Documentation produit
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Voir PDF

Sécurisation de StoreFront avec HTTPS

April 17, 2024
Contributeur: 
C

Citrix vous recommande fortement de sécuriser les communications entre StoreFront et les machines des utilisateurs à l’aide du protocole HTTPS. Cela garantit que les mots de passe et autres données envoyés entre le client et StoreFront sont cryptés. De plus, les connexions HTTP simples peuvent être compromises par diverses attaques, telles que les attaques de type « man-in-the-middle », en particulier lorsque les connexions sont établies à partir d’emplacements non sécurisés tels que des hotspots Wi-Fi publics. En l’absence de la configuration IIS appropriée, StoreFront utilise le protocole HTTP pour les communications.

Selon votre configuration, les utilisateurs peuvent accéder à StoreFront via une passerelle ou un équilibreur de charge. Vous pouvez mettre fin à la connexion HTTPS au niveau de la passerelle ou de l’équilibreur de charge. Toutefois, dans ce cas, Citrix vous recommande toujours de sécuriser les connexions entre la passerelle et StoreFront à l’aide du protocole HTTPS.

Si StoreFront n’est pas configuré pour HTTPS, l’avertissement suivant s’affiche :

Status warning "Service using HTTP not HTTPS"

Création de certificats

  • Assurez-vous que le ou les noms de domaine complets utilisés pour accéder à StoreFront sont inclus dans le champ DNS en tant que Subject Alternative Name (SAN). Si vous utilisez un équilibrage de charge, incluez à la fois le nom de domaine complet du serveur individuel et celui de l’équilibreur de charge

  • Signez le certificat à l’aide d’une autorité de certification tierce telle que Verisign ou d’une autorité de certification racine d’entreprise pour votre organisation.

  • Exportez le certificat au format PFX y compris la clé privée.

Configurer IIS pour HTTPS

Pour configurer Microsoft Internet Information Services (IIS) pour HTTPS sur le serveur StoreFront :

  1. Ouvrir la console du Gestionnaire des services Internet Information Services (IIS)

  2. Dans l’arborescence de gauche, sélectionnez le serveur.

  3. Dans le volet droit, double-cliquez sur Certificats de serveur.

    Capture d'écran de la console de gestion IIS indiquant où cliquer sur Certificats de serveur

  4. À partir de l’écran Certificats de serveur, vous pouvez importer un certificat existant ou en créer un nouveau.

    Capture d'écran de l'écran des certificats du serveur de gestion IIS indiquant où cliquer sur Importer

  5. Dans l’arborescence de gauche, sélectionnez Site Web par défaut (ou le site Web approprié)

  6. Dans le volet Actions, cliquez sur Liaisons…

    Capture d'écran de l'écran d'accueil du site Web par défaut du serveur de gestion IIS mettant en évidence le lien des liaisons

  7. Dans la fenêtre des liaisons, cliquez sur Ajouter…

  8. Dans la liste déroulante Type, sélectionnez https.

  9. Sélectionnez le certificat précédemment importé. Sélectionnez OK.

    Capture d'écran de la fenêtre Ajouter une liaison de site

  10. Pour supprimer l’accès HTTP, sélectionnez HTTP et cliquez sur Supprimer.

    Capture d'écran de la fenêtre Liaisons de site

Modifier l’URL de base du serveur StoreFront HTTP et la remplacer par HTTPS

Si vous installez et configurez Citrix StoreFront sans installer et configurer au préalable un certificat SSL, StoreFront utilise HTTP pour les communications.

Si vous installez et configurez un certificat SSL ultérieurement, procédez comme suit pour vous assurer que StoreFront et ses services utilisent des connexions HTTPS.

  1. Dans la console de gestion Citrix StoreFront, dans le panneau de gauche, sélectionnez Groupe de serveurs.
  2. Dans le panneau Actions, sélectionnez Changer l’URL de base.

  3. Mettez à jour l’URL de base pour qu’elle commence par https: et cliquez sur OK.

    Capture d'écran de la fenêtre URL de base

HSTS

La machine cliente de l’utilisateur est vulnérable même après l’activation du protocole HTTPS côté serveur. Par exemple, un attaquant de type « man-in-the-middle » pourrait usurper le serveur StoreFront et inciter l’utilisateur à se connecter au serveur falsifié via HTTP. Il pourrait alors accéder à des informations sensibles telles que les informations d’identification de l’utilisateur. La solution consiste à s’assurer que le navigateur de l’utilisateur ne tente pas d’accéder au serveur RfWeb via HTTP. Vous pouvez y parvenir grâce au protocole HTTP Strict Transport Security (HSTS).

Lorsque HSTS est activé, le serveur indique aux navigateurs Web que les requêtes adressées au site Web doivent uniquement être effectuées via HTTPS. Si un utilisateur tente d’accéder à l’URL via HTTP, le navigateur bascule automatiquement vers HTTPS. Cela garantit la validation côté client d’une connexion sécurisée ainsi que la validation côté serveur dans IIS. Le navigateur Web conserve cette validation pendant une période définie.

Sur Windows Server 2019 et versions ultérieures :

  1. Ouvrez le Gestionnaire des services Internet Information Services (IIS).
  2. Sélectionnez le site Web par défaut (ou le site Web approprié).
  3. Dans le volet Actions sur le côté droit, cliquez sur HSTS…
  4. Cochez Activer, entrez l’âge maximal du cache, par exemple 31536000 pour un an et cochez Rediriger HTTP vers HTTPS.
  5. Sélectionnez OK.

Capture d'écran du paramètre HSTS

Remarque :

L’activation du protocole HSTS affecte tous les sites Web du même domaine. Par exemple, si le site Web est accessible sur https://www.company.com/Citrix/StoreWeb, la stratégie HSTS s’applique à tous les sites Web sous https://www.company.com, ce qui n’est peut-être pas souhaitable.

Sécurisation de StoreFront avec HTTPS
April 17, 2024
Contributeur: 
C
April 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.