Protección de StoreFront con HTTPS
Citrix recomienda encarecidamente proteger las comunicaciones entre StoreFront y los dispositivos de los usuarios mediante HTTPS. Esto garantiza que las contraseñas y otros datos enviados entre el cliente y StoreFront estén cifrados. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques de intermediario (man-in-the-middle), especialmente cuando las conexiones se realizan desde ubicaciones inseguras, como puntos de acceso Wi-Fi públicos. Si no se configura IIS de forma adecuada, StoreFront utiliza HTTP para las comunicaciones.
Según tu configuración, los usuarios pueden acceder a StoreFront a través de una puerta de enlace o un equilibrador de carga. Puedes finalizar la conexión HTTPS en la puerta de enlace o el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando que tengas conexiones seguras entre la puerta de enlace, el equilibrador de carga y StoreFront mediante HTTPS. Cuando utilices un equilibrador de carga NetScaler, para conocer los requisitos de los certificados, consulta el enlace Matriz de compatibilidad de certificados de servidor en el dispositivo ADC.
Si StoreFront no está configurado para HTTPS, muestra la siguiente advertencia:
Crear o importar un certificado
-
Asegúrate de que la URL base de StoreFront esté incluida en el campo DNS como Nombre común o Nombre alternativo del sujeto (SAN). Cuando utilices un equilibrador de carga delante de tus servidores StoreFront, se recomienda que incluyas tanto el FQDN del servidor como el FQDN del equilibrador de carga como SAN. Esto te permite conectarte directamente a un servidor StoreFront específico para solucionar problemas.
-
Firma el certificado utilizando una CA raíz empresarial para tu organización o una CA pública.
-
Si los usuarios acceden a StoreFront a través de un equilibrador de carga o una puerta de enlace, el certificado solo debe ser de confianza para el equilibrador de carga o la puerta de enlace. Si los usuarios se conectan directamente al servidor StoreFront, los clientes deben confiar en el certificado.
Debes crear o importar un certificado en el almacén de certificados Personal de Windows. Para ver los certificados instalados:
- Abre el Administrador de Internet Information Services (IIS).
- En el panel Conexiones, selecciona el servidor.
- Abre Certificados de servidor.
Para obtener más información sobre la administración de certificados, consulta Administrar certificados.
Configurar IIS para HTTPS
Para configurar Microsoft Internet Information Services (IIS) para HTTPS en el servidor StoreFront:
-
En la vista de árbol de la izquierda, selecciona Sitio web predeterminado (o el sitio web apropiado).
-
En el panel Acciones, haz clic en Enlaces…
-
En la ventana de enlaces, haz clic en Agregar…
-
En el menú desplegable Tipo, selecciona https.
-
En Windows Server 2022 o posterior, haz clic en Deshabilitar TLS heredado para deshabilitar las versiones de TLS anteriores a la 1.2.
En versiones anteriores de Windows Server, puedes deshabilitar las versiones de TLS heredadas mediante la configuración del registro de Windows; consulta la Documentación de Windows Server.
-
Selecciona el certificado importado previamente. Pulsa Aceptar.
-
Para quitar el acceso HTTP, selecciona HTTP y haz clic en Quitar.
-
Actualiza la URL base para usar el protocolo https.
HSTS
El dispositivo cliente del usuario es vulnerable incluso después de habilitar HTTPS en el lado del servidor. Por ejemplo, un atacante de intermediario podría suplantar el servidor StoreFront y engañar al usuario para que se conecte al servidor falso a través de HTTP simple. Luego, podrían obtener acceso a información confidencial, como las credenciales del usuario. La solución es asegurarse de que el navegador del usuario no intente acceder al servidor a través de HTTP. Puedes lograr esto con la Seguridad de transporte estricta HTTP (HSTS).
Cuando HSTS está habilitado, el servidor indica a los navegadores web que las solicitudes al sitio web solo deben realizarse a través de HTTPS. Si un usuario intenta acceder a la URL usando HTTP, el navegador cambiará automáticamente a usar HTTPS. Esto garantiza la validación del lado del cliente de una conexión segura, así como la validación del lado del servidor en IIS. El navegador web mantiene esta validación durante un período configurado.
Nota:
Habilitar HSTS afecta a todos los sitios web del mismo dominio. Por ejemplo, si el sitio web es accesible en
https://www.company.com/Citrix/StoreWeb, la política HSTS se aplicará a todos los sitios web bajohttps://www.company.com, lo que podría no ser deseado.
Hay varias opciones para habilitar HSTS.
Opción 1 - IIS
En Windows Server 2019 y versiones posteriores, puedes configurar HSTS en IIS.
- Abre el Administrador de Internet Information Services (IIS).
- Selecciona Sitio web predeterminado (o el sitio web apropiado).
- En el panel Acciones del lado derecho, haz clic en HSTS….
- Selecciona Habilitar.
- Introduce una edad máxima, por ejemplo, 31536000 para un año.
- Opcionalmente, selecciona Redirigir HTTP a HTTPS.
- Pulsa Aceptar.
Opción 2 - Consola de administración de StoreFront™
Para cada sitio web de la tienda:
- Selecciona la tienda y haz clic en Administrar sitios web.
- Selecciona el sitio web y haz clic en Configurar…
- Ve a la ficha Configuración avanzada.
- Selecciona Habilitar seguridad de transporte estricta.
- Actualiza la Duración de la política de seguridad de transporte estricta al valor requerido.
- Haz clic en Aceptar.
Opción 3 - Equilibrador de carga NetScaler®
Si utilizas un equilibrador de carga NetScaler delante de tus servidores StoreFront, puedes configurar HSTS en el servidor virtual. Para obtener más información, consulta la documentación de NetScaler.