产品文档
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
查看 PDF

使用 HTTPS 保护 StoreFront

March 9, 2026
投稿者: 
C

Citrix 强烈建议使用 HTTPS 保护 StoreFront 与用户设备之间的通信。这可确保客户端与 StoreFront 之间发送的密码和其他数据经过加密。此外,纯 HTTP 连接可能会受到各种攻击(例如中间人攻击)的威胁,尤其是在从公共 Wi-Fi 热点等不安全位置建立连接时。如果未进行适当的 IIS 配置,StoreFront 将使用 HTTP 进行通信。

根据您的配置,用户可能通过网关或负载均衡器访问 StoreFront。您可以在网关或负载均衡器处终止 HTTPS 连接。但是,在这种情况下,Citrix 仍然建议您使用 HTTPS 在网关、负载均衡器和 StoreFront 之间建立安全连接。使用 NetScaler 负载均衡器时,有关证书要求,请参阅链接 ADC 设备上的服务器证书支持矩阵

如果 StoreFront 未配置为 HTTPS,则会显示以下警告:

状态警告“服务正在使用 HTTP 而非 HTTPS”

创建或导入证书

  • 确保 StoreFront 基本 URL 包含在 DNS 字段中作为公用名或主题备用名称 (SAN)。当在 StoreFront 服务器前面使用负载均衡器时,建议您同时包含服务器 FQDN 和负载均衡器 FQDN 作为 SAN。这允许您直接连接到特定的 StoreFront 服务器以进行故障排除。

  • 使用您组织的企业根 CA 或公共 CA 签署证书。

  • 如果用户通过负载均衡器或网关访问 StoreFront,则证书只需由负载均衡器或网关信任。如果用户直接连接到 StoreFront 服务器,则客户端必须信任该证书。

您必须在 Windows 的个人证书存储中创建或导入证书。要查看已安装的证书:

  1. 打开 IIS 信息服务 (IIS) 管理器
  2. 连接窗格中,选择服务器。
  3. 打开服务器证书

有关管理证书的更多信息,请参阅管理证书

为 HTTPS 配置 IIS

要在 StoreFront 服务器上为 HTTPS 配置 Microsoft Internet Information Services (IIS):

  1. 在左侧的树状视图中,选择默认网站(或相应的网站)。

  2. 在“操作”窗格中,单击绑定…

    IIS 管理服务器默认网站主屏幕的屏幕截图,突出显示绑定链接

  3. 在“绑定”窗口中,单击添加…

  4. 类型下拉列表中选择 https

  5. 在 Windows Server 2022 或更高版本上,单击禁用旧版 TLS 以禁用低于 1.2 的 TLS 版本。

    在较旧的 Windows Server 版本上,您可以使用 Windows 注册表设置禁用旧版 TLS 版本,请参阅 Windows Server 文档

  6. 选择之前导入的证书。按“确定”。

    添加站点绑定窗口的屏幕截图

  7. 要删除 HTTP 访问,请选择 HTTP 并单击删除

    站点绑定窗口的屏幕截图

  8. 更新基本 URL 以使用 https 协议。

HSTS

即使在服务器端启用了 HTTPS,用户的客户端设备仍然容易受到攻击。例如,中间人攻击者可能会欺骗 StoreFront 服务器,并诱骗用户通过纯 HTTP 连接到欺骗服务器。然后,他们可以访问敏感信息,例如用户的凭据。解决方案是确保用户的浏览器不会尝试通过 HTTP 访问服务器。您可以使用 HTTP 严格传输安全 (HSTS) 来实现此目的。

启用 HSTS 后,服务器会向 Web 浏览器指示对网站的请求应始终仅通过 HTTPS 进行。如果用户尝试使用 HTTP 访问 URL,浏览器将自动切换为使用 HTTPS。这可确保客户端对安全连接的验证以及 IIS 中的服务器端验证。Web 浏览器会在配置的时间段内保持此验证。

注意:

启用 HSTS 会影响同一域上的所有网站。例如,如果网站可通过 https://www.company.com/Citrix/StoreWeb 访问,则 HSTS 策略将应用于 https://www.company.com 下的所有网站,这可能不是期望的结果。

有多种启用 HSTS 的选项。

选项 1 - IIS

在 Windows Server 2019 及更高版本上,您可以在 IIS 中配置 HSTS。

  1. 打开 Internet Information Services (IIS) 管理器
  2. 选择默认网站(或相应的网站)。
  3. 在右侧的“操作”窗格中,单击 HSTS…
  4. 选择启用
  5. 输入最大使用期限,例如 31536000(一年)。
  6. (可选)选择将 HTTP 重定向到 HTTPS
  7. 确定

HSTS 设置的屏幕截图

选项 2 - StoreFront™ 管理控制台

对于每个应用商店网站:

  1. 选择应用商店并单击管理网站
  2. 选择网站并单击配置…
  3. 转到高级设置选项卡。
  4. 选择启用严格传输安全
  5. 严格传输安全策略持续时间更新为所需值。
  6. 单击确定

选项 3 - NetScaler® 负载均衡器

如果您在 StoreFront 服务器前面使用 NetScaler 负载均衡器,则可以在虚拟服务器上配置 HSTS。有关更多信息,请参阅 NetScaler 文档

使用 HTTPS 保护 StoreFront
March 9, 2026
投稿者: 
C
March 9, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.