Documentación de productos
Secure Hub
Ver PDF

Citrix Secure Hub™

May 6, 2026
Contribución de: 
C C

Citrix Secure Hub es la plataforma de lanzamiento para la experiencia de Citrix Endpoint Management™ (anteriormente, XenMobile). Los usuarios inscriben sus dispositivos en Secure Hub para obtener acceso a la Tienda. Desde la Tienda, pueden agregar aplicaciones de productividad móvil desarrolladas por Citrix y aplicaciones de terceros.

Para conocer los requisitos del sistema de Secure Hub y otras aplicaciones de productividad móvil, consulta Requisitos del sistema.

Administración de Secure Hub

Realizas la mayoría de las tareas de administración relacionadas con Secure Hub durante la configuración inicial de Endpoint Management. Para que Secure Hub esté disponible para los usuarios, tanto para iOS como para Android, carga Secure Hub en la App Store de iOS y en Google Play Store.

Además de proporcionar un portal para las aplicaciones de Citrix, Secure Hub actualiza la mayoría de las directivas MDX almacenadas en Endpoint Management para las aplicaciones instaladas cuando se renueva la sesión de Citrix Gateway de un usuario después de la autenticación mediante Citrix Gateway.

Importante:

Los cambios en cualquiera de las siguientes directivas requieren que un usuario elimine y vuelva a instalar la aplicación para aplicar la directiva actualizada: Grupo de seguridad, Habilitar cifrado y Servidor Exchange de Secure Mail.

PIN de Citrix

  • Puedes configurar Secure Hub para que use el PIN de Citrix, una función de seguridad habilitada en la consola de Endpoint Management en Configuración > Propiedades de cliente. La configuración requiere que los usuarios de dispositivos móviles inscritos inicien sesión en Secure Hub y activen cualquier aplicación MDX encapsulada mediante un número de identificación personal (PIN).

La función de PIN de Citrix simplifica la experiencia de autenticación del usuario al iniciar sesión en las aplicaciones encapsuladas seguras. Los usuarios no tienen que introducir repetidamente otras credenciales como su nombre de usuario y contraseña de Active Directory.

  • Los usuarios que inician sesión en Secure Hub por primera vez deben introducir su nombre de usuario y contraseña de Active Directory. Durante el inicio de sesión, Secure Hub guarda las credenciales de Active Directory o un certificado de cliente en el dispositivo del usuario y luego solicita al usuario que introduzca un PIN. Cuando los usuarios vuelven a iniciar sesión, introducen el PIN para acceder de forma segura a sus aplicaciones de Citrix y a la Tienda, hasta que finalice el siguiente período de tiempo de espera por inactividad para la sesión de usuario activa. Las propiedades de cliente relacionadas te permiten cifrar secretos mediante el PIN, especificar el tipo de código de acceso para el PIN y especificar los requisitos de fuerza y longitud del PIN. Para obtener más información, consulta Propiedades de cliente.

  • Cuando la autenticación por huella digital está habilitada, los usuarios pueden iniciar sesión mediante una huella digital cuando se requiere autenticación sin conexión debido a la inactividad de la aplicación. Los usuarios aún tienen que introducir un PIN al iniciar sesión en Secure Hub por primera vez, al reiniciar el dispositivo y después de que expire el temporizador de inactividad. Para obtener información sobre cómo habilitar la autenticación por huella digital, consulta Autenticación por huella digital o Touch ID.

  • Fijación de certificados

  • Secure Hub para iOS y Android admite la fijación de certificados SSL. Esta función garantiza que se utilice el certificado firmado por tu empresa cuando los clientes de Citrix se comunican con Endpoint Management. La fijación de certificados evita las conexiones de los clientes a Endpoint Management cuando la instalación de un certificado raíz en el dispositivo compromete la sesión SSL. Cuando Secure Hub detecta algún cambio en la clave pública del servidor, Secure Hub deniega la conexión.

  • A partir de Android N, el sistema operativo ya no permite las autoridades de certificación (CA) agregadas por el usuario. Citrix recomienda usar una CA raíz pública en lugar de una CA agregada por el usuario.

Los usuarios que actualicen a Android N pueden experimentar problemas si utilizan CA privadas o autofirmadas. Las conexiones en dispositivos Android N se interrumpen en los siguientes escenarios:

  • CA privadas/autofirmadas y la opción CA de confianza requerida para Endpoint Management en el servicio AutoDiscovery está establecida en ACTIVADO. Para obtener más información, consulta Servicio AutoDiscovery de Endpoint Management.
  • CA privadas/autofirmadas y el servicio AutoDiscovery (ADS) no es accesible. Debido a problemas de seguridad, cuando ADS no es accesible, la CA de confianza requerida se activa (ACTIVADO) aunque se haya establecido inicialmente en DESACTIVADO.

Antes de inscribir dispositivos o actualizar Secure Hub, considera la posibilidad de habilitar la fijación de certificados. La opción está Desactivada de forma predeterminada y la administra el servicio AutoDiscovery (ADS) de Endpoint Management. Cuando habilitas la fijación de certificados, los usuarios no pueden inscribirse en Endpoint Management con un certificado autofirmado. Si los usuarios intentan inscribirse con un certificado autofirmado, se les advierte que el certificado no es de confianza. La inscripción falla si los usuarios no aceptan el certificado.

Para usar la fijación de certificados, solicita a Citrix que cargue los certificados en el servidor ADS de Citrix. Abre un caso de soporte técnico mediante el portal de asistencia de Citrix. Luego, proporciona la siguiente información:

  • El dominio que contiene las cuentas con las que los usuarios se inscribirán.
  • El nombre de dominio completo (FQDN) de Endpoint Management.
  • El nombre de instancia de Endpoint Management. De forma predeterminada, el nombre de instancia es zdm y distingue entre mayúsculas y minúsculas.
  • Tipo de ID de usuario, que puede ser UPN o Correo electrónico. De forma predeterminada, el tipo es UPN.
  • El puerto utilizado para la inscripción de iOS si cambiaste el número de puerto del puerto predeterminado 8443.
  • El puerto a través del cual Endpoint Management acepta conexiones si cambiaste el número de puerto del puerto predeterminado 443.
  • La URL completa de tu Citrix Gateway.
  • Opcionalmente, una dirección de correo electrónico para tu administrador de Endpoint Management.
  • Los certificados con formato PEM que quieres agregar al dominio.

Configuración de la autenticación con certificado + contraseña de un solo uso para Secure Hub

Puedes configurar Citrix ADC para que Secure Hub se autentique mediante un certificado más un token de seguridad que sirve como contraseña de un solo uso. Esta configuración proporciona una opción de seguridad sólida que no deja una huella de Active Directory en los dispositivos.

Para habilitar que Secure Hub use este tipo de autenticación, agrega una acción de reescritura y una directiva de reescritura en Citrix ADC que inserta un encabezado de respuesta personalizado con el formato X-Citrix-AM-GatewayAuthType: CertAndRSA para indicar el tipo de inicio de sesión de Citrix Gateway.

Normalmente, Secure Hub usa el tipo de inicio de sesión de Citrix Gateway configurado en la consola de Endpoint Management. Sin embargo, esta información no está disponible para Secure Hub hasta que Secure Hub complete el inicio de sesión por primera vez. Por lo tanto, se requiere el encabezado personalizado para permitir que Secure Hub haga esto.

Nota:

Si se configuran diferentes tipos de inicio de sesión en Endpoint Management y Citrix ADC, la configuración de Citrix ADC anula la configuración. Para obtener más información, consulta Citrix Gateway y Endpoint Management.

  1. En Citrix ADC, navega hasta Configuration > AppExpert > Rewrite > Actions.

  2. Haz clic en Agregar.

    Aparece la pantalla Create Rewrite Action.

  3. Rellena cada campo como se muestra en la siguiente figura y luego haz clic en Create.

    Imagen de la pantalla Create Rewrite Action

  • El siguiente resultado aparece en la pantalla principal Rewrite Actions.

    Imagen del resultado de la pantalla Rewrite Actions

  1. Vincula la acción de reescritura al servidor virtual como una directiva de reescritura. Ve a Configuración > NetScaler® Gateway > Servidores virtuales y, a continuación, selecciona tu servidor virtual.

    Imagen de la pantalla Servidores virtuales

  2. Haz clic en Modificar.

  3. En la pantalla Configuración de servidores virtuales, desplázate hasta Directivas.

    1. Haz clic en + para agregar una directiva.

    Imagen de la opción agregar directiva

    1. En el campo Elegir directiva, elige Reescritura.

  1. En el campo Elegir tipo, elige Respuesta.

    Imagen de la opción Respuesta

  2. Haz clic en Continuar.

    La sección Enlace de directivas se expande.

    Imagen de la sección Enlace de directivas

  3. Haz clic en Seleccionar directiva.

    Aparece una pantalla con las directivas disponibles.

  • Imagen de las directivas disponibles

  1. Haz clic en la fila de la directiva que acabas de crear y, a continuación, haz clic en Seleccionar. La pantalla Enlace de directivas vuelve a aparecer, con la directiva seleccionada rellenada.

    Imagen de la directiva seleccionada

  2. Haz clic en Enlazar.

    Si el enlace se realiza correctamente, aparece la pantalla de configuración principal con la directiva de reescritura completada.

    Imagen de un enlace correcto

  3. Para ver los detalles de la directiva, haz clic en Directiva de reescritura.

    Imagen de los detalles de la directiva de reescritura

Requisito de puerto para la conectividad ADS en dispositivos Android

La configuración de puertos garantiza que los dispositivos Android que se conectan desde Secure Hub puedan acceder al ADS de Citrix desde la red corporativa. La capacidad de acceder a ADS es importante al descargar actualizaciones de seguridad disponibles a través de ADS. Es posible que las conexiones ADS no sean compatibles con tu servidor proxy. En este escenario, permite que la conexión ADS omita el servidor proxy.

Importante:

Secure Hub para Android e iOS requiere que permitas que los dispositivos Android accedan a ADS. Para obtener más información, consulta Requisitos de puertos en la documentación de Endpoint Management. Ten en cuenta que esta comunicación se realiza a través del puerto de salida 443. Es muy probable que tu entorno actual esté diseñado para permitir este acceso. Se recomienda encarecidamente a los clientes que no puedan garantizar esta comunicación que no actualicen a Secure Hub 10.2. Si tienes alguna pregunta, ponte en contacto con el servicio de asistencia de Citrix.

Para habilitar el anclaje de certificados, debes cumplir los siguientes requisitos previos:

  • Recopila los certificados de Endpoint Management y Citrix ADC. Los certificados deben estar en formato PEM y deben ser un certificado público, no la clave privada.
  • Ponte en contacto con el servicio de asistencia de Citrix y solicita la habilitación del anclaje de certificados. Durante este proceso, se te pedirán tus certificados.

Las nuevas mejoras del anclaje de certificados requieren que los dispositivos se conecten a ADS antes de que el dispositivo se inscriba. Esto garantiza que la información de seguridad más reciente esté disponible para Secure Hub en el entorno en el que se inscribe el dispositivo. Si los dispositivos no pueden llegar a ADS, Secure Hub no permite la inscripción del dispositivo. Por lo tanto, abrir el acceso a ADS dentro de la red interna es fundamental para permitir que los dispositivos se inscriban.

Para permitir el acceso a ADS para Secure Hub para Android, abre el puerto 443 para las siguientes direcciones IP y FQDN:

FQDN Dirección IP Puerto Uso de IP y puerto
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - Comunicación ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com: ten en cuenta que SecureHub versión 10.6.15 y posteriores usa ads.xm.cloud.com. 34.194.83.188 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com: ten en cuenta que SecureHub versión 10.6.15 y posteriores usa ads.xm.cloud.com. 34.193.202.23 443 Secure Hub - Comunicación ADS

Si el anclaje de certificados está habilitado:

  • Secure Hub ancla tu certificado empresarial durante la inscripción del dispositivo.

  • Durante una actualización, Secure Hub descarta cualquier certificado anclado actualmente y, a continuación, ancla el certificado del servidor en la primera conexión para los usuarios inscritos.

    Nota:

    Si habilitas la fijación de certificados después de una actualización, los usuarios deben volver a inscribirse.

  • La renovación del certificado no requiere una nueva inscripción, siempre que la clave pública del certificado no haya cambiado.

La fijación de certificados es compatible con los certificados hoja, no con los certificados intermedios o de emisor. La fijación de certificados se aplica a los servidores de Citrix, como Endpoint Management y Citrix Gateway, y no a los servidores de terceros.

Funciones de Secure Hub

Secure Hub te permite supervisar y aplicar políticas móviles a la vez que proporciona acceso a la Store y asistencia en directo. Los usuarios empiezan por descargar Secure Hub en sus dispositivos desde la tienda de aplicaciones de Apple, Android o Windows.

Cuando se abre Secure Hub, los usuarios introducen las credenciales proporcionadas por sus empresas para inscribir sus dispositivos en Secure Hub. Para obtener más detalles sobre la inscripción de dispositivos, consulta Usuarios, cuentas, roles e inscripción.

En Secure Hub para Android, durante la instalación y la inscripción iniciales, aparece el siguiente mensaje: ¿Permitir que Secure Hub acceda a fotos, contenido multimedia y archivos en tu dispositivo?

Ten en cuenta que este mensaje procede del sistema operativo Android y no de Citrix. Cuando tocas Permitir, Citrix y los administradores que gestionan Secure Hub no ven tus datos personales en ningún momento. Sin embargo, si realizas una sesión de asistencia remota con tu administrador, este puede ver tus archivos personales dentro de la sesión.

Una vez inscritos, los usuarios ven las aplicaciones y los escritorios que has enviado a su ficha Mis aplicaciones. Los usuarios pueden agregar más aplicaciones desde la Store. En los teléfonos, el enlace a la Store se encuentra debajo del icono de menú de hamburguesa de Configuración, en la esquina superior izquierda.

Imagen del enlace a la Store

En las tabletas, la Store es una ficha independiente.

Imagen de la Store en tabletas

Cuando los usuarios con iPhone que ejecutan iOS 9 o posterior instalan aplicaciones de productividad móvil desde la tienda de aplicaciones de Endpoint Management, ven un mensaje que indica que el desarrollador empresarial, Citrix, no es de confianza en ese iPhone y que la aplicación no estará disponible para su uso hasta que el desarrollador sea de confianza. Cuando aparece este mensaje, Secure Hub pide a los usuarios que consulten una guía que les enseña el proceso para confiar en las aplicaciones empresariales de Citrix para su iPhone.

Para implementaciones solo de MAM, puedes configurar Endpoint Management para que los usuarios con dispositivos Android o iOS que se inscriben en Secure Hub mediante credenciales de correo electrónico se inscriban automáticamente en Secure Mail. Los usuarios no tienen que introducir más información ni realizar más pasos para inscribirse en Secure Mail.

La primera vez que se usa Secure Mail, Secure Mail obtiene la dirección de correo electrónico, el dominio y el ID de usuario del usuario de Secure Hub. Secure Mail usa la dirección de correo electrónico para el autodescubrimiento. El servidor de Exchange se identifica mediante el dominio y el ID de usuario, lo que permite a Secure Mail autenticar al usuario automáticamente. Se pide al usuario que introduzca una contraseña si la política está configurada para no pasar la contraseña, pero no se le exige que introduzca más información.

Para habilitar esta función, crea tres propiedades:

  • La propiedad de servidor MAM_MACRO_SUPPORT. Para obtener instrucciones, consulta Propiedades del servidor.
  • Las propiedades de cliente ENABLE_CREDENTIAL_STORE y SEND_LDAP_ATTRIBUTES. Para obtener instrucciones, consulta Propiedades del cliente.

Si quieres personalizar tu Store, ve a Configuración > Personalización del cliente para cambiar el nombre, agregar un logotipo y especificar cómo aparecen las aplicaciones.

Imagen de la personalización del cliente

Puedes modificar las descripciones de las aplicaciones en la consola de Endpoint Management. Haz clic en Configurar y, a continuación, haz clic en Aplicaciones. Selecciona la aplicación de la tabla y, a continuación, haz clic en Modificar. Selecciona las plataformas para la aplicación cuya descripción estás modificando y, a continuación, escribe el texto en el cuadro Descripción.

Imagen del cuadro Descripción

En la Store, los usuarios pueden explorar solo las aplicaciones y los escritorios que has configurado y protegido en Endpoint Management. Para agregar la aplicación, los usuarios tocan Detalles y, a continuación, tocan Agregar.

Secure Hub también ofrece a los usuarios una variedad de formas de obtener ayuda. En las tabletas, al tocar el signo de interrogación en la esquina superior derecha se abren las opciones de ayuda. En los teléfonos, los usuarios tocan el icono de menú de hamburguesa en la esquina superior izquierda y, a continuación, tocan Ayuda.

Imagen de la pantalla de Ayuda

Tu departamento de TI muestra el teléfono y el correo electrónico del servicio de asistencia de tu empresa, al que los usuarios pueden acceder directamente desde la aplicación. Introduce los números de teléfono y las direcciones de correo electrónico en la consola de Endpoint Management. Haz clic en el icono de engranaje de la esquina superior derecha. Aparece la página Configuración. Haz clic en Más y, a continuación, haz clic en Asistencia al cliente. Aparece la pantalla donde introduces la información.

Imagen de la pantalla de Asistencia al cliente

Notificar un problema muestra una lista de aplicaciones. Los usuarios seleccionan la aplicación que tiene el problema. Secure Hub genera automáticamente registros y, a continuación, abre un mensaje en Secure Mail con los registros adjuntos como un archivo zip. Los usuarios agregan líneas de asunto y descripciones del problema. También pueden adjuntar una captura de pantalla.

Enviar comentarios a Citrix abre un mensaje en Secure Mail con una dirección de asistencia de Citrix rellenada. En el cuerpo del mensaje, el usuario puede introducir sugerencias para mejorar Secure Mail. Si Secure Mail no está instalado en el dispositivo, se abre el programa de correo nativo.

Los usuarios también pueden tocar Asistencia de Citrix, lo que abre el Citrix Knowledge Center. Desde allí, pueden buscar artículos de asistencia para todos los productos de Citrix.

En Preferencias, los usuarios pueden encontrar información sobre sus cuentas y dispositivos.

Secure Hub también proporciona políticas de geolocalización y geoseguimiento si, por ejemplo, quieres asegurarte de que un dispositivo corporativo no traspase un determinado perímetro geográfico. Para obtener más detalles, consulta Directiva de ubicación de dispositivos. Además, Secure Hub recopila y analiza automáticamente la información de fallos para que puedas ver qué provocó un fallo en particular. Esta función es compatible con el software Crashlytics.

Citrix Secure Hub™
May 6, 2026
Contribución de: 
C C
May 6, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.