設定 HGS 以進行 HTTPS 通訊
根據預設,當您初始化 HGS 伺服器時,它會針對僅限 HTTP 的通訊設定 IIS 網站。 所有傳輸至 HGS 的敏感性資料一律會使用訊息層級加密來加密,不過如果您想要更高的安全性層級,您也可以使用 SSL 憑證設定 HGS 來啟用 HTTPS。
首先,從憑證授權單位單位取得 HGS 的 SSL 憑證。 每部主機電腦都必須信任 SSL 憑證,因此建議您從公司的公開金鑰基礎結構或協力廠商 CA 發行 SSL 憑證。 HGS 支援 IIS 所支援的任何 SSL 憑證,不過憑證上的主體名稱必須符合完整 HGS 服務名稱 (叢集分散式網路名稱)。 例如,如果 HGS 網域是「bastion.local」,而您的 HGS 服務名稱是「hgs」,則您的 SSL 憑證應該針對「hgs.bastion.local」 發出。 如有必要,您可以將其他 DNS 名稱新增至憑證的主體別名欄位。
擁有 SSL 憑證之後,請開啟提升權限的 PowerShelll 工作階段,並在您執行 Set-HgsServer 時提供憑證路徑:
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
或者,如果您已經將憑證安裝到本機憑證存放區,您可以透過指紋來參考它:
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
重要
使用 SSL 憑證設定 HGS 並不會停用 HTTP 端點。 如果您想要只允許使用 HTTPS 端點,請將 Windows 防火牆設定為封鎖連接埠 80 的輸入連線。 請勿修改 HGS 網站的 IIS 繫結,以移除 HTTP 端點; 不支援這樣做。