Protección de StoreFront con HTTPS
Citrix recomienda encarecidamente proteger la comunicación entre los dispositivos de los usuarios y StoreFront mediante HTTPS. Esto garantiza el cifrado de contraseñas y otros datos que se envíen entre el cliente y StoreFront. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques del tipo “Man in the middle”, especialmente cuando las conexiones se realizan desde ubicaciones no seguras, como puntos de acceso Wi-Fi públicos. Sin una configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones.
Según la configuración, los usuarios pueden acceder a StoreFront a través de una puerta de enlace o un equilibrador de carga. Puede cerrar la conexión HTTPS en la puerta de enlace o en el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando proteger las conexiones entre la puerta de enlace y StoreFront mediante HTTPS.
Si StoreFront no está configurado para HTTPS, aparecerá esta advertencia:
Creación de certificados
-
Asegúrese de que los FQDN utilizados para acceder a StoreFront estén incluidos en el campo DNS como nombre alternativo del sujeto (SAN). Si usa un equilibrador de carga, incluya tanto el FQDN del servidor individual como el FQDN del equilibrador de carga.
-
Firme el certificado con una entidad de certificación de terceros, como Verisign o una CA raíz de la empresa para su organización.
-
Exporte el certificado en formato PFX e incluya la clave privada.
Configurar IIS para HTTPS
Para configurar Microsoft Internet Information Services (IIS) para HTTPS en el servidor de StoreFront:
-
Abra la consola del Administrador de Internet Information Services (IIS).
-
En la vista de árbol de la izquierda, seleccione el servidor.
-
En el panel derecho, haga doble clic en Certificados de servidor.
-
Desde la pantalla Certificados de servidor, puede importar un certificado existente o crear uno.
-
En la vista de árbol de la izquierda, seleccione Sitio web predeterminado (o el sitio web correspondiente)
-
En el panel Acciones, haga clic en Enlaces…
-
En la ventana de enlaces, haga clic en Agregar…
-
En el menú desplegable Tipo, seleccione https.
-
En Windows Server 2022 o una versión posterior, haga clic en Deshabilitar TLS antiguo para inhabilitar TLS anterior a 1.2.
En versiones anteriores de Windows Server, puede inhabilitar versiones del TLS antiguo mediante los parámetros del Registro de Windows. Consulte la documentación de Windows Server.
-
Seleccione el certificado importado anteriormente. Presione Aceptar.
-
Para quitar el acceso HTTP, seleccione HTTP y haga clic en Quitar.
Cambiar la dirección URL base del servidor de StoreFront de HTTP a HTTPS
Si instala y configura Citrix StoreFront sin instalar y configurar primero un certificado SSL, StoreFront utiliza HTTP para las comunicaciones.
Si instala y configura un certificado SSL más adelante, utilice el siguiente procedimiento para asegurarse de que StoreFront y sus servicios utilizan conexiones HTTPS.
- En la consola de administración de Citrix StoreFront, en el panel izquierdo seleccione Grupo de servidores.
- En el panel Acciones, seleccione Cambiar URL base.
-
Actualice la URL base para que empiece por
https:
y haga clic en Aceptar.
HSTS
El dispositivo cliente del usuario es vulnerable incluso después de habilitar HTTPS en el servidor. Por ejemplo, un atacante del tipo “Man in the middle” podría falsificar el servidor de StoreFront y engañar al usuario para que se conecte al servidor falsificado a través de HTTP simple. A continuación, podría acceder a información confidencial, como credenciales de usuario. La solución consiste en garantizar que el explorador web del usuario no intente acceder al servidor de RfWeb a través de HTTP. Puede lograrlo con el protocolo HTTP Strict Transport Security (HSTS).
Cuando HSTS está activado, el servidor indica a los exploradores web que las solicitudes al sitio web solo deben realizarse a través de HTTPS. Si un usuario intenta acceder a la URL mediante HTTP, el explorador cambiará automáticamente a HTTPS en su lugar. Esto garantiza la validación del lado del cliente de una conexión segura, así como la validación del lado del servidor en IIS. El explorador web mantiene esta validación durante un período configurado.
En Windows Server 2019 y versiones posteriores:
- Abra Administrador de Internet Information Services (IIS).
- Seleccione Sitio web predeterminado (o el sitio web correspondiente).
- En el panel Acciones de la derecha, haga clic en HSTS…
- Marque Habilitar, introduzca una antigüedad máxima (p. ej. 31536000 para un año) y marque Redirigir HTTP a HTTPS.
- Presione Aceptar.
Nota:
La activación de HSTS afecta a todos los sitios web del mismo dominio. Por ejemplo, si se puede acceder al sitio web en https://www.company.com/Citrix/StoreWeb, la directiva de HSTS se aplicará a todos los sitios web que figuran bajo https://www.company.com, lo que tal vez no resulte conveniente.