Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Voir PDF

Gérer les clés de sécurité

April 1, 2026
Contributeur: 
C

Important :

  • Vous devez utiliser cette fonctionnalité en combinaison avec StoreFront™ 1912 LTSR CU2 ou version ultérieure.
  • La fonctionnalité Secure XML est uniquement prise en charge sur Citrix ADC et Citrix Gateway version 12.1 et ultérieure.

Remarque :

À partir de la version 2511, Citrix Web Studio (basé sur le Web) est la seule console de gestion pour Citrix Virtual Apps and Desktops™. Citrix Studio (basé sur MMC) a été supprimé de l’installateur. Cet article s’applique uniquement à Web Studio. Pour plus d’informations sur Citrix Studio, consultez l’article équivalent dans Citrix Virtual Apps and Desktops 7 2212 ou une version antérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec les Delivery Controllers. Une fois cette fonctionnalité activée, toutes les requêtes ne contenant pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Activez Web Studio pour afficher les paramètres de la fonctionnalité.

  2. Configurez les paramètres de votre site.

  3. Configurez les paramètres de StoreFront.

  4. Configurez les paramètres de Citrix ADC.

Configurer les paramètres du site

Vous pouvez utiliser Web Studio ou PowerShell pour configurer les paramètres de clé de sécurité de votre site.

Utiliser Web Studio

  1. Connectez-vous à Web Studio, sélectionnez Paramètres dans le volet gauche.

  2. Localisez la vignette Gérer la clé de sécurité et cliquez sur Modifier. La page Gérer la clé de sécurité apparaît.

    Assistant de gestion des clés de sécurité

  3. Cliquez sur l’icône d’actualisation pour générer les clés.

    Important :

    • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications sur les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation des clés.
    • Ne cliquez pas sur l’icône d’actualisation pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

  4. Sélectionnez l’endroit où une clé est requise pour les communications :

    • Exiger une clé pour les communications sur le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications sur le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article du Knowledge Center CTX127945.

    • Exiger une clé pour les communications sur le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications sur le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article du Knowledge Center CTX101988.

  5. Cliquez sur Enregistrer pour appliquer vos modifications et fermer la fenêtre.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations de Web Studio.

  1. Exécutez le SDK PowerShell distant de Citrix Virtual Apps™ and Desktops.

  2. Dans une fenêtre de commande, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer la clé 1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer la clé 2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez une ou les deux commandes suivantes pour activer l’utilisation d’une clé dans l’authentification des communications :
    • Pour authentifier les communications sur le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications sur le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres de StoreFront

Après avoir terminé la configuration de votre site, vous devez configurer les paramètres pertinents pour StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

Pour configurer la clé pour les communications sur le port XML, utilisez la commande Set-STFStoreFarm. Par exemple :

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

  • Path to store
  • Resource feed name
  • secret

Pour configurer la clé pour les communications sur le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

  • Gateway name
  • STA URL
  • Secret

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres de Citrix ADC

Remarque :

La configuration de cette fonctionnalité pour Citrix ADC n’est pas requise, sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, suivez ces étapes :

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP suivantes liées à Citrix ADC sont configurées.

      Adresse IP de gestion ADC

  • Adresse IP de sous-réseau (SNIP) pour permettre la communication entre l’appliance Citrix ADC et les serveurs back-end. Pour plus de détails, consultez Configuration des adresses IP de sous-réseau.
  • Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC et lancer des sessions. Pour plus de détails, consultez Créer un serveur virtuel.

Adresse IP de sous-réseau

  • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
    • Pour activer les modes, dans l’interface graphique de Citrix ADC, accédez à Système > Paramètres > Configurer le mode.
    • Pour activer les fonctionnalités, dans l’interface graphique de Citrix ADC, accédez à Système > Paramètres > Configurer les fonctionnalités de base.
  • Les configurations liées aux certificats sont terminées.
    • La demande de signature de certificat (CSR) est créée. Pour plus de détails, consultez Créer un certificat.

Créer un certificat CSR

-  Les certificats de serveur, les certificats d'autorité de certification (CA) et les certificats racine sont installés. Pour plus de détails, consultez [Installer, lier et mettre à jour](/fr-fr/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html).

Installer le certificat de serveur

Installer le certificat CA

-  Une passerelle Citrix Gateway a été créée pour Citrix Virtual Desktops. Testez la connectivité en cliquant sur le bouton **Tester la connectivité STA** pour confirmer que les serveurs virtuels sont en ligne. Pour plus de détails, consultez [Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops](/fr-fr/citrix-adc/current-release/solutions/deploy-xa-xd.html).

Passerelle pour les bureaux virtuels

  1. Ajoutez une action de réécriture. Pour plus de détails, consultez Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Réécriture > Actions.
    2. Cliquez sur Ajouter pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

Ajouter une action de réécriture

1.  Dans **Type**, sélectionnez **INSERT_HTTP_HEADER**.
1.  Dans **Nom d'en-tête**, saisissez X-Citrix-XmlServiceKey.
1.  Dans **Expression**, ajoutez `<XmlServiceKey1 value>` avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de la configuration de votre Desktop Delivery Controller™.

Valeur de la clé de service XML

  1. Ajoutez une stratégie de réécriture. Pour plus de détails, consultez Configuration d’une stratégie de réécriture.

    1. Accédez à AppExpert > Réécriture > Stratégies.

    2. Cliquez sur Ajouter pour ajouter une nouvelle stratégie.

Ajouter une stratégie de réécriture

1.  Dans **Action**, sélectionnez l'action créée à l'étape précédente.
1.  Dans **Expression**, ajoutez HTTP.REQ.IS_VALID.
1.  Cliquez sur **OK**.

  1. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Dans le cas contraire, les sessions ne se lanceront pas.

    Pour plus de détails, consultez Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs.
      • Dans la page Serveurs virtuels, cliquez sur Ajouter.

Ajouter un serveur d'équilibrage de charge

    -  Dans **Protocole**, sélectionnez **HTTP**.
    -  Ajoutez l'adresse IP virtuelle de l'équilibrage de charge et dans **Port**, sélectionnez **80**.
    -  Cliquez sur **OK**.
1.  Créez un service d'équilibrage de charge.
    -  Accédez à **Gestion du trafic > Équilibrage de charge > Services**.

Ajouter un service d'équilibrage de charge

    -  Dans **Serveur existant**, sélectionnez le serveur virtuel créé à l'étape précédente.
    -  Dans **Protocole**, sélectionnez **HTTP** et dans **Port**, sélectionnez **80**.
    -  Cliquez sur **OK**, puis sur **Terminé**.
1.  Lie le service au serveur virtuel.
    -  Sélectionnez le serveur virtuel créé précédemment et cliquez sur **Modifier**.
    -  Dans **Services et groupes de services**, cliquez sur **Aucune liaison de service de serveur virtuel d'équilibrage de charge**.

Lier le service à un serveur virtuel

    -  Dans **Liaison de service**, sélectionnez le service créé précédemment.
    -  Cliquez sur **Lier**.
1.  Lie la stratégie de réécriture créée précédemment au serveur virtuel.
    -  Sélectionnez le serveur virtuel créé précédemment et cliquez sur **Modifier**.
    -  Dans **Paramètres avancés**, cliquez sur **Stratégies**, puis dans la section **Stratégies**, cliquez sur **+**.

Lier la stratégie de réécriture

    -  Dans **Choisir une stratégie**, sélectionnez **Réécriture** et dans **Choisir un type**, sélectionnez **Requête**.
    -  Cliquez sur **Continuer**.
    -  Dans **Sélectionner une stratégie**, sélectionnez la stratégie de réécriture créée précédemment.
    -  Cliquez sur **Lier**.
    -  Cliquez sur **Terminé**.
1.  Configurez la persistance pour le serveur virtuel, si nécessaire.
    -  Sélectionnez le serveur virtuel créé précédemment et cliquez sur **Modifier**.
    -  Dans **Paramètres avancés**, cliquez sur **Persistance**.

Définir la persistance

    -  Sélectionnez le type de persistance **Autres**.
    -  Sélectionnez **DESTIP** pour créer des sessions de persistance basées sur l'adresse IP du service sélectionné par le serveur virtuel (l'adresse IP de destination).
    -  Dans **Masque de sous-réseau IPv4**, ajoutez le même masque de sous-réseau que celui du DDC.
    -  Cliquez sur **OK**.
1.  Répétez ces étapes pour l'autre serveur virtuel également.

Modifications de configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops™

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, vous devez apporter les modifications de configuration suivantes pour utiliser la fonctionnalité XML sécurisé.

  • Avant le lancement de la session, modifiez l’URL de l’autorité de ticket de sécurité de la passerelle pour utiliser les noms de domaine complets (FQDN) des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Toutefois, si le client a déjà configuré Citrix ADC pour Citrix Virtual Desktops, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Intégrer avec les produits Citrix et cliquez sur XenApp and XenDesktop®.
  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

Modifier la configuration de la passerelle existante

  1. Dans le volet StoreFront, cliquez sur l’icône de modification.

Modifier les détails de StoreFront

  1. Ajoutez l’URL de l’autorité de ticket sécurisé.
    • Si la fonctionnalité XML sécurisé est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
  • Si la fonctionnalité Secure XML est désactivée, l’URL du STA doit être l’URL du STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

Ajouter des URL STA

Gérer les clés de sécurité
April 1, 2026
Contributeur: 
C
April 1, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.