Protege StoreFront con HTTPS
Citrix recomienda encarecidamente proteger las comunicaciones entre StoreFront y los dispositivos de los usuarios mediante HTTPS. Esto garantiza que las contraseñas y otros datos enviados entre el cliente y StoreFront estén cifrados. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques de intermediario (man-in-the-middle), especialmente cuando las conexiones se realizan desde ubicaciones inseguras como puntos de acceso Wi-Fi públicos. Si no se configura IIS correctamente, StoreFront utiliza HTTP para las comunicaciones.
Según tu configuración, los usuarios pueden acceder a StoreFront a través de una puerta de enlace o un equilibrador de carga. Puedes finalizar la conexión HTTPS en la puerta de enlace o en el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando que tengas conexiones seguras entre la puerta de enlace y StoreFront mediante HTTPS. Si utilizas un equilibrador de carga NetScaler, para conocer los requisitos de los certificados, consulta el enlace Matriz de compatibilidad de certificados de servidor en el dispositivo ADC.
Si StoreFront no está configurado para HTTPS, muestra la siguiente advertencia:
Crea o importa un certificado
-
Asegúrate de que el FQDN de la URL base utilizada para acceder a StoreFront esté incluido en el campo DNS como Nombre alternativo del sujeto (SAN). Cuando utilizas un equilibrador de carga delante de tus servidores StoreFront, la URL base es el FQDN del equilibrador de carga, no el FQDN del servidor StoreFront. La opción Crear certificado de dominio… en IIS no establece el SAN, por lo que no debe usarse.
-
Firma el certificado utilizando una CA de terceros como Verisign o una CA raíz empresarial de tu organización.
-
Si utilizas una autoridad de certificación interna y los dispositivos se conectan directamente al servidor StoreFront, debes asegurarte de instalar el certificado raíz en esos dispositivos. Si los usuarios acceden a StoreFront a través de un equilibrador de carga o una puerta de enlace, el certificado raíz solo necesita instalarse en ese equilibrador de carga o puerta de enlace.
Crea un certificado usando la Autoridad de certificación de Windows
Si tienes un servidor de Servicios de certificados de Active Directory en tu dominio, puedes usarlo para crear certificados desde tu servidor StoreFront o desde otro equipo del dominio.
-
Pulsa Inicio y en el campo de búsqueda escribe Administrar certificados de equipo.
-
Expande Personal > Certificados.
-
Haz clic con el botón derecho en Certificados y en el menú elige Todas las tareas > Solicitar nuevo certificado.
-
En la pantalla Seleccionar directiva de inscripción de certificados, elige Directiva de inscripción de Active Directory.
-
Elige la plantilla Servidor web exportable, u otra plantilla adecuada.
-
Haz clic en Se requiere más información para inscribir este certificado. Haz clic aquí para configurar los ajustes.
-
En la pantalla Propiedades del certificado:
- En Nombre del sujeto, elige Nombre común e introduce el FQDN.
- En Nombre alternativo, elige DNS e introduce el FQDN.
- Opcionalmente, ve a la pestaña General e introduce un nombre descriptivo.
- Pulsa Aceptar.
-
Pulsa Inscribir.
Si creaste el certificado en tu servidor StoreFront, ahora está disponible para usarlo en IIS. Si lo creaste en otra máquina, debes exportarlo e importarlo al servidor StoreFront.
Importa un certificado existente
Puedes importar un certificado creado en otro sistema. El certificado debe estar en formato PFX y contener la clave privada.
-
Abre la consola del Administrador de Internet Information Services (IIS).
-
En la vista de árbol de la izquierda, selecciona el servidor.
-
En el panel derecho, haz doble clic en Certificados de servidor.
-
Desde la pantalla Certificados de servidor, pulsa Importar… y elige un archivo de certificado.
Configura IIS para HTTPS
Para configurar Microsoft Internet Information Services (IIS) para HTTPS en el servidor StoreFront:
-
En la vista de árbol de la izquierda, selecciona Sitio web predeterminado (o el sitio web apropiado).
-
En el panel Acciones, haz clic en Enlaces…
-
En la ventana de enlaces, haz clic en Agregar…
-
En el menú desplegable Tipo, selecciona https.
-
En Windows Server 2022 o superior, haz clic en Deshabilitar TLS heredado para deshabilitar las versiones de TLS anteriores a la 1.2.
En versiones anteriores de Windows Server, puedes deshabilitar las versiones de TLS heredadas utilizando la configuración del registro de Windows; consulta la Documentación de Windows Server.
-
Selecciona el certificado importado previamente. Pulsa Aceptar.
-
Para quitar el acceso HTTP, selecciona HTTP y haz clic en Quitar.
Cambia la URL base del servidor StoreFront de HTTP a HTTPS
Si instalas y configuras Citrix StoreFront sin antes instalar y configurar un certificado SSL, StoreFront utiliza HTTP para las comunicaciones.
Si instalas y configuras un certificado SSL más tarde, utiliza el siguiente procedimiento para asegurarte de que StoreFront y sus servicios utilicen conexiones HTTPS.
- En la consola de administración de Citrix StoreFront, en el panel izquierdo, selecciona Grupo de servidores.
- En el panel Acciones, selecciona Cambiar URL base.
-
Actualiza la URL base para que comience con
https:y haz clic en Aceptar.
HSTS
El dispositivo cliente del usuario es vulnerable incluso después de habilitar HTTPS en el lado del servidor. Por ejemplo, un atacante de intermediario podría suplantar el servidor StoreFront y engañar al usuario para que se conecte al servidor falso a través de HTTP simple. Luego, podrían obtener acceso a información confidencial, como las credenciales del usuario. La solución es asegurarse de que el navegador del usuario no intente acceder al servidor a través de HTTP. Puedes lograr esto con la Seguridad de transporte estricta HTTP (HSTS).
Cuando HSTS está habilitado, el servidor indica a los navegadores web que las solicitudes al sitio web solo deben realizarse a través de HTTPS. Si un usuario intenta acceder a la URL utilizando HTTP, el navegador cambiará automáticamente a HTTPS. Esto garantiza la validación del lado del cliente de una conexión segura, así como la validación del lado del servidor en IIS. El navegador web mantiene esta validación durante un período configurado.
Nota:
Habilitar HSTS afecta a todos los sitios web del mismo dominio. Por ejemplo, si el sitio web es accesible en
https://www.company.com/Citrix/StoreWeb, la política HSTS se aplicará a todos los sitios web bajohttps://www.company.com, lo que podría no ser deseado.
Existen varias opciones para habilitar HSTS.
Opción 1 - IIS
En Windows Server 2019 y versiones posteriores, puedes configurar HSTS en IIS.
- Abre el Administrador de Internet Information Services (IIS).
- Selecciona Sitio web predeterminado (o el sitio web apropiado).
- En el panel Acciones del lado derecho, haz clic en HSTS….
- Selecciona Habilitar.
- Introduce una edad máxima, por ejemplo, 31536000 para un año.
- Opcionalmente, selecciona Redirigir HTTP a HTTPS.
- Pulsa Aceptar.
Opción 2 - Consola de administración de StoreFront™
Para cada sitio web de la tienda:
- Selecciona la tienda y haz clic en Administrar sitios de Receiver para Web.
- Selecciona el sitio web y haz clic en Configurar…
- Ve a la pestaña Configuración avanzada.
- Selecciona Habilitar seguridad de transporte estricta.
- Actualiza la Duración de la política de seguridad de transporte estricta al valor requerido.
- Haz clic en Aceptar.
Opción 3 - Equilibrador de carga NetScaler®
Si estás utilizando un equilibrador de carga NetScaler delante de tus servidores StoreFront, puedes configurar HSTS en el servidor virtual. Para obtener más información, consulta la documentación de NetScaler.