StoreFront

使用 HTTPS 保护 StoreFront 的安全

Citrix 强烈建议使用 HTTPS 来确保 StoreFront 与用户设备之间的通信安全。这样可以确保在客户端与 StoreFront 之间发送的密码和其他数据经过加密。此外,普通的 HTTP 连接可能会受到各种攻击(例如中间人攻击)的破坏,尤其是在从公共 Wi-Fi 热点等不安全的位置建立连接时。如果没有合适的 IIS 配置,StoreFront 将使用 HTTP 进行通信。

根据您的配置,用户可以通过网关或负载平衡器访问 StoreFront。您可以在网关或负载平衡器上终止 HTTPS 连接。但是,在这种情况下,Citrix 仍然建议您使用 HTTPS 保护网关与 StoreFront 之间的连接安全。

如果没有为 HTTPS 配置 StoreFront,则会显示以下警告:

Status warning "Service using HTTP not HTTPS"(状态警告“服务使用 HTTP 而非 HTTPS”)

创建证书

  • 请确保用于访问 StoreFront 的 FQDN 作为使用者备用名称 (SAN) 包含在 DNS 字段中。如果您使用的是负载平衡器,则同时包括单个服务器的 FQDN 和负载平衡器 FQDN

  • 使用第三方 CA(例如 Verisign)或组织的企业根 CA 对证书进行签名。

  • 以 PFX 格式导出证书(包括私钥)。

为 HTTPS 配置 IIS

要在 StoreFront 服务器上为 HTTPS 配置 Microsoft Internet Information Services (IIS),请执行以下操作:

  1. 打开 Internet Information Services (IIS) 管理器模块

  2. 在左侧的树形视图中,选择服务器。

  3. 在右侧窗格中,双击服务器证书

    IIS 管理控制台的屏幕截图,突出显示单击“服务器证书”的位置

  4. 在“服务器证书”屏幕中,您可以导入现有证书或者创建新证书。

    IIS 管理服务器证书的屏幕截图,突出显示单击导入的位置

  5. 在左侧的树形视图中,选择默认 Web 站点(或相应的 Web 站点)

  6. 在“操作”窗格中,单击绑定…

    IIS 管理服务器的默认 Web 站点主屏幕的屏幕截图,突出显示绑定链接

  7. 在绑定窗口中,单击添加…

  8. 类型下拉列表中,选择 https

  9. 在 Windows Server 2022 或更高版本中,单击禁用旧版 TLS 以禁用版本低于 1.2 的 TLS。

    在较旧的 Windows Server 版本中,可以使用 Windows 注册表设置禁用旧版 TLS 版本,请参阅 Windows Server 文档

  10. 选择之前导入的证书。按确定

    “添加站点绑定”窗口的屏幕截图

  11. 要删除 HTTP 访问权限,请选择“HTTP”,然后单击删除

    “站点绑定”窗口的屏幕截图

将 StoreFront 服务器基本 URL 从 HTTP 更改为 HTTPS

如果在未首先安装和配置 SSL 证书的情况下安装和配置 Citrix StoreFront,StoreFront 将使用 HTTP 进行通信。

如果稍后安装和配置 SSL 证书,请使用以下过程来确保 StoreFront 及其服务使用 HTTPS 连接。

  1. 在 Citrix StoreFront 管理控制台中,在左侧窗格中选择服务器组
  2. 在“操作”窗格中,选择更改基本 URL
  3. 更新基本 URL 以启动 https:,然后单击确定

    基本 URL 窗口的屏幕截图

HSTS

即使您在服务器端启用了 HTTPS,用户的客户端设备也容易受到攻击。例如,中间人攻击者可以欺骗 StoreFront 服务器并诱使用户通过普通 HTTP 连接到欺骗服务器。然后,他们可以访问敏感信息,例如用户的证书。解决方案是确保用户的浏览器不会尝试通过 HTTP 访问 RfWeb 服务器。您可以通过 HTTP 严格传输安全性 (HSTS) 来实现这一点。

启用 HSTS 后,服务器会向 Web 浏览器指示只应通过 HTTPS 向 Web 站点发出请求。如果用户尝试使用 HTTP 访问 URL,浏览器将自动切换到使用 HTTPS。这样可以确保安全连接的客户端验证以及在 IIS 中进行服务器端验证。Web 浏览器将在配置的时间段内保持此验证。

在 Windows Server 2019 及更高版本上:

  1. 打开 Internet Information Services (IIS) 管理器
  2. 选择默认 Web 站点(或相应的 Web 站点)。
  3. 在右侧的操作窗格中,单击 HSTS…
  4. 勾选启用,输入最长保留时间,例如 31536000(表示一年),然后勾选 Redirect HTTP to HTTPS(将 HTTP 重定向到 HTTPS)。
  5. 确定

HSTS 设置的屏幕截图

注意:

启用 HSTS 会影响同一域中的所有 Web 站点。例如,如果可以通过 https://www.company.com/Citrix/StoreWeb 访问 Web 站点,则 HSTS 策略将应用到 https://www.company.com 下的所有 Web 站点,这可能并不需要。

使用 HTTPS 保护 StoreFront 的安全