产品文档
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
查看 PDF

使用 HTTPS 保护 StoreFront

March 9, 2026
投稿者: 
C

Citrix 强烈建议使用 HTTPS 保护 StoreFront 与用户设备之间的通信。这可确保客户端与 StoreFront 之间发送的密码和其他数据经过加密。此外,纯 HTTP 连接可能会受到各种攻击(例如中间人攻击)的威胁,尤其是在从不安全的场所(例如公共 Wi-Fi 热点)建立连接时。如果没有适当的 IIS 配置,StoreFront 将使用 HTTP 进行通信。

根据您的配置,用户可以通过网关或负载平衡器访问 StoreFront。您可以在网关或负载平衡器处终止 HTTPS 连接。但是,在这种情况下,Citrix 仍然建议您使用 HTTPS 在网关、负载平衡器和 StoreFront 之间建立安全连接。使用 NetScaler 负载平衡器时,有关证书要求,请参阅链接 ADC 设备上的服务器证书支持矩阵

如果 StoreFront 未配置为使用 HTTPS,它将显示以下警告:

状态警告“服务正在使用 HTTP 而非 HTTPS”

创建或导入证书

  • 确保 StoreFront 基本 URL 作为公用名或主题备用名称 (SAN) 包含在 DNS 字段中。在 StoreFront 服务器前面使用负载平衡器时,建议您将服务器 FQDN 和负载平衡器 FQDN 都作为 SAN 包含在内。这允许您直接连接到特定的 StoreFront 服务器以进行故障排除。

  • 使用您组织的 enterprise root CA 或公共 CA 签署证书。

  • 如果用户通过负载平衡器或网关访问 StoreFront,则证书只需由负载平衡器或网关信任。如果用户直接连接到 StoreFront 服务器,则客户端必须信任该证书。

您必须在 Windows 的 “个人” 证书存储中创建或导入证书。要查看已安装的证书:

  1. 打开 “IIS 信息服务 (IIS) 管理器”
  2. “连接” 窗格中,选择服务器。
  3. 打开 “服务器证书”

有关管理证书的更多信息,请参阅 管理证书

配置 IIS 以使用 HTTPS

要在 StoreFront 服务器上配置 Microsoft Internet Information Services (IIS) 以使用 HTTPS:

  1. 在左侧的树状视图中,选择 “默认网站”(或相应的网站)

  2. 在“操作”窗格中,单击 “绑定…”

    IIS 管理服务器“默认网站”主屏幕突出显示绑定链接的屏幕截图

  3. 在“绑定”窗口中,单击 “添加…”

  4. “类型” 下拉列表中,选择 https

  5. 在 Windows Server 2022 或更高版本上,单击 “禁用旧版 TLS” 以禁用早于 1.2 的 TLS。

    在较旧的 Windows Server 版本上,您可以使用 Windows 注册表设置禁用旧版 TLS 版本,请参阅 Windows Server 文档

  6. 选择之前导入的证书。按 “确定”

    “添加站点绑定”窗口的屏幕截图

  7. 要删除 HTTP 访问,请选择 HTTP 并单击 “删除”

    “站点绑定”窗口的屏幕截图

  8. 更新 基本 URL 以使用 https 协议。

HSTS

即使在服务器端启用了 HTTPS,用户的客户端设备仍然容易受到攻击。例如,中间人攻击者可能会欺骗 StoreFront 服务器,并诱骗用户通过纯 HTTP 连接到欺骗服务器。然后,他们可以访问敏感信息,例如用户的凭据。解决方案是确保用户的浏览器不会尝试通过 HTTP 访问服务器。您可以使用 HTTP 严格传输安全 (HSTS) 来实现此目的。

启用 HSTS 后,服务器会向 Web 浏览器指示对网站的请求应始终通过 HTTPS 进行。如果用户尝试使用 HTTP 访问 URL,浏览器将自动切换为使用 HTTPS。这可确保安全连接的客户端验证以及 IIS 中的服务器端验证。Web 浏览器会在配置的时间段内保持此验证。

注意:

启用 HSTS 会影响同一域上的所有网站。例如,如果网站可通过 https://www.company.com/Citrix/StoreWeb 访问,则 HSTS 策略将应用于 https://www.company.com 下的所有网站,这可能不是您希望的。

有多种启用 HSTS 的选项。

选项 1 - IIS

在 Windows Server 2019 及更高版本上,您可以在 IIS 中配置 HSTS。

  1. 打开 “Internet Information Services (IIS) 管理器”
  2. 选择 “默认网站”(或相应的网站)。
  3. 在右侧的“操作”窗格中,单击 “HSTS…”
  4. 选择 “启用”
  5. 输入最大期限,例如一年为 31536000。
  6. (可选)选择 “将 HTTP 重定向到 HTTPS”
  7. “确定”

HSTS 设置的屏幕截图

选项 2 - StoreFront™ 管理控制台

对于每个应用商店网站:

  1. 选择应用商店,然后单击 “管理网站”
  2. 选择网站,然后单击 “配置…”
  3. 转到 “高级设置” 选项卡
  4. 选择 “启用严格传输安全”
  5. “严格传输安全策略持续时间” 更新为所需值。
  6. 单击 “确定”

选项 3 - NetScaler® 负载平衡器

如果您在 StoreFront 服务器前面使用 NetScaler 负载平衡器,则可以在虚拟服务器上配置 HSTS。有关详细信息,请参阅 NetScaler 文档

使用 HTTPS 保护 StoreFront
March 9, 2026
投稿者: 
C
March 9, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.