Настройка HGS для обмена данными HTTPS

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

По умолчанию при инициализации сервера HGS он настраивает веб-сайты IIS для обмена данными только по протоколу HTTP. Все конфиденциальные материалы, передаваемые в HGS и из них, всегда шифруются с помощью шифрования на уровне сообщений, однако если требуется более высокий уровень безопасности, вы также можете включить ПРОТОКОЛ HTTPS, настроив HGS с ssl-сертификатом.

Сначала получите SSL-сертификат для HGS из центра сертификации. Каждому хост-компьютеру потребуется доверять SSL-сертификату, поэтому рекомендуется выдавать SSL-сертификат из инфраструктуры открытого ключа вашей компании или стороннего ЦС. Любой SSL-сертификат, поддерживаемый IIS, поддерживается HGS, однако имя субъекта сертификата должно соответствовать полному имени службы HGS (распределенное сетевое имя кластера). Например, если домен HGS — бастион.local, а имя службы HGS — hgs, ssl-сертификат должен быть выдан для hgs.bastion.local. При необходимости можно добавить дополнительные DNS-имена в поле альтернативного имени субъекта сертификата.

После получения SSL-сертификата откройте сеанс PowerShelll с повышенными привилегиями и укажите путь к сертификату при запуске Set-HgsServer:

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Или, если сертификат уже установлен в локальном хранилище сертификатов, вы можете ссылаться на него по отпечатку:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Внимание

Настройка HGS с помощью SSL-сертификата не отключает конечную точку HTTP. Если вы хотите разрешить использовать только конечную точку HTTPS, настройте брандмауэр Windows для блокировки входящих подключений к порту 80. Не изменяйте привязки IIS для веб-сайтов HGS, чтобы удалить конечную точку HTTP. Это не поддерживается.