製品ドキュメント
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDFを表示

StoreFront の HTTPS によるセキュリティ保護

March 9, 2026
寄稿者: 
C C

Citrix は、StoreFront とユーザーデバイス間の通信を HTTPS を使用して保護することを強く推奨します。これにより、クライアントと StoreFront 間で送信されるパスワードやその他のデータが暗号化されます。さらに、特に公共の Wi-Fi ホットスポットなどの安全でない場所から接続する場合、プレーンな HTTP 接続は、中間者攻撃などのさまざまな攻撃によって危険にさらされる可能性があります。適切な IIS 構成がない場合、StoreFront は通信に HTTP を使用します。

構成によっては、ユーザーはゲートウェイまたはロードバランサーを介して StoreFront にアクセスする場合があります。HTTPS 接続はゲートウェイまたはロードバランサーで終端できます。ただし、この場合でも Citrix は、ゲートウェイと StoreFront 間の安全な接続に HTTPS を使用することを推奨します。NetScaler ロードバランサーを使用する場合の証明書要件については、リンク ADC アプライアンスでのサーバー証明書サポートマトリックスを参照してください。

StoreFront が HTTPS 用に構成されていない場合、次の警告が表示されます。

ステータス警告「サービスは HTTPS ではなく HTTP を使用しています」

証明書の作成またはインポート

  • StoreFront へのアクセスに使用されるベース URL の FQDN が、サブジェクト代替名 (SAN) として DNS フィールドに含まれていることを確認します。StoreFront サーバーの前にロードバランサーを使用している場合、ベース URL は StoreFront サーバーの FQDN ではなく、ロードバランサーの FQDN です。IIS の [ドメイン証明書の作成…] オプションは SAN を設定しないため、使用しないでください。

  • Verisign などのサードパーティ CA、または組織のエンタープライズルート CA を使用して証明書に署名します。

  • 内部証明機関を使用しており、デバイスが StoreFront サーバーに直接接続する場合は、それらのデバイスにルート証明書をインストールする必要があります。ユーザーがロードバランサーまたはゲートウェイを介して StoreFront にアクセスする場合、ルート証明書はそのロードバランサーまたはゲートウェイにのみインストールする必要があります。

Windows 証明機関を使用した証明書の作成

ドメインに Active Directory 証明書サービスサーバーがある場合は、それを使用して StoreFront サーバーまたはドメイン上の別のコンピューターから証明書を作成できます。

  1. [スタート] を押し、検索フィールドに「コンピューター証明書の管理」と入力します。

  2. [個人] > [証明書] を展開します。

  3. [証明書] を右クリックし、メニューから [すべてのタスク] > [新しい証明書を要求] を選択します。

  4. [証明書の登録ポリシーの選択] 画面で、[Active Directory 登録ポリシー] を選択します。

  5. テンプレート [Web サーバーのエクスポート可能]、または別の適切なテンプレートを選択します。

  6. [この証明書を登録するには、詳細情報が必要です。ここをクリックして設定を構成してください。] をクリックします。

  7. [証明書のプロパティ] 画面で、次の操作を行います。

    1. [サブジェクト名][共通名] を選択し、FQDN を入力します。
    2. [代替名][DNS] を選択し、FQDN を入力します。
    3. 必要に応じて、[全般] タブに移動し、フレンドリ名を入力します。
    4. [OK] を押します。

    証明書のプロパティウィンドウのスクリーンショット

  8. [登録] を押します。

StoreFront サーバーで証明書を作成した場合、その証明書は IIS で使用できるようになります。別のマシンで作成した場合は、エクスポートして StoreFront サーバーにインポートする必要があります。

既存の証明書のインポート

別のシステムで作成された証明書をインポートできます。証明書は PFX 形式であり、秘密キーを含んでいる必要があります。

  1. Internet Information Services (IIS) マネージャーコンソールを開きます。

  2. 左側のツリービューでサーバーを選択します。

  3. 右側のペインで [サーバー証明書] をダブルクリックします。

    サーバー証明書をクリックする場所を強調表示した IIS 管理コンソールのスクリーンショット

  4. [サーバー証明書] 画面で [インポート…] を押し、証明書ファイルを選択します。

    IIS 管理サーバー証明書画面のスクリーンショット

IIS の HTTPS 構成

StoreFront サーバーで Microsoft Internet Information Services (IIS) を HTTPS 用に構成するには、次の手順を実行します。

  1. 左側のツリービューで [Default Web Site] (または適切な Web サイト) を選択します。

  2. [操作] ペインで [バインド…] をクリックします。

    IIS 管理サーバーの Default Web Site ホーム画面でバインドリンクを強調表示したスクリーンショット

  3. [バインド] ウィンドウで [追加…] をクリックします。

  4. [種類] ドロップダウンで [https] を選択します。

  5. Windows Server 2022 以降では、[レガシー TLS を無効にする] をクリックして、1.2 より古い TLS を無効にします。

    以前の Windows Server バージョンでは、Windows レジストリ設定を使用してレガシー TLS バージョンを無効にできます。詳細については、Windows Server ドキュメントを参照してください。

  6. 以前にインポートした証明書を選択します。[OK] を押します。

    サイトバインドの追加ウィンドウのスクリーンショット

  7. HTTP アクセスを削除するには、HTTP を選択し、[削除] をクリックします。

    サイトバインドウィンドウのスクリーンショット

StoreFront サーバーのベース URL を HTTP から HTTPS に変更

SSL 証明書を最初にインストールおよび構成せずに Citrix StoreFront をインストールおよび構成すると、StoreFront は通信に HTTP を使用します。

後で SSL 証明書をインストールおよび構成する場合は、次の手順を使用して、StoreFront とそのサービスが HTTPS 接続を使用するようにします。

  1. Citrix StoreFront 管理コンソールの左ペインで、[サーバーグループ] を選択します。
  2. [操作] ペインで、[ベース URL の変更] を選択します。

  3. ベース URL を https: で始まるように更新し、[OK] をクリックします。

    ベース URL ウィンドウのスクリーンショット

HSTS

サーバー側で HTTPS を有効にした後でも、ユーザーのクライアントデバイスは脆弱です。たとえば、中間者攻撃者は StoreFront サーバーを偽装し、ユーザーをだましてプレーンな HTTP 経由で偽装サーバーに接続させることができます。これにより、ユーザーの資格情報などの機密情報にアクセスされる可能性があります。この解決策は、ユーザーのブラウザーが HTTP 経由でサーバーにアクセスしようとしないようにすることです。これは、HTTP Strict Transport Security (HSTS) を使用して実現できます。

HSTS を有効にすると、サーバーは Web ブラウザーに対し、Web サイトへの要求は常に HTTPS 経由でのみ行う必要があることを示します。ユーザーが HTTP を使用して URL にアクセスしようとすると、ブラウザーは自動的に HTTPS を使用するように切り替わります。これにより、IIS でのサーバー側検証だけでなく、クライアント側の安全な接続の検証も保証されます。Web ブラウザーは、構成された期間、この検証を維持します。

注:

HSTS を有効にすると、同じドメイン上のすべての Web サイトに影響します。たとえば、Web サイトが https://www.company.com/Citrix/StoreWeb でアクセスできる場合、HSTS ポリシーは https://www.company.com の下のすべての Web サイトに適用されますが、これは望ましくない場合があります。

HSTS を有効にするには、いくつかのオプションがあります。

オプション 1 - IIS

Windows Server 2019 以降では、IIS で HSTS を構成できます。

  1. [Internet Information Services (IIS) マネージャー] を開きます。
  2. [Default Web Site] (または適切な Web サイト) を選択します。
  3. 右側の [操作] ペインで、[HSTS…] をクリックします。
  4. [有効にする] を選択します。
  5. 最大有効期間を入力します (例: 1 年の場合は 31536000)。
  6. 必要に応じて、[HTTP を HTTPS にリダイレクト] を選択します。
  7. [OK] を押します。

HSTS 設定のスクリーンショット

オプション 2 - StoreFront™ 管理コンソール

各ストア Web サイトの場合:

  1. ストアを選択し、[Receiver for Web サイトの管理] をクリックします。
  2. Web サイトを選択し、[構成…] をクリックします。
  3. [詳細設定] タブに移動します。
  4. [厳格なトランスポートセキュリティを有効にする] を選択します。
  5. [厳格なトランスポートセキュリティポリシーの期間] を必要な値に更新します。
  6. [OK] をクリックします。

オプション 3 - NetScaler® ロードバランサー

StoreFront サーバーの前に NetScaler ロードバランサーを使用している場合は、仮想サーバーで HSTS を構成できます。詳細については、NetScaler ドキュメントを参照してください。

StoreFront の HTTPS によるセキュリティ保護
March 9, 2026
寄稿者: 
C C
March 9, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.