Configurar o HGS para comunicações HTTPS

Por padrão, ao inicializar o servidor HGS, ele configura os sites do IIS para comunicações somente HTTP. Todos os materiais confidenciais que estão sendo transmitidos de e para o HGS são sempre criptografados usando criptografia no nível de mensagem, no entanto, se desejar um nível mais alto de segurança, também poderá habilitar o HTTPS configurando o HGS com um certificado SSL.

Primeiro, obtenha um certificado SSL para o HGS da autoridade de certificação. Cada computador host precisará confiar no certificado SSL, portanto, é recomendável emitir o certificado SSL da infraestrutura de chave pública da sua empresa ou de uma AC de terceiros. Qualquer certificado SSL com suporte no IIS tem suporte do HGS, no entanto, o nome da entidade no certificado deve corresponder ao nome do serviço do HGS totalmente qualificado (nome da rede distribuída do cluster). Por exemplo, se o domínio do HGS for "bastion.local" e o nome do serviço do HGS for "hgs", o certificado SSL deverá ser emitido para "hgs.bastion.local". Adicione nomes DNS adicionais ao campo de nome alternativo da entidade do certificado, se necessário.

Depois de ter o certificado SSL, abra uma sessão elevada do PowerShelll e forneça o caminho do certificado ao executar Set-HgsServer:

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Ou, se o certificado já foi estalado no repositório de certificados local, poderá referenciá-lo por impressão digital:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Importante

Configurar o HGS com um certificado SSL não desabilita o ponto de extremidade HTTP. Caso queira permitir apenas o uso do ponto de extremidade HTTPS, configure o Firewall do Windows para bloquear conexões de entrada com a porta 80. Não modifique as associações do IIS para sites do HGS para remover o ponto de extremidade HTTP, não há suporte para isso.