ICA-Dateisignierung
StoreFront bietet die Option, ICA-Dateien digital zu signieren, damit die Versionen der Citrix Workspace-App, die dieses Feature unterstützen, prüfen können, ob eine Datei aus einer vertrauenswürdigen Quelle stammt. Wenn die Dateisignierung in StoreFront aktiviert ist, wird die beim Starten einer Anwendung durch einen Benutzer generierte ICA-Datei mit einem Zertifikat aus dem persönlichen Zertifikatspeicher des StoreFront-Servers signiert. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird. Die digitale Signatur wird von Clients, die dieses Feature nicht unterstützen oder nicht für die ICA-Dateisignierung konfiguriert sind, ignoriert. Wenn die Signierung fehlschlägt, wird die ICA-Datei ohne digitale Signatur generiert und an die Citrix Workspace-App gesendet. Anhand der Konfiguration wird daraufhin bestimmt, ob die unsignierte Datei akzeptiert wird.
Damit die ICA-Dateisignierung im Zusammenhang mit StoreFront verwendet werden kann, müssen die Zertifikate den privaten Schlüssel enthalten und im zulässigen Gültigkeitszeitraum liegen. Wenn das Zertifikat eine Schlüsselnutzungserweiterung enthält, muss der Schlüssel für die digitalen Signaturen verwendet werden. Falls eine erweiterte Schlüsselnutzungserweiterung enthalten ist, muss dafür Codesignierung oder Serverauthentifizierung festgelegt worden sein.
Citrix empfiehlt bei ICA-Dateisignierung, ein Codesignierungs- oder SSL-Signierungszertifikat von einer öffentlichen Zertifizierungsstelle oder von der privaten Zertifizierungsstelle Ihrer Organisation zu verwenden. Wenn es Ihnen nicht möglich ist, ein geeignetes Zertifikat von einer Zertifizierungsstelle zu beziehen, können Sie entweder ein vorhandenes SSL-Zertifikat (z. B. ein Serverzertifikat) verwenden oder ein neues Zertifikat von der Stammzertifizierungsstelle erstellen und an die Benutzergeräte verteilen.
ICA-Dateisignierung ist in Stores standardmäßig deaktiviert. Um das Signieren von ICA-Dateien zu aktivieren, müssen Sie ein Zertifikat installieren und den Store so konfigurieren, dass dieses Zertifikat verwendet wird. Das Signieren der ICA-Datei hat keine Wirkung, es sei denn, Sie konfigurieren auch die Citrix Workspace-App für Windows so, dass ein Zertifikat erforderlich ist. Weitere Informationen finden Sie unter ICA-Dateisignierung.
Hinweis:
Die StoreFront- und PowerShell-Konsolen können nicht gleichzeitig geöffnet sein. Schließen Sie immer zuerst die StoreFront-Verwaltungskonsole, bevor Sie die PowerShell-Konsole zum Verwalten der StoreFront-Konfiguration öffnen. Schließen Sie gleichermaßen immer alle Instanzen von PowerShell, bevor Sie die StoreFront-Konsole öffnen.
-
Öffnen Sie auf Ihrem StoreFront-Server die Option Computerzertifikate verwalten.
-
Fügen Sie Ihr Zertifikat dem Citrix Delivery Services-Zertifikatspeicher hinzu.
-
Öffnen Sie das Zertifikat, gehen Sie zur Registerkarte Details und zeichnen Sie den Fingerabdruck auf.
-
Aktivieren Sie das Signieren für einen Store mit dem PowerShell-Cmdlet Set-STFStoreService:
$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] $certificate = Get-DSCertificate "[certificatethumbprint]" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” <!--NeedCopy-->Dabei ist [certificatethumbprint] der Digest (bzw. Fingerabdruck) der vom Hashalgorithmus generierten Zertifikatdaten.
Wenn Sie einen anderen Hashalgorithmus als SHA-1 verwenden möchten, fügen Sie den Parameter -IcaFileSigningHashAlgorithm hinzu und setzen Sie den Wert nach Bedarf auf sha256, sha384 oder sha512.