HTTPS 통신에 대한 HGS 구성

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

기본적으로 HGS 서버를 초기화하면 HTTP 전용 통신에 대한 IIS 웹 사이트가 구성됩니다. HGS와 전송되는 모든 중요한 자료는 항상 메시지 수준 암호화를 사용하여 암호화되지만, 더 높은 수준의 보안을 원하는 경우 SSL 인증서로 HGS를 구성하여 HTTPS를 사용하도록 설정할 수도 있습니다.

먼저 인증 기관에서 HGS에 대한 SSL 인증서를 가져옵니다. 각 호스트 컴퓨터는 SSL 인증서를 신뢰해야 하므로 회사의 공개 키 인프라 또는 타사 CA에서 SSL 인증서를 발급하는 것이 좋습니다. IIS에서 지원하는 모든 SSL 인증서는 HGS에서 지원되지만 인증서의 주체 이름은 정규화된 HGS 서비스 이름 (클러스터 분산 네트워크 이름)과 일치해야 합니다. 예를 들어 HGS가 기본 "bastion.local"이고 HGS 서비스 이름이 "hgs"인 경우 SSL 인증서는 "hgs.bastion.local"에 대해 발급되어야 합니다. 필요한 경우 인증서의 주체 대체 이름 필드에 DNS 이름을 추가할 수 있습니다.

SSL 인증서가 있으면 관리자 권한 PowerShelll 세션을 열고 Set-HgsServer를 실행할 때 인증서 경로를 제공합니다.

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

또는 로컬 인증서 저장소에 인증서를 이미 설치한 경우 지문으로 참조할 수 있습니다.

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

Important

SSL 인증서를 사용하여 HGS를 구성해도 HTTP 엔드포인트가 비활성화되지는 않습니다. HTTPS 엔드포인트만 사용하도록 허용하려면 포트 80에 대한 인바운드 연결을 차단하도록 Windows 방화벽을 구성합니다. HGS 웹 사이트에 대한 IIS 바인딩을 수정하여 HTTP 엔드포인트를 제거하지 마세요. 이렇게 하는 것은 지원되지 않습니다.