Produktdokumentation
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

StoreFront mit HTTPS schützen

April 17, 2024
Beitrag von: 
C

Citrix empfiehlt dringend, die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPS zu schützen. Dadurch werden Kennwörter und andere Daten, die zwischen dem Client und StoreFront gesendet werden, verschlüsselt. Zudem können einfache HTTP-Verbindungen durch verschiedene Angriffe beeinträchtigt werden, z. B. durch Man-in-the-Middle-Angriffe, insbesondere wenn Verbindungen von unsicheren Orten wie öffentlichen Wi-Fi-Hotspots aus hergestellt werden. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für die Kommunikation.

Abhängig von Ihrer Konfiguration greifen die Benutzer über ein Gateway oder einen Load Balancer auf StoreFront zu. Sie können die HTTPS-Verbindung am Gateway oder Load Balancer beenden. In diesem Fall empfiehlt Citrix dennoch, die Verbindungen zwischen dem Gateway und StoreFront mit HTTPS zu schützen.

Wenn StoreFront nicht für HTTPS konfiguriert ist, wird die folgende Warnung angezeigt:

Statuswarnung "Dienst verwendet HTTP statt HTTPS"

Zertifikate erstellen

  • Stellen Sie sicher, dass für den Zugriff auf StoreFront verwendeten FQDNs im DNS-Feld als alternativer Antragstellernamen enthalten sind. Wenn Sie einen Load Balancer verwenden, geben Sie sowohl den FQDN des Servers als auch den Load Balancer-FQDN an.

  • Unterzeichnen Sie das Zertifikat mit einer Drittanbieterzertifizierungsstelle, z. B. Verisign, oder einer Unternehmensstammzertifizierungsstelle für Ihre Organisation.

  • Exportieren Sie das Zertifikat im PFX-Format einschließlich des privaten Schlüssels.

IIS für HTTPS konfigurieren

Konfigurieren von Microsoft Internetinformationsdienste (IIS) für HTTPS auf dem StoreFront-Server:

  1. Öffnen Sie die IIS-Verwaltungskonsole.

  2. Wählen Sie in der Baumstrukturansicht links den Server aus.

  3. Doppelklicken Sie im rechten Bereich auf Serverzertifikate.

    Screenshot der IIS-Verwaltungskonsole mit hervorgehobener Option "Serverzertifikate"

  4. Im Fenster “Serverzertifikate” können Sie ein vorhandenes Zertifikat importieren oder ein neues Zertifikat erstellen.

    Screenshot der IIS-Verwaltungskonsole mit Fenster "Serverzertifikate" und hervorgehobener Option "Importieren"

  5. Wählen Sie in der Baumstrukturansicht auf der linken Seite die Option Standardwebsite (oder die entsprechende Website).

  6. Klicken Sie im Aktionsbereich auf Bindungen.

    Screenshot des IIS-Fensters "Standardwebsite" mit hervorgehobenem Bindungs-Link

  7. Klicken Sie im Bindungsfenster auf Hinzufügen.

  8. Wählen Sie in der Dropdownliste Typ die Option https.

  9. Wählen Sie das zuvor importierte Zertifikat aus. Klicken Sie auf OK.

    Screenshot des Fensters "Website-Bindung hinzufügen"

  10. Um den HTTP-Zugriff zu entfernen, wählen Sie HTTP und klicken Sie auf Entfernen.

    Screenshot des Fensters "Website-Bindungen"

Ändern der Basis-URL des StoreFront-Servers von HTTP in HTTPS

Wenn Sie Citrix StoreFront installieren und konfigurieren, ohne zuvor ein SSL-Zertifikat zu installieren und zu konfigurieren, verwendet StoreFront HTTP für die Kommunikation.

Wenn Sie später ein SSL-Zertifikat installieren und konfigurieren, verwenden Sie das folgende Verfahren, um sicherzustellen, dass StoreFront und StoreFront-Dienste HTTPS-Verbindungen verwenden.

  1. Klicken Sie in der Citrix StoreFront-Verwaltungskonsole links auf Servergruppe.
  2. Klicken Sie im Aktionsbereich auf Basis-URL ändern.

  3. Aktualisieren Sie die Basis-URL, um https: zu starten, und klicken Sie auf OK.

    Screenshot des Basis-URL-Fensters

HSTS

Das Clientgerät des Benutzers ist anfällig, auch wenn Sie HTTPS auf der Serverseite aktiviert haben. Ein Man-in-the-Middle-Angreifer könnte beispielsweise den StoreFront-Server fälschen und den Benutzer dazu verleiten, über einfaches HTTP eine Verbindung zum Spoof-Server herzustellen. Die Angreifer könnten dann Zugriff auf vertrauliche Informationen wie die Anmeldeinformationen des Benutzers erhalten. Die Lösung besteht darin, sicherzustellen, dass der Browser des Benutzers nicht versucht, über HTTP auf den RfWeb-Server zuzugreifen. Sie können dies mit HTTP Strict Transport Security (HSTS) erreichen.

Wenn HSTS aktiviert ist, teilt der Server den Webbrowsern mit, dass Anfragen an die Website immer nur über HTTPS gestellt werden sollten. Wenn ein Benutzer versucht, über HTTP auf die URL zuzugreifen, wechselt der Browser automatisch zur Verwendung von HTTPS. Dies gewährleistet die clientseitige Validierung einer sicheren Verbindung sowie die serverseitige Validierung in IIS. Der Webbrowser behält diese Validierung für einen konfigurierten Zeitraum bei.

Auf Windows Server 2019 und höher:

  1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
  2. Wählen Sie Standardwebsite (oder die entsprechende Website).
  3. Klicken Sie im Aktionsbereich auf der rechten Seite auf HSTS…
  4. Aktivieren Sie das Kontrollkästchen für Aktivieren, geben Sie eine Höchstdauer ein (z. B. 31536000 für ein Jahr), und aktivieren Sie HTTP auf HTTPS umleiten.
  5. Klicken Sie auf OK.

Screenshot der HSTS-Einstellung

Hinweis:

Die Aktivierung von HSTS wirkt sich auf alle Websites einer Domäne aus. Wenn die Website beispielsweise unter https://www.company.com/Citrix/StoreWeb aufgerufen werden kann, gilt die HSTS-Richtlinie für alle Websites unter https://www.company.com, was möglicherweise nicht erwünscht ist.

StoreFront mit HTTPS schützen
April 17, 2024
Beitrag von: 
C
April 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.