Documentación de productos
Aplicación Citrix Workspace™ para iOS
Ver PDF

Seguridad

March 25, 2026
Contribución de: 
C C

Para proteger la comunicación entre tu granja de servidores y la aplicación Citrix Workspace, integra tus conexiones a la granja de servidores con una serie de tecnologías de seguridad, incluyendo Citrix Gateway.

Nota:

Citrix recomienda usar Citrix Gateway para proteger las comunicaciones entre los servidores StoreFront y los dispositivos de los usuarios.

  • Un servidor proxy SOCKS o un servidor proxy seguro (también conocido como servidor proxy de seguridad, servidor proxy HTTPS).

  • Puedes usar servidores proxy para limitar el acceso a tu red y desde ella, y para gestionar las conexiones entre la aplicación Citrix Workspace y los servidores. La aplicación Citrix Workspace es compatible con los protocolos proxy SOCKS y seguros.

  • Secure Web Gateway.

    Puedes usar Secure Web Gateway con Web Interface para proporcionar un único punto de acceso seguro y cifrado a través de Internet a los servidores de las redes corporativas internas.

    Puedes usar Secure Web Gateway con Web Interface para proporcionar datos únicos, seguros y cifrados. Los servidores de las redes corporativas internas pueden acceder a los datos protegidos a través de Internet.

  • Soluciones SSL Relay con protocolos Transport Layer Security (TLS).

  • Un firewall.

    Los firewalls de red pueden permitir o bloquear paquetes según la dirección de destino y el puerto.

    Si usas la aplicación Citrix Workspace a través de un firewall de red que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red o NAT), configura la dirección externa.

Compatibilidad con la conmutación por error de almacenes multisitio basada en la ubicación geográfica

A partir de la versión 24.12.0, la función de gestión de conmutación por error de varios almacenes mejora la gestión de conmutación por error de varios almacenes al ejecutar comprobaciones de direcciones de almacén de forma asíncrona y eliminar entradas de almacén obsoletas cuando se detecta una nueva dirección de almacén de conmutación por error. Cuando se produce una conmutación por error debido a una interrupción, el Global Server Load Balancer (GSLB) redirige al cliente a un nuevo sitio. Esta función garantiza que, al iniciar un almacén previamente agregado, el detector de Gateway comprueba si la dirección del almacén ha cambiado según la ubicación geográfica del usuario. Si se encuentra una nueva dirección, el cliente elimina automáticamente la entrada del almacén anterior y agrega la nueva. Este proceso se ejecuta en segundo plano, lo que permite una transición fluida al nuevo almacén sin intervención manual. Ten en cuenta que esta función solo se aplica a los almacenes locales.

Requisito previo:

El usuario debe iniciar sesión en el almacén.

  • Limitación:

Si la cookie de la sesión de inicio de sesión caduca, la conmutación por error de varios almacenes no se produce automáticamente porque la API para obtener la URL falla. En este caso, se te pedirá la página de inicio de sesión.

Compatibilidad con WSUI local mediante gateway

  • A partir de la versión 24.12.0, la aplicación Citrix Workspace para iOS también es compatible con la interfaz de usuario web para el almacén local que se encuentra detrás del gateway. El administrador debe configurar esta función, ya que no está habilitada de forma predeterminada. Para obtener más información sobre la configuración, consulta Nueva interfaz de usuario para almacenes locales (versión preliminar técnica).

  • La siguiente imagen muestra la interfaz de usuario actual:

WS Current UI

La siguiente imagen muestra la nueva interfaz de usuario:

WS Current UI

Citrix Gateway

Para permitir que los usuarios remotos se conecten a tu implementación de Citrix Endpoint Management a través de Citrix Gateway, puedes configurar certificados para que funcionen con StoreFront. El método para habilitar el acceso depende de la edición de Citrix Endpoint Management en tu implementación.

  • Si implementas Citrix Endpoint Management en tu red, permite las conexiones de usuarios internos o remotos a StoreFront a través de Citrix Gateway integrando Citrix Gateway con StoreFront. Esta implementación permite a los usuarios conectarse a StoreFront para acceder a las aplicaciones publicadas desde XenApp y a los escritorios virtuales desde XenDesktop. Los usuarios se conectan a través de la aplicación Citrix Workspace.

  • Secure Web Gateway

  • Este tema solo se aplica a las implementaciones que usan Web Interface.

Puedes usar Secure Web Gateway en modo Normal o en modo Relay para proporcionar un canal seguro de comunicación entre la aplicación Citrix Workspace y el servidor. Si usas Secure Web Gateway en modo Normal, la aplicación Citrix Workspace no requiere ninguna configuración. Verifica que los usuarios finales se conecten a través de Web Interface.

La aplicación Citrix Workspace usa la configuración remota del servidor Web Interface para conectarse a los servidores que ejecutan Secure Web Gateway.

Si el proxy de Secure Web Gateway está instalado en un servidor de la red segura, puedes usar el proxy de Secure Web Gateway en modo de retransmisión. Si usas el modo de retransmisión, el servidor de Secure Web Gateway funciona como un proxy y debes configurar la aplicación Citrix Workspace para que use:

  • El nombre de dominio completo (FQDN) del servidor de Secure Web Gateway.
  • El número de puerto del servidor de Secure Web Gateway.

Nota:

Secure Web Gateway versión 2.0 no es compatible con el modo de retransmisión.

El FQDN debe enumerar, en secuencia, los tres componentes siguientes:

  • Nombre de host
  • Dominio intermedio
  • Dominio de nivel superior

Por ejemplo, my_computer.example.com es un FQDN, porque enumera, en secuencia, un nombre de host (my_computer), un dominio intermedio (example) y un dominio de nivel superior (com). La combinación del dominio intermedio y el dominio de nivel superior (example. com) se conoce como nombre de dominio.

Servidor proxy

Los servidores proxy se usan para limitar el acceso a tu red y desde ella, y para gestionar las conexiones entre la aplicación Citrix Workspace y los servidores. La aplicación Citrix Workspace es compatible con los protocolos proxy SOCKS y seguros.

La aplicación Citrix Workspace usa la configuración del servidor proxy para comunicarse con el servidor de Citrix Virtual Apps and Desktops. La configuración del servidor proxy se configura de forma remota en el servidor de Web Interface.

Cuando la aplicación Citrix Workspace se comunica con el servidor web, la aplicación usa la configuración del servidor proxy. Configura la configuración del servidor proxy para el explorador web predeterminado en el dispositivo del usuario según corresponda.

Firewall

Los firewalls de red pueden permitir o bloquear paquetes según la dirección de destino y el puerto. Si usas un firewall en tu implementación, la aplicación Citrix Workspace debe poder comunicarse a través del firewall tanto con el servidor web como con el servidor de Citrix. El firewall debe permitir el tráfico HTTP para la comunicación del dispositivo del usuario con el servidor web. Normalmente, el tráfico HTTP se realiza a través del puerto HTTP estándar 80 o 443 si se usa un servidor web seguro. Para la comunicación con el servidor de Citrix, el firewall debe permitir el tráfico ICA entrante en los puertos 1494 y 2598.

Si el firewall está configurado para la traducción de direcciones de red (NAT), puedes usar Web Interface para definir asignaciones de direcciones internas a direcciones y puertos externos. Por ejemplo, si tu servidor de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) no está configurado con una dirección alternativa, puedes configurar Web Interface para proporcionar una dirección alternativa a la aplicación Citrix Workspace para iOS. La aplicación Citrix Workspace para iOS se conecta entonces al servidor usando la dirección externa y el número de puerto.

TLS

La aplicación Citrix Workspace es compatible con TLS 1.2 y 1.3 con los siguientes conjuntos de cifrado para conexiones TLS a XenApp y XenDesktop:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Nota:

La aplicación Citrix Workspace que se ejecuta en iOS 9 y versiones posteriores o en la versión 21.2.0 no es compatible con los siguientes conjuntos de cifrado TLS:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Transport Layer Security (TLS) es la versión más reciente y estandarizada del protocolo TLS. El Grupo de Trabajo de Ingeniería de Internet (IETF) lo renombró como TLS cuando asumió la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos al proporcionar autenticación de servidor, cifrado del flujo de datos y comprobaciones de integridad de mensajes. Algunas organizaciones, incluidas las organizaciones gubernamentales de EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también pueden requerir el uso de criptografía validada, como el Estándar Federal de Procesamiento de Información (FIPS) 140. FIPS 140 es un estándar para la criptografía.

La aplicación Citrix Workspace es compatible con claves RSA de 1024, 2048 y 3072 bits. También se admiten certificados raíz con claves RSA de 4096 bits.

Nota:

  • La aplicación Citrix Workspace usa la criptografía de la plataforma iOS para las conexiones entre la aplicación Citrix Workspace y StoreFront.

Configurar y habilitar TLS

Hay dos pasos principales para configurar TLS:

  1. Configura SSL Relay en tu servidor de Citrix Virtual Apps and Desktops™ y en tu servidor de Web Interface, y obtén e instala el certificado de servidor necesario.
  2. Instala el certificado raíz equivalente en el dispositivo del usuario.

Instalar certificados raíz en los dispositivos de los usuarios 

-  Para proteger las comunicaciones entre la aplicación Citrix Workspace habilitada para TLS y Citrix Virtual Apps and Desktops, necesitas un certificado raíz en el dispositivo del usuario. El certificado puede verificar la firma de la Autoridad de Certificación en el certificado del servidor.

iOS incluye unos 100 certificados raíz comerciales preinstalados. Si quieres usar un certificado diferente, puedes obtener uno de la Autoridad de Certificación e instalarlo en cada dispositivo del usuario.

Según las políticas y los procedimientos de tu organización, puedes instalar el certificado raíz en cada dispositivo del usuario en lugar de indicar a los usuarios que lo instalen. La forma más fácil y segura es agregar certificados raíz al llavero de iOS.

Para agregar un certificado raíz al llavero

  1. Envíate un correo electrónico con el archivo del certificado.
  2. Abre el archivo del certificado en el dispositivo. Esta acción inicia automáticamente la aplicación Acceso a Llaveros.
  3. Sigue las indicaciones para agregar el certificado.

  4. A partir de iOS 10, verifica que el certificado sea de confianza yendo a Ajustes de iOS > Información > Configuración de confianza de certificados.

    En Configuración de confianza de certificados, consulta la sección “HABILITAR CONFIANZA TOTAL PARA CERTIFICADOS RAÍZ”. Asegúrate de que tu certificado se haya seleccionado para la confianza total.

El certificado raíz está instalado. Los clientes habilitados para TLS y otras aplicaciones pueden usar el certificado raíz mediante TLS.

Compatibilidad con Transport Layer Security 1.3

A partir de la versión 23.9.0, la aplicación Citrix Workspace para iOS ahora es compatible con Transport Layer Security (TLS) 1.3, lo que mejora el rendimiento y la eficiencia. TLS 1.3 proporciona una seguridad sólida con sus potentes conjuntos de cifrado y claves de sesión de un solo uso.

Los usuarios finales pueden habilitarlo en la aplicación Citrix Workspace para iOS de la siguiente manera:

  1. Ve a Configuración avanzada > Versiones de TLS.
  2. Selecciona Versión de TLS 1.3.

TLS 1.3

Compatibilidad con DTLS 1.2

A partir de la versión 24.7.0, la aplicación Citrix Workspace para iOS es compatible con la versión 1.2 del protocolo DTLS. DTLS 1.2 ofrece mejoras con respecto a la versión anterior, lo que incluye algoritmos de cifrado robustos, mejores protocolos de enlace y protección contra varios ataques. Este protocolo mejora la seguridad general.

Nota:

Si hay algún problema con la versión 1.2 del protocolo DTLS, la aplicación Citrix Workspace para iOS recurre sin problemas a las versiones anteriores compatibles.

Compatibilidad con el servicio Citrix Device Posture

A partir de la versión 2402, la aplicación Citrix Workspace™ para iOS es compatible con el servicio Citrix Device Posture. El servicio Citrix Device Posture es una solución basada en la nube que ayuda a los administradores a aplicar ciertos requisitos que los dispositivos finales deben cumplir para obtener acceso a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) o Citrix Secure Private Access™.

Para la aplicación Citrix Workspace para iOS, la postura del dispositivo solo admite el análisis de la versión de la aplicación Citrix Workspace y la versión del sistema operativo del dispositivo iOS.

Para obtener más información, consulta la documentación de Device Posture.

Nota

Esta función solo es compatible con las tiendas en la nube.

Sitio de XenApp y XenDesktop®

Para configurar el sitio de XenApp® y XenDesktop:

Importante:

  • La aplicación Citrix Workspace utiliza sitios de XenApp y XenDesktop, que son compatibles con Citrix Secure Gateway 3.x.
  • La aplicación Citrix Workspace utiliza sitios web de Citrix Virtual Apps, que son compatibles con Citrix Secure Gateway 3.x.
  • Los sitios de XenApp y XenDesktop solo admiten la autenticación de un solo factor.
  • Los sitios web de Citrix Virtual Apps™ admiten la autenticación de un solo factor y de doble factor.
  • Todos los exploradores integrados son compatibles con Web Interface 5.4.

Antes de comenzar esta configuración, instala y configura Citrix Gateway para que funcione con Web Interface. Puedes adaptar estas instrucciones a tu entorno específico.

Si utilizas una conexión de Citrix Secure Gateway, no configures los ajustes de Citrix Gateway en la aplicación Citrix Workspace.

La aplicación Citrix Workspace utiliza un sitio de XenApp y XenDesktop para obtener información sobre las aplicaciones a las que un usuario final tiene derechos. En el proceso, la información se presenta a la aplicación Citrix Workspace que se ejecuta en tu dispositivo. Del mismo modo, puedes usar Web Interface para las conexiones tradicionales de Citrix Virtual Apps basadas en SSL. Para la misma conexión basada en SSL, puedes configurar Citrix Gateway. Los sitios de XenApp y XenDesktop que se ejecutan en Web Interface 5.x tienen esta capacidad de configuración integrada.

Configura el sitio de XenApp y XenDesktop para que admita conexiones desde una conexión de Citrix Secure Gateway:

  1. En el sitio de XenApp y XenDesktop, selecciona Administrar acceso seguro de clientes > Modificar la configuración de acceso seguro de clientes.
  2. Cambia el método de acceso a Gateway Direct.
  3. Introduce el FQDN de Secure Web Gateway.
  4. Introduce la información de Secure Ticket Authority (STA).

Nota:

Para Citrix Secure Gateway, Citrix recomienda usar la ruta predeterminada de Citrix (//XenAppServerName/Citrix/PNAgent). La ruta predeterminada permite a los usuarios finales especificar el FQDN de Secure Web Gateway al que se conectan. No utilices la ruta completa al archivo config.xml que se encuentra en el sitio de XenApp y XenDesktop. Por ejemplo, (//XenAppServerName/CustomPath/config.xml).

Para configurar Citrix Secure Gateway

  1. Utiliza el asistente de configuración de Citrix Secure Gateway para configurar el gateway.

    Citrix Secure Gateway es compatible con el servidor de la red segura que aloja el sitio del servicio XenApp.

    Después de seleccionar la opción Indirecto, introduce la ruta FQDN de tu servidor Secure Web Gateway y continúa con los pasos del asistente.

  2. Prueba una conexión desde un dispositivo de usuario para verificar que Secure Web Gateway esté configurado correctamente para la red y la asignación de certificados.

Para configurar el dispositivo móvil

  1. Al agregar una cuenta de Citrix Secure Gateway, introduce el FQDN coincidente de tu servidor Citrix Secure Gateway en el campo Dirección:
    • Si has creado el sitio de XenApp y XenDesktop utilizando la ruta predeterminada (/Citrix/PNAgent), introduce el FQDN de Secure Web Gateway: FQDNofSecureGateway.companyName.com
    • Si has personalizado la ruta del sitio de XenApp y XenDesktop, introduce la ruta completa del archivo config.xml, como: FQDNofSecureGateway.companyName.com/CustomPath/config.xml
  2. Si estás configurando la cuenta manualmente, desmarca la opción Citrix Gateway en el cuadro de diálogo Nueva cuenta.
Seguridad
March 25, 2026
Contribución de: 
C C
March 25, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.