ICA-Dateisignierung
StoreFront bietet die Option, ICA-Dateien digital zu signieren, damit die Versionen der Citrix Workspace-App, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einer vertrauenswürdigen Quelle stammt. Wenn die Dateisignierung in StoreFront aktiviert ist, wird die beim Starten einer Anwendung durch einen Benutzer generierte ICA-Datei mit einem Zertifikat aus dem persönlichen Zertifikatspeicher des StoreFront-Servers signiert. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird. Die digitale Signatur wird von Clients, die dieses Feature nicht unterstützen oder nicht für die ICA-Dateisignierung konfiguriert sind, ignoriert. Wenn die Signierung fehlschlägt, wird die ICA-Datei ohne digitale Signatur generiert und an die Citrix Workspace-App gesendet. Anhand der Konfiguration wird daraufhin bestimmt, ob die unsignierte Datei akzeptiert wird.
Damit die ICA-Dateisignierung im Zusammenhang mit StoreFront verwendet werden kann, müssen die Zertifikate den privaten Schlüssel enthalten und im zulässigen Gültigkeitszeitraum liegen. Wenn das Zertifikat eine Schlüsselnutzungserweiterung enthält, muss der Schlüssel für die digitalen Signaturen verwendet werden. Falls eine erweiterte Schlüsselnutzungserweiterung enthalten ist, muss dafür Codesignierung oder Serverauthentifizierung festgelegt worden sein.
Citrix empfiehlt bei ICA-Dateisignierung, ein Codesignierungs- oder SSL-Signierungszertifikat von einer öffentlichen Zertifizierungsstelle oder von der privaten Zertifizierungsstelle Ihrer Organisation zu verwenden. Wenn es Ihnen nicht möglich ist, ein geeignetes Zertifikat von einer Zertifizierungsstelle zu beziehen, können Sie entweder ein vorhandenes SSL-Zertifikat (z. B. ein Serverzertifikat) verwenden oder ein neues Zertifikat von der Stammzertifizierungsstelle erstellen und an die Benutzergeräte verteilen.
ICA-Dateisignierung ist in Stores standardmäßig deaktiviert. Zum Aktivieren der ICA-Dateisignierung bearbeiten Sie die Storekonfigurationsdatei und führen Windows PowerShell-Befehle aus. Weitere Informationen zum Aktivieren der ICA-Dateisignierung in der Citrix Workspace-App für Windows finden Sie unter ICA-Dateisignierung.
Hinweis:
Die StoreFront- und PowerShell-Konsolen können nicht gleichzeitig geöffnet sein. Schließen Sie immer zuerst die StoreFront-Verwaltungskonsole, bevor Sie die PowerShell-Konsole zum Verwalten der StoreFront-Konfiguration öffnen. Schließen Sie gleichermaßen immer alle Instanzen von PowerShell, bevor Sie die StoreFront-Konsole öffnen.
-
Stellen Sie sicher, dass das Zertifikat, das Sie zum Signieren von ICA-Dateien verwenden möchten, im Citrix Delivery Services-Zertifikatspeicher auf dem StoreFront-Server verfügbar ist und nicht im Zertifikatspeicher des aktuellen Benutzers.
-
Signieren mit dem PowerShell-Cmdlet
Set-STFStoreServiceaktivieren:$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] <!--NeedCopy-->Dabei ist certificatethumbprint der Digest (bzw. Fingerabdruck) der vom Hashalgorithmus generierten Zertifikatdaten.
Wenn Sie einen anderen Hashalgorithmus als SHA-1 verwenden möchten, fügen Sie den Parameter -IcaFileSigningHashAlgorithm hinzu und setzen Sie den Wert nach Bedarf auf sha256, sha384 oder sha512.