Sécurisation de StoreFront avec HTTPS
Citrix recommande fortement de sécuriser les communications entre StoreFront et les appareils des utilisateurs à l’aide de HTTPS. Cela garantit que les mots de passe et autres données envoyées entre le client et StoreFront sont chiffrés. De plus, les connexions HTTP non chiffrées peuvent être compromises par diverses attaques, telles que les attaques de l’homme du milieu, en particulier lorsque les connexions sont établies à partir d’emplacements non sécurisés comme les points d’accès Wi-Fi publics. En l’absence de la configuration IIS appropriée, StoreFront utilise HTTP pour les communications.
Selon votre configuration, les utilisateurs peuvent accéder à StoreFront via une passerelle ou un équilibreur de charge. Vous pouvez terminer la connexion HTTPS au niveau de la passerelle ou de l’équilibreur de charge. Cependant, dans ce cas, Citrix recommande toujours d’établir des connexions sécurisées entre la passerelle et StoreFront à l’aide de HTTPS. Lorsque vous utilisez un équilibreur de charge NetScaler, pour les exigences en matière de certificat, consultez le lien Matrice de prise en charge des certificats de serveur sur l’appliance ADC.
Si StoreFront n’est pas configuré pour HTTPS, il affiche l’avertissement suivant :
Créer ou importer un certificat
-
Assurez-vous que le FQDN de l’URL de base utilisé pour accéder à StoreFront est inclus dans le champ DNS en tant qu’Autre nom de l’objet (SAN). Lorsque vous utilisez un équilibreur de charge devant vos serveurs StoreFront, l’URL de base est le FQDN de l’équilibreur de charge plutôt que le FQDN du serveur StoreFront. L’option Créer un certificat de domaine… dans IIS ne définit pas le SAN et ne doit donc pas être utilisée.
-
Signez le certificat à l’aide d’une autorité de certification tierce telle que Verisign ou d’une autorité de certification racine d’entreprise pour votre organisation.
-
Si vous utilisez une autorité de certification interne et que les appareils se connectent directement au serveur StoreFront, vous devez vous assurer d’installer le certificat racine sur ces appareils. Si les utilisateurs accèdent à StoreFront via un équilibreur de charge ou une passerelle, le certificat racine ne doit être installé que sur cet équilibreur de charge ou cette passerelle.
Créer un certificat à l’aide de l’autorité de certification Windows
Si vous disposez d’un serveur des services de certificats Active Directory sur votre domaine, vous pouvez l’utiliser pour créer des certificats à partir de votre serveur StoreFront ou d’un autre ordinateur du domaine.
-
Appuyez sur Démarrer et, dans le champ de recherche, tapez Gérer les certificats de l’ordinateur.
-
Développez Personnel > Certificats.
-
Cliquez avec le bouton droit sur Certificats et, dans le menu, choisissez Toutes les tâches > Demander un nouveau certificat.
-
Sur l’écran Sélectionner la stratégie d’inscription de certificat, choisissez Stratégie d’inscription Active Directory.
-
Choisissez le modèle Serveur web exportable ou un autre modèle approprié.
-
Cliquez sur Des informations supplémentaires sont requises pour inscrire ce certificat. Cliquez ici pour configurer les paramètres.
-
Sur l’écran Propriétés du certificat :
- Sous Nom de l’objet, choisissez Nom commun et entrez le FQDN.
- Sous Autre nom, choisissez DNS et entrez le FQDN.
- Vous pouvez éventuellement accéder à l’onglet Général et entrer un nom convivial.
- Appuyez sur OK.
-
Appuyez sur Inscrire.
Si vous avez créé le certificat sur votre serveur StoreFront, il est maintenant disponible pour être utilisé dans IIS. Si vous l’avez créé sur une autre machine, vous devez l’exporter et l’importer sur le serveur StoreFront.
Importer un certificat existant
Vous pouvez importer un certificat créé dans un autre système. Le certificat doit être au format PFX et contenir la clé privée.
-
Ouvrez la console du Gestionnaire des services Internet (IIS).
-
Dans l’arborescence de gauche, sélectionnez le serveur.
-
Dans le volet de droite, double-cliquez sur Certificats de serveur.
-
Depuis l’écran Certificats de serveur, appuyez sur Importer… et choisissez un fichier de certificat.
Configurer IIS pour HTTPS
Pour configurer Microsoft Internet Information Services (IIS) pour HTTPS sur le serveur StoreFront :
-
Dans l’arborescence de gauche, sélectionnez Site web par défaut (ou le site web approprié).
-
Dans le volet Actions, cliquez sur Liaisons….
-
Dans la fenêtre Liaisons, cliquez sur Ajouter….
-
Dans la liste déroulante Type, sélectionnez https.
-
Sur Windows Server 2022 ou version ultérieure, cliquez sur Désactiver le TLS hérité pour désactiver les versions de TLS antérieures à 1.2.
Sur les versions antérieures de Windows Server, vous pouvez désactiver les versions de TLS héritées à l’aide des paramètres du registre Windows. Consultez la documentation de Windows Server.
-
Sélectionnez le certificat précédemment importé. Appuyez sur OK.
-
Pour supprimer l’accès HTTP, sélectionnez HTTP et cliquez sur Supprimer.
Modifier l’URL de base du serveur StoreFront de HTTP à HTTPS
Si vous installez et configurez Citrix StoreFront sans avoir préalablement installé et configuré un certificat SSL, StoreFront utilise HTTP pour les communications.
Si vous installez et configurez un certificat SSL ultérieurement, utilisez la procédure suivante pour vous assurer que StoreFront et ses services utilisent des connexions HTTPS.
- Dans la console de gestion Citrix StoreFront, dans le volet de gauche, sélectionnez Groupe de serveurs.
- Dans le volet Actions, sélectionnez Modifier l’URL de base.
-
Mettez à jour l’URL de base pour qu’elle commence par
https:et cliquez sur OK.
HSTS
L’appareil client de l’utilisateur est vulnérable même après l’activation de HTTPS côté serveur. Par exemple, un attaquant de l’homme du milieu pourrait usurper le serveur StoreFront et inciter l’utilisateur à se connecter au serveur usurpé via HTTP non chiffré. Il pourrait alors avoir accès à des informations sensibles telles que les informations d’identification de l’utilisateur. La solution consiste à s’assurer que le navigateur de l’utilisateur ne tente pas d’accéder au serveur via HTTP. Vous pouvez y parvenir avec le HTTP Strict Transport Security (HSTS).
Lorsque HSTS est activé, le serveur indique aux navigateurs web que les requêtes vers le site web ne doivent être effectuées que via HTTPS. Si un utilisateur tente d’accéder à l’URL en utilisant HTTP, le navigateur basculera automatiquement vers HTTPS. Cela garantit la validation côté client d’une connexion sécurisée ainsi que la validation côté serveur dans IIS. Le navigateur web maintient cette validation pendant une période configurée.
Remarque :
L’activation de HSTS affecte tous les sites web du même domaine. Par exemple, si le site web est accessible à l’adresse
https://www.company.com/Citrix/StoreWeb, la politique HSTS s’appliquera à tous les sites web soushttps://www.company.com, ce qui pourrait ne pas être souhaité.
Il existe plusieurs options pour activer HSTS.
Option 1 - IIS
Sur Windows Server 2019 et versions ultérieures, vous pouvez configurer HSTS dans IIS.
- Ouvrez le Gestionnaire des services Internet (IIS).
- Sélectionnez Site web par défaut (ou le site web approprié).
- Dans le volet Actions, à droite, cliquez sur HSTS….
- Sélectionnez Activer.
- Entrez un âge maximal, par exemple 31536000 pour un an.
- Vous pouvez éventuellement sélectionner Rediriger HTTP vers HTTPS.
- Appuyez sur OK.
Option 2 - Console de gestion StoreFront™
Pour chaque site web de magasin :
- Sélectionnez le magasin et cliquez sur Gérer les sites Receiver pour Web.
- Sélectionnez le site web et cliquez sur Configurer….
- Accédez à l’onglet Paramètres avancés.
- Sélectionnez Activer la sécurité de transport stricte.
- Mettez à jour la Durée de la politique de sécurité de transport stricte à la valeur requise.
- Cliquez sur OK.
Option 3 - Équilibreur de charge NetScaler®
Si vous utilisez un équilibreur de charge NetScaler devant vos serveurs StoreFront, vous pouvez configurer HSTS sur le serveur virtuel. Pour plus d’informations, consultez la documentation NetScaler.