製品ドキュメント
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDFを表示

HTTPSによるStoreFrontの保護

March 9, 2026
寄稿者: 
C C

Citrixは、StoreFrontとユーザーデバイス間の通信をHTTPSで保護することを強く推奨しています。これにより、クライアントとStoreFront間で送信されるパスワードやその他のデータが暗号化されます。さらに、特に公共のWi-Fiホットスポットなどの安全でない場所から接続する場合、プレーンなHTTP接続は中間者攻撃などのさまざまな攻撃によって危険にさらされる可能性があります。適切なIIS構成がない場合、StoreFrontは通信にHTTPを使用します。

構成によっては、ユーザーはゲートウェイまたはロードバランサーを介してStoreFrontにアクセスする場合があります。HTTPS接続はゲートウェイまたはロードバランサーで終端できます。ただし、この場合でもCitrixは、ゲートウェイとStoreFront間の安全な接続にHTTPSを使用することを推奨しています。NetScalerロードバランサーを使用する場合の証明書要件については、リンク ADCアプライアンスでのサーバー証明書サポートマトリックス を参照してください。

StoreFrontがHTTPS用に構成されていない場合、次の警告が表示されます。

「サービスはHTTPを使用しており、HTTPSを使用していません」というステータス警告

証明書の作成またはインポート

  • StoreFrontへのアクセスに使用されるベースURL FQDNが、DNSフィールドにサブジェクト代替名 (SAN) として含まれていることを確認します。StoreFrontサーバーの前にロードバランサーを使用する場合、ベースURLはStoreFrontサーバーのFQDNではなく、ロードバランサーのFQDNです。IISの Create Domain Certificate… オプションはSANを設定しないため、使用しないでください。

  • VerisignなどのサードパーティCA、または組織のエンタープライズルートCAを使用して証明書に署名します。

  • 内部証明機関を使用しており、デバイスがStoreFrontサーバーに直接接続する場合は、それらのデバイスにルート証明書をインストールする必要があります。ユーザーがロードバランサーまたはゲートウェイを介してStoreFrontにアクセスする場合、ルート証明書はそのロードバランサーまたはゲートウェイにのみインストールする必要があります。

Windows証明機関を使用した証明書の作成

ドメインにActive Directory証明書サービスサーバーがある場合、それを使用してStoreFrontサーバーまたはドメイン上の別のコンピューターから証明書を作成できます。

  1. [スタート] を押し、検索フィールドに「Manage Computer Certificates」と入力します。

  2. Personal > Certificates を展開します。

  3. Certificates を右クリックし、メニューから All Tasks > Request new certificate を選択します。

  4. Select Certificate Enrolment Policy 画面で、Active Directory Enrollment Policy を選択します。

  5. テンプレート Web server exportable、または別の適切なテンプレートを選択します。

  6. More information is require to enroll this certificate. Click here to configure settings.」をクリックします。

  7. Certificate Properties 画面で:

    1. Subject name の下で Common name を選択し、FQDNを入力します。
    2. Alternative name の下で DNS を選択し、FQDNを入力します。
    3. 必要に応じて、General タブに移動し、フレンドリ名を入力します。
    4. OK を押します。

    証明書のプロパティウィンドウのスクリーンショット

  8. Enroll を押します。

StoreFrontサーバーで証明書を作成した場合、IISで使用できるようになります。別のマシンで作成した場合は、エクスポートしてStoreFrontサーバーにインポートする必要があります。

既存の証明書のインポート

別のシステムで作成された証明書をインポートできます。証明書はPFX形式であり、秘密鍵を含んでいる必要があります。

  1. Internet Information Services (IIS) マネージャーコンソールを開きます。

  2. 左側のツリービューでサーバーを選択します。

  3. 右側のペインで Server Certificates をダブルクリックします。

    IIS管理コンソールでサーバー証明書をクリックする場所を強調表示したスクリーンショット

  4. Server Certificates画面から Import… を押し、証明書ファイルを選択します。

    IIS管理サーバー証明書画面でインポートをクリックする場所を強調表示したスクリーンショット

IISのHTTPS構成

StoreFrontサーバーでMicrosoft Internet Information Services (IIS) をHTTPS用に構成するには:

  1. 左側のツリービューで Default Web Site (または適切なWebサイト) を選択します。

  2. [操作] ペインで Bindings… をクリックします。

    IIS管理サーバーのDefault Web Siteホーム画面でバインディングリンクを強調表示したスクリーンショット

  3. バインディングウィンドウで Add… をクリックします。

  4. Type ドロップダウンで https を選択します。

  5. Windows Server 2022以降では、Disable Legacy TLS をクリックしてTLS 1.2より古いバージョンを無効にします。

    古いWindows Serverバージョンでは、Windowsレジストリ設定を使用してレガシーTLSバージョンを無効にできます。詳細については、Windows Server Documentation を参照してください。

  6. 以前にインポートした証明書を選択します。OK を押します。

    サイトバインディングの追加ウィンドウのスクリーンショット

  7. HTTPアクセスを削除するには、HTTPを選択して Remove をクリックします。

    サイトバインディングウィンドウのスクリーンショット

StoreFrontサーバーのベースURLをHTTPからHTTPSに変更

SSL証明書をインストールおよび構成せずにCitrix StoreFrontをインストールおよび構成した場合、StoreFrontは通信にHTTPを使用します。

後でSSL証明書をインストールおよび構成する場合は、次の手順を使用してStoreFrontとそのサービスがHTTPS接続を使用するようにします。

  1. Citrix StoreFront管理コンソールの左ペインで Server Group を選択します。
  2. [操作] ペインで Change Base URL を選択します。

  3. ベースURLを https: で始まるように更新し、OK をクリックします。

    ベースURLウィンドウのスクリーンショット

HSTS

HTTPSをサーバー側で有効にした後でも、ユーザーのクライアントデバイスは脆弱です。たとえば、中間者攻撃者はStoreFrontサーバーを偽装し、ユーザーをだましてプレーンなHTTP経由で偽装サーバーに接続させることができます。これにより、ユーザーの資格情報などの機密情報にアクセスされる可能性があります。この解決策は、ユーザーのブラウザーがHTTP経由でサーバーにアクセスしようとしないようにすることです。これは、HTTP Strict Transport Security (HSTS) を使用して実現できます。

HSTSが有効になっている場合、サーバーはWebブラウザーに対し、Webサイトへのリクエストは常にHTTPS経由でのみ行うべきであることを示します。ユーザーがHTTPを使用してURLにアクセスしようとすると、ブラウザーは自動的にHTTPSを使用するように切り替わります。これにより、IISでのサーバー側検証だけでなく、安全な接続のクライアント側検証も保証されます。Webブラウザーは、構成された期間、この検証を維持します。

注:

HSTSを有効にすると、同じドメイン上のすべてのWebサイトに影響します。たとえば、Webサイトが https://www.company.com/Citrix/StoreWeb でアクセスできる場合、HSTSポリシーは https://www.company.com の下のすべてのWebサイトに適用されますが、これは望ましくない場合があります。

HSTSを有効にするには、いくつかのオプションがあります。

オプション1 - IIS

Windows Server 2019以降では、IISでHSTSを構成できます。

  1. Internet Information Services (IIS) Manager を開きます。
  2. Default Web Site (または適切なWebサイト) を選択します。
  3. 右側の [操作] ペインで HSTS… をクリックします。
  4. Enable を選択します。
  5. 最大有効期間 (例: 1年間は31536000) を入力します。
  6. 必要に応じて Redirect HTTP to HTTPS を選択します。
  7. OK を押します。

HSTS設定のスクリーンショット

オプション2 - StoreFront™管理コンソール

各ストアWebサイトの場合:

  1. ストアを選択し、Manage Receiver for Web Sites をクリックします。
  2. Webサイトを選択し、Configure… をクリックします。
  3. Advanced Settings タブに移動します。
  4. Enable strict transport security を選択します。
  5. Strict transport security policy duration を必要な値に更新します。
  6. OK をクリックします。

オプション3 - NetScaler®ロードバランサー

StoreFrontサーバーの前にNetScalerロードバランサーを使用している場合、仮想サーバーでHSTSを構成できます。詳細については、NetScaler documentation を参照してください。

HTTPSによるStoreFrontの保護
March 9, 2026
寄稿者: 
C C
March 9, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.