通信用に構成する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

HGS サーバーを初期化すると、既定で、IIS Web サイトは HTTP のみで通信用するよう構成されます。 HGS との間で送受信される機密材料はすべて、常にメッセージ レベルの暗号化を使用して暗号化されます。ただし、より高いレベルのセキュリティが必要な場合は、HGS に SSL 証明書を構成して HTTPS を有効にできます。

まず、証明機関から HGS 用の SSL 証明書を取得します。 各ホスト マシンが SSL 証明書を信頼する必要があるので、会社の公開キー インフラストラクチャまたはサード パーティ CA から SSL 証明書を発行することが推奨されます。 IIS でサポートされている SSL 証明書はすべて HGS でサポートされています。ただし、証明書のサブジェクト名が完全修飾された HGS のサービス名 (クラスター分散ネットワーク名) と一致している必要があります。 たとえば、HGS ドメインが "bastion.local" で、HGS のサービス名が "hgs" である場合は、"hgs.bastion.local" に対して SSL 証明書が発行される必要があります。 必要に応じて、証明書のサブジェクトの別名フィールドに追加の DNS 名を追加できます。

SSL 証明書を取得したら、管理者特権の PowerShelll セッションを開き、Set-HgsServer を実行するときに証明書のパスを指定します。

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

または、証明書をローカル証明書ストアに既にインストールしている場合は、サムプリントで参照できます。

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

重要

HGS に SSL 証明書を構成しても、HTTP エンドポイントは無効になりません。 HTTPS エンドポイントの使用のみを許可する場合は、ポート 80 への受信接続をブロックするよう Windows ファイアウォールを構成します。 HTTP エンドポイントを削除するために、HGS Web サイトの IIS バインドを変更しないでください。これは、サポートされていません。