Konfigurieren von StoreFront mit Konfigurationsdateien

In diesem Artikel werden zusätzliche Konfigurationsaufgaben beschrieben, die nicht mit der Citrix StoreFront-Verwaltungskonsole ausgeführt werden können.

Wichtig:

Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

Aktivieren der ICA-Dateisignierung

StoreFront bietet die Option, ICA-Dateien digital zu signieren, damit die Versionen der Citrix Workspace-App, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einer vertrauenswürdigen Quelle stammt. Wenn die Dateisignierung in StoreFront aktiviert ist, wird die beim Starten einer Anwendung durch einen Benutzer generierte ICA-Datei mit einem Zertifikat aus dem persönlichen Zertifikatspeicher des StoreFront-Servers signiert. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird. Die digitale Signatur wird von Clients, die dieses Feature nicht unterstützen oder nicht für die ICA-Dateisignierung konfiguriert sind, ignoriert. Wenn die Signierung fehlschlägt, wird die ICA-Datei ohne digitale Signatur generiert und an Citrix Receiver gesendet. Anhand der Konfiguration wird daraufhin bestimmt, ob die unsignierte Datei akzeptiert wird.

Damit die ICA-Dateisignierung im Zusammenhang mit StoreFront verwendet werden kann, müssen die Zertifikate den privaten Schlüssel enthalten und im zulässigen Gültigkeitszeitraum liegen. Wenn das Zertifikat eine Schlüsselnutzungserweiterung enthält, muss der Schlüssel für die digitalen Signaturen verwendet werden. Falls eine erweiterte Schlüsselnutzungserweiterung enthalten ist, muss dafür Codesignierung oder Serverauthentifizierung festgelegt worden sein.

Citrix empfiehlt bei ICA-Dateisignierung, ein Codesignierungs- oder SSL-Signierungszertifikat von einer öffentlichen Zertifizierungsstelle oder von der privaten Zertifizierungsstelle Ihrer Organisation zu verwenden. Wenn es Ihnen nicht möglich ist, ein geeignetes Zertifikat von einer Zertifizierungsstelle zu beziehen, können Sie entweder ein vorhandenes SSL-Zertifikat (z. B. ein Serverzertifikat) verwenden oder ein neues Zertifikat von der Stammzertifizierungsstelle erstellen und an die Benutzergeräte verteilen.

ICA-Dateisignierung ist in Stores standardmäßig deaktiviert. Zum Aktivieren der ICA-Dateisignierung bearbeiten Sie die Storekonfigurationsdatei und führen Windows PowerShell-Befehle aus. Informationen zum Aktivieren der ICA-Dateisignierung in der Citrix Workspace-App finden Sie unter ICA-Dateisignierung: Schutz vor dem Starten von Anwendungen oder Desktops von nicht vertrauenswürdigen Servern.

Hinweis:

Die StoreFront- und PowerShell-Konsolen können nicht gleichzeitig geöffnet sein. Schließen Sie immer zuerst die StoreFront-Verwaltungskonsole, bevor Sie die PowerShell-Konsole zum Verwalten der StoreFront-Konfiguration öffnen. Schließen Sie gleichermaßen immer alle Instanzen von PowerShell, bevor Sie die StoreFront-Konsole öffnen.

  1. Stellen Sie sicher, dass das Zertifikat, das Sie zum Signieren von ICA-Dateien verwenden möchten, im Citrix Delivery Services-Zertifikatspeicher auf dem StoreFront-Server verfügbar ist und nicht im Zertifikatspeicher des aktuellen Benutzers.

  2. Öffnen Sie die Datei web.config für den Store mit einem Texteditor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei “storename” für den Namen steht, der beim Erstellen des Stores angegeben wurde.

  3. Suchen Sie den folgenden Abschnitt in der Datei.

    <certificateManager>
        <certificates>
            <clear />
            <add ... />
            ...
        </certificates>
    </certificateManager>
    
  4. Fügen Sie die Details des Zertifikats hinzu, das zum Signieren verwendet werden soll.

    <certificateManager>
        <certificates>
            <clear />
            <add id="certificateid" thumb="certificatethumbprint" />
            <add ... />
        ...
        </certificates>
    </certificateManager>
    

    Wobei certificateid ein Wert ist, mit dem Sie das Zertifikat in der Storekonfigurationsdatei identifizieren können, und certificatethumbprintdie Übersicht (oder der Fingerabdruck) der vom Hashalgorithmus erzeugten Zertifikatdaten.

  5. Suchen Sie das folgende Element in der Datei.

    <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" />
    
  6. Ändern Sie den Wert des aktivierten Attributs in “True”, um die ICA-Dateisignierung für den Store zu aktivieren. Legen Sie als Wert des Attributs certificateId die ID fest, mit der Sie das Zertifikat identifizieren möchten, d. h. certificateid in Schritt 4.

  7. Wenn Sie einen anderen Hashalgorithmus als SHA-1 verwenden möchten, setzen Sie den Wert des Attributs “hashAgorithm” nach Bedarf auf sha256, sha384 oder sha512.

  8. Starten Sie Windows PowerShell von einem Konto mit lokalen Administratorrechten und geben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit der Store auf den privaten Schlüssel zugreifen kann.

    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
      $certificate = Get-DSCertificate "certificatethumbprint"
    Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName "IIS APPPOOL\Citrix Delivery Services Resources"
    

    Dabei ist “certificatethumbprint” der Digest der vom Hashalgorithmus generierten Zertifikatdaten.

Deaktivieren der Dateitypzuordnung

Standardmäßig ist die Dateitypzuordnung in Stores aktiviert, damit Inhalte nahtlos an die abonnierten Anwendungen der Benutzer umgeleitet werden, wenn sie lokale Dateien der entsprechenden Typen öffnen. Bearbeiten Sie die Storekonfigurationsdatei, um die Dateitypzuordnung zu deaktivieren.

  1. Öffnen Sie die Datei web.config für den Store mit einem Texteditor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\, wobei “storename” für den Namen steht, der beim Erstellen des Stores angegeben wurde.

  2. Suchen Sie das folgende Element in der Datei.

    <farmset ... enableFileTypeAssociation="on" ... >
    
  3. Ändern Sie den Wert des Attributs “enableFileTypeAssociation” in “off”, um die Dateitypzuordnung für den Store zu deaktivieren.

Anpassen des Anmeldedialogfelds der Citrix Workspace-App

Wenn sich Benutzer der Citrix Workspace-App an einem Store anmelden, wird standardmäßig kein Titeltext im Anmeldedialogfeld angezeigt. Sie können den Standardtext “Melden Sie sich an” anzeigen oder eine eigene benutzerdefinierte Meldung. Um den Titeltext im Citrix Workspace-App-Anmeldedialogfeld anzuzeigen und anzupassen, bearbeiten Sie die Dateien für den Authentifizierungsdienst.

  1. Öffnen Sie die Datei UsernamePassword.tfrm für den Authentifizierungsdienst mit einem Texteditor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\.

  2. Suchen Sie die folgenden Zeilen in der Datei.

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
    
  3. Heben Sie die Auskommentierung auf für die Anweisung auf, indem Sie an Anfang und Ende @* entfernen und am Ende *@.

    @Heading("ExplicitAuth:AuthenticateHeadingText")
    

    Citrix Workspace-App-Benutzern wird der Titeltext “Melden Sie sich an” oder die entsprechende lokalisierte Version dieses Texts angezeigt, wenn sie sich an Stores anmelden, die diesen Authentifizierungsdienst verwenden.

  4. Um den Titeltext zu ändern, öffnen Sie mit einem Texteditor die Datei ExplicitFormsCommon.xx.resx für den Authentifizierungsdienst (normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\).

  5. Suchen Sie die folgenden Elemente in der Datei. Bearbeiten Sie den vom <value>-Element umschlossenen Text, um den Titeltext zu ändern, der Benutzern im Citrix Workspace-App-Anmeldedialogfeld angezeigt wird, wenn sie auf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.

    <data name="AuthenticateHeadingText" xml:space="preserve">
        <value>My Company Name</value>
    </data>
    

    Um den Titeltext des Anmeldedialogfelds für Benutzer mit einem anderen Gebietsschema zu ändern, bearbeiten Sie die lokalisierten Dateien ExplicitAuth.languagecode.resx, wobei languagecode die Gebietsschema-ID ist.

Deaktivieren der Zwischenspeicherung von Kennwörtern und Benutzernamen in der Citrix Workspace-App für Windows

Standardmäßig speichert die Citrix Workspace-App für Windows die Kennwörter von Benutzern, wenn sie sich bei StoreFront-Stores anmelden. Sie können verhindern, dass die Citrix Workspace-App bzw. Citrix Receiver für Windows (jedoch nicht Citrix Receiver für Windows Enterprise) die Kennwörter von Benutzern zwischenspeichert, indem Sie die Dateien für den Authentifizierungsdienst ändern.

  1. Verwenden Sie einen Texteditor, um die Dateiinetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrm zu öffnen.

  2. Suchen Sie die folgende Zeile in der Datei.

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
    
  3. Kommentieren Sie die Anweisung wie unten gezeigt.

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
    

    Die Benutzer müssen ihre Kennwörter jedes Mal eingeben, wenn sie sich bei einem Store mit diesem Authentifizierungsdienst anmelden. Diese Einstellung gilt nicht für Citrix Receiver für Windows Enterprise.

Warnung:

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Standardmäßig verwendete Citrix Receiver für Windows automatisch den zuletzt eingegebenen Benutzernamen. Um das Einfügen des Benutzernamen in das entsprechende Feld zu unterdrücken, bearbeiten Sie die Registrierung auf dem Benutzergerät:

  1. Erstellen Sie einen REG_SZ-Wert unter HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Geben Sie als Wert “ false” an.