Konfigurieren des Host-Überwachungsdiensts für die HTTPS-Kommunikation

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Wenn Sie den Server des Host-Überwachungsdiensts (Host Guardian Service, HGS) initialisieren, konfiguriert der Server die IIS-Website standardmäßig nur für die HTTP-Kommunikation. Alle vertraulichen Materialien, die an den und vom HGS übertragen werden, werden immer mit der Verschlüsselung auf Nachrichtenebene verschlüsselt. Wenn Sie mehr Sicherheit wünschen, können Sie auch HTTPS aktivieren, indem Sie den HGS mit einem SSL-Zertifikat konfigurieren.

Rufen Sie zunächst ein SSL-Zertifikat für den HGS von Ihrer Zertifizierungsstelle ab. Jeder Hostcomputer muss dem SSL-Zertifikat vertrauen, daher wird empfohlen, das SSL-Zertifikat aus der Infrastruktur für öffentliche Schlüssel Ihres Unternehmens oder von einer Drittanbieter-Zertifizierungsstelle auszustellen. Jedes von IIS unterstützte SSL-Zertifikat wird auch vom HGS unterstützt, allerdings muss der Antragstellername des Zertifikats mit dem vollqualifizierten HGS-Dienstnamen (dem verteilten Netzwerknamen des Clusters) übereinstimmen. Wenn die HGS-Domäne beispielsweise „bastion.local“ und der HGS-Dienstname „hgs“ lautet, muss das SSL-Zertifikat für „hgs.bastion.local“ ausgestellt werden. Sie können bei Bedarf zusätzliche DNS-Namen zum Feld „Alternativer Antragstellername“ des Zertifikats hinzufügen.

Wenn Sie das SSL-Zertifikat haben, öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten und geben Sie den Zertifikatpfad an, wenn Sie Set-HgsServer ausführen:

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

Alternativ dazu können Sie per Fingerabdruck auf das Zertifikat verweisen, wenn Sie es bereits im lokalen Zertifikatspeicher installiert haben:

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Wichtig

Durch Konfigurieren des Host-Überwachungsdiensts mit einem SSL-Zertifikat wird der HTTP-Endpunkt nicht deaktiviert. Wenn Sie nur die Verwendung des HTTPS-Endpunkts zulassen möchten, konfigurieren Sie Windows Firewall so, dass eingehende Verbindungen mit Port 80 blockiert werden. Ändern Sie nicht die IIS-Bindungen für HGS-Websites, um den HTTP-Endpunkt zu entfernen; dies wird nicht unterstützt.