Configurer SGH pour les communications HTTPS
Par défaut, quand vous initialisez le serveur SGH, il configure les sites web IIS pour les communications HTTP uniquement. Tout le contenu sensible transmis depuis et vers SGH est toujours chiffré à l’aide du chiffrement au niveau du message. Toutefois, si vous souhaitez un niveau de sécurité plus élevé, vous pouvez également activer HTTPS en configurant SGH avec un certificat SSL.
Commencez par obtenir un certificat SSL pour SGH auprès de votre autorité de certification. Chaque machine hôte doit approuver le certificat SSL. Il est donc recommandé d’émettre le certificat SSL à partir de l’infrastructure à clé publique de votre entreprise ou d’une autorité de certification tierce. Tout certificat SSL pris en charge par IIS est pris en charge par SGH. Toutefois, le nom de sujet qui figure sur le certificat doit correspondre au nom complet du service SGH (nom de réseau distribué du cluster). Par exemple, si le domaine SGH est « bastion.local » et si le nom de votre service SGH est « hgs », votre certificat SSL doit être émis pour « hgs.bastion.local ». Vous pouvez ajouter des noms DNS supplémentaires au champ d’autre nom de sujet du certificat, si nécessaire.
Une fois que vous disposez du certificat SSL, ouvrez une session PowerShell avec élévation de privilèges, puis indiquez le chemin du certificat quand vous exécutez Set-HgsServer :
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
Sinon, si vous avez déjà installé le certificat dans le magasin de certificats local, vous pouvez le référencer en fonction de l’empreinte numérique :
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
Important
La configuration de SGH avec un certificat SSL n’entraîne pas la désactivation du point de terminaison HTTP. Si vous souhaitez autoriser uniquement l’utilisation du point de terminaison HTTPS, configurez le Pare-feu Windows pour bloquer les connexions entrantes sur le port 80. Ne modifiez pas les liaisons IIS des sites web SGH pour supprimer le point de terminaison HTTP. Cette opération n’est pas prise en charge.