Produktdokumentation
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

Absichern von StoreFront mit HTTPS

March 9, 2026
Beitrag von: 
C C

Citrix empfiehlt dringend, die Kommunikation zwischen StoreFront und den Geräten der Benutzer mit HTTPS abzusichern. Dies stellt sicher, dass Passwörter und andere Daten, die zwischen dem Client und StoreFront gesendet werden, verschlüsselt sind. Darüber hinaus können unverschlüsselte HTTP-Verbindungen durch verschiedene Angriffe, wie z. B. Man-in-the-Middle-Angriffe, kompromittiert werden, insbesondere wenn Verbindungen von unsicheren Standorten wie öffentlichen Wi-Fi-Hotspots hergestellt werden. Ohne die entsprechende IIS-Konfiguration verwendet StoreFront HTTP für die Kommunikation.

Abhängig von Ihrer Konfiguration können Benutzer über ein Gateway oder einen Load Balancer auf StoreFront zugreifen. Sie können die HTTPS-Verbindung am Gateway oder Load Balancer beenden. In diesem Fall empfiehlt Citrix jedoch weiterhin, dass Sie sichere Verbindungen zwischen dem Gateway und StoreFront über HTTPS herstellen. Wenn Sie einen NetScaler Load Balancer verwenden, finden Sie die Zertifikatsanforderungen unter dem Link Serverzertifikat-Unterstützungsmatrix auf der ADC-Appliance.

Wenn StoreFront nicht für HTTPS konfiguriert ist, wird die folgende Warnung angezeigt:

Statuswarnung „Dienst verwendet HTTP, nicht HTTPS“

Zertifikat erstellen oder importieren

  • Stellen Sie sicher, dass der FQDN der Basis-URL, der für den Zugriff auf StoreFront verwendet wird, im DNS-Feld als Subject Alternative Name (SANs) enthalten ist. Wenn Sie einen Load Balancer vor Ihren StoreFront-Servern verwenden, ist die Basis-URL der FQDN des Load Balancers und nicht der FQDN des StoreFront-Servers. Die Option Domänenzertifikat erstellen… in IIS legt den SAN nicht fest und sollte daher nicht verwendet werden.

  • Signieren Sie das Zertifikat mit einer Drittanbieter-CA wie Verisign oder einer Unternehmens-Stamm-CA für Ihre Organisation.

  • Wenn Sie eine interne Zertifizierungsstelle verwenden und Geräte direkt mit dem StoreFront-Server verbunden sind, müssen Sie sicherstellen, dass Sie das Stammzertifikat auf diesen Geräten installieren. Wenn Benutzer über einen Load Balancer oder ein Gateway auf StoreFront zugreifen, muss das Stammzertifikat nur auf diesem Load Balancer oder Gateway installiert werden.

Zertifikat mit Windows-Zertifizierungsstelle erstellen

Wenn Sie einen Active Directory-Zertifikatdienste-Server in Ihrer Domäne haben, können Sie diesen verwenden, um Zertifikate von Ihrem StoreFront-Server oder einem anderen Computer in der Domäne zu erstellen.

  1. Drücken Sie die Starttaste und geben Sie im Suchfeld Computerzertifikate verwalten ein.

  2. Erweitern Sie Persönlich > Zertifikate.

  3. Klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie im Menü Alle Aufgaben > Neues Zertifikat anfordern.

  4. Wählen Sie auf dem Bildschirm Zertifikatregistrierungsrichtlinie auswählen die Option Active Directory-Registrierungsrichtlinie.

  5. Wählen Sie die Vorlage Webserver exportierbar oder eine andere geeignete Vorlage.

  6. Klicken Sie auf Weitere Informationen sind für die Registrierung dieses Zertifikats erforderlich. Klicken Sie hier, um die Einstellungen zu konfigurieren.

  7. Auf dem Bildschirm Zertifikateigenschaften:

    1. Wählen Sie unter Antragsstellername die Option Allgemeiner Name und geben Sie den FQDN ein.
    2. Wählen Sie unter Alternativer Name die Option DNS und geben Sie den FQDN ein.
    3. Gehen Sie optional zur Registerkarte Allgemein und geben Sie einen Anzeigenamen ein.
    4. Drücken Sie OK.

    Screenshot des Fensters „Zertifikateigenschaften“

  8. Drücken Sie Registrieren.

Wenn Sie das Zertifikat auf Ihrem StoreFront-Server erstellt haben, steht es nun zur Verwendung in IIS zur Verfügung. Wenn Sie es auf einem anderen Computer erstellt haben, müssen Sie es exportieren und auf den StoreFront-Server importieren.

Vorhandenes Zertifikat importieren

Sie können ein in einem anderen System erstelltes Zertifikat importieren. Das Zertifikat muss im PFX-Format vorliegen und den privaten Schlüssel enthalten.

  1. Öffnen Sie die Konsole des Internetinformationsdienste (IIS)-Managers.

  2. Wählen Sie in der Strukturansicht auf der linken Seite den Server aus.

  3. Doppelklicken Sie im rechten Bereich auf Serverzertifikate.

    Screenshot der IIS-Verwaltungskonsole mit Hervorhebung der Stelle, an der auf Serverzertifikate geklickt werden muss

  4. Klicken Sie auf dem Bildschirm „Serverzertifikate“ auf Importieren… und wählen Sie eine Zertifikatsdatei aus.

    Screenshot des Bildschirms „IIS-Verwaltungsserverzertifikate“

IIS für HTTPS konfigurieren

So konfigurieren Sie Microsoft Internetinformationsdienste (IIS) für HTTPS auf dem StoreFront-Server:

  1. Wählen Sie in der Strukturansicht auf der linken Seite die Standardwebsite (oder die entsprechende Website) aus.

  2. Klicken Sie im Bereich „Aktionen“ auf Bindungen….

    Screenshot des Startbildschirms der Standardwebsite des IIS-Verwaltungsservers mit Hervorhebung des Bindungslinks

  3. Klicken Sie im Fenster „Bindungen“ auf Hinzufügen….

  4. Wählen Sie im Dropdown-Menü Typ die Option https aus.

  5. Klicken Sie unter Windows Server 2022 oder höher auf Legacy-TLS deaktivieren, um TLS-Versionen älter als 1.2 zu deaktivieren.

    Auf älteren Windows Server-Versionen können Sie ältere TLS-Versionen mithilfe von Windows-Registrierungseinstellungen deaktivieren. Siehe Windows Server-Dokumentation.

  6. Wählen Sie das zuvor importierte Zertifikat aus. Drücken Sie OK.

    Screenshot des Fensters „Websitebindung hinzufügen“

  7. Um den HTTP-Zugriff zu entfernen, wählen Sie HTTP aus und klicken Sie auf Entfernen.

    Screenshot des Fensters „Websitebindungen“

Basis-URL des StoreFront-Servers von HTTP auf HTTPS ändern

Wenn Sie Citrix StoreFront installieren und konfigurieren, ohne zuvor ein SSL-Zertifikat zu installieren und zu konfigurieren, verwendet StoreFront HTTP für die Kommunikation.

Wenn Sie zu einem späteren Zeitpunkt ein SSL-Zertifikat installieren und konfigurieren, verwenden Sie das folgende Verfahren, um sicherzustellen, dass StoreFront und seine Dienste HTTPS-Verbindungen verwenden.

  1. Wählen Sie in der Citrix StoreFront-Verwaltungskonsole im linken Bereich Servergruppe aus.
  2. Wählen Sie im Bereich „Aktionen“ die Option Basis-URL ändern.

  3. Aktualisieren Sie die Basis-URL so, dass sie mit https: beginnt, und klicken Sie auf OK.

    Screenshot des Basis-URL-Fensters

HSTS

Das Clientgerät des Benutzers ist auch dann anfällig, wenn Sie HTTPS auf der Serverseite aktivieren. Beispielsweise könnte ein Man-in-the-Middle-Angreifer den StoreFront-Server fälschen und den Benutzer dazu verleiten, sich über unverschlüsseltes HTTP mit dem gefälschten Server zu verbinden. Dadurch könnten sie Zugriff auf sensible Informationen wie die Anmeldeinformationen des Benutzers erhalten. Die Lösung besteht darin, sicherzustellen, dass der Browser des Benutzers nicht versucht, über HTTP auf den Server zuzugreifen. Dies erreichen Sie mit HTTP Strict Transport Security (HSTS).

Wenn HSTS aktiviert ist, weist der Server Webbrowser an, dass Anfragen an die Website ausschließlich über HTTPS erfolgen sollen. Wenn ein Benutzer versucht, die URL über HTTP aufzurufen, wechselt der Browser automatisch zur Verwendung von HTTPS. Dies gewährleistet eine clientseitige Validierung einer sicheren Verbindung sowie die serverseitige Validierung in IIS. Der Webbrowser behält diese Validierung für einen konfigurierten Zeitraum bei.

Hinweis:

Das Aktivieren von HSTS wirkt sich auf alle Websites derselben Domäne aus. Wenn die Website beispielsweise unter https://www.company.com/Citrix/StoreWeb zugänglich ist, gilt die HSTS-Richtlinie für alle Websites unter https://www.company.com, was möglicherweise nicht erwünscht ist.

Es gibt mehrere Optionen zum Aktivieren von HSTS.

Option 1 – IIS

Unter Windows Server 2019 und höher können Sie HSTS in IIS konfigurieren.

  1. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
  2. Wählen Sie die Standardwebsite (oder die entsprechende Website) aus.
  3. Klicken Sie im Aktionsbereich auf der rechten Seite auf HSTS….
  4. Wählen Sie Aktivieren.
  5. Geben Sie ein maximales Alter ein, z. B. 31536000 für ein Jahr.
  6. Wählen Sie optional HTTP zu HTTPS umleiten.
  7. Drücken Sie OK.

Screenshot der HSTS-Einstellung

Option 2 – StoreFront™-Verwaltungskonsole

Für jede Store-Website:

  1. Wählen Sie den Store aus und klicken Sie auf Receiver für Web-Sites verwalten.
  2. Wählen Sie die Website aus und klicken Sie auf Konfigurieren….
  3. Gehen Sie zur Registerkarte Erweiterte Einstellungen.
  4. Wählen Sie Strikte Transportsicherheit aktivieren.
  5. Aktualisieren Sie die Dauer der Richtlinie für strikte Transportsicherheit auf den erforderlichen Wert.
  6. Klicken Sie auf OK.

Option 3 – NetScaler® Load Balancer

Wenn Sie einen NetScaler Load Balancer vor Ihren StoreFront-Servern verwenden, können Sie HSTS auf dem virtuellen Server konfigurieren. Weitere Informationen finden Sie in der NetScaler-Dokumentation.

Absichern von StoreFront mit HTTPS
March 9, 2026
Beitrag von: 
C C
March 9, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.