Conexiones y certificados

Conexiones

La aplicación Citrix Workspace para Linux respalda conexiones HTTPS y conexiones ICA sobre TLS a través de las siguientes configuraciones.

  • Para conexiones LAN:

    • StoreFront con Workspace para Web o servicios de StoreFront
    • Interfaz Web 5.4 para Windows, mediante la Interfaz Web o los servicios XenApp
  • Para conexiones locales o remotas seguras:

    • Citrix Gateway 12.0
    • NetScaler Gateway 10.1 y versiones posteriores
    • NetScaler Access Gateway Enterprise Edition 10
    • NetScaler Access Gateway Enterprise Edition 9.x
    • NetScaler Access Gateway VPX

    Para obtener información sobre las versiones de Citrix Gateway admitidas en StoreFront, consulte los requisitos del sistema para StoreFront.

Certificados

Para garantizar transacciones seguras entre el servidor y el cliente, use los siguientes certificados:

Certificados privados (autofirmados)

Si se ha instalado un certificado privado en la puerta de enlace remota, se debe disponer de un certificado raíz para la entidad de certificación de la empresa en el dispositivo con el fin de poder acceder a los recursos Citrix mediante la aplicación Citrix Workspace.

Nota:

Si el certificado de la puerta de enlace remota no se puede verificar en la conexión (debido a que no se incluyó el certificado raíz en el almacén de claves local), se muestra un mensaje de advertencia sobre la presencia de un certificado que no es de confianza. Si un usuario elige ignorar la advertencia y continuar con la conexión, se mostrarán aplicaciones, pero no se podrán iniciar. El certificado raíz debe instalarse en el almacén de certificados del cliente.

Certificados raíz en los dispositivos de usuario

Para equipos unidos a dominios, puede utilizar la plantilla administrativa de objeto de directiva de grupo para distribuir y configurar la confianza en los certificados de la CA.

Para equipos que no están unidos a un dominio, la organización puede crear un paquete de instalación personalizado para distribuir e instalar el certificado de la CA. Póngase en contacto con el administrador del sistema para recibir ayuda.

Instalación de certificados raíz en los dispositivos de los usuarios

Para obtener más información sobre cómo instalar certificados raíz en los dispositivos de los usuarios además de configurar la Interfaz Web, consulte Instalar certificados raíz en la documentación de la aplicación Citrix Workspace para Windows.

Certificados comodín

Se usan certificados comodín en lugar de los certificados de servidor individuales para cualquier servidor dentro del mismo dominio. La aplicación Citrix Workspace para Linux respalda el uso de certificados comodín, aunque deben usarse solo de acuerdo con la directiva de seguridad de la organización. En la práctica, se puede considerar la posibilidad de usar alternativas a certificados comodines, como por ejemplo, un certificado que contenga la lista de nombres de servidor dentro de la extensión de nombre de sujeto alternativo (Subject Alternative Name o SAN). Estos certificados pueden ser emitidos por entidades de certificación tanto privadas como públicas.

Certificados intermedios y Citrix Gateway

Si la cadena de certificados incluye un certificado intermedio, deberá añadir este certificado al certificado del servidor Citrix Gateway. Para obtener información, consulte Configurar certificados intermedios en la documentación de Citrix Gateway.

Directiva de validación conjunta de certificados de servidor

Esta versión de la aplicación Citrix Workspace para Linux tiene una directiva más estricta para validar los certificados del servidor.

Importante:

Antes de instalar la aplicación Citrix Workspace para Linux, confirme que los certificados presentes en el servidor o la puerta de enlace se han configurado correctamente como se describe aquí. Las conexiones pueden fallar si:

  • la configuración del servidor o la puerta de enlace incluye un certificado raíz incorrecto
  • la configuración del servidor o la puerta de enlace no incluye todos los certificados intermedios
  • la configuración del servidor o la puerta de enlace incluye un certificado intermedio caducado o no válido
  • la configuración del servidor o la puerta de enlace incluye un certificado intermedio con firmas cruzadas

Cuando valida un certificado de servidor, la aplicación Citrix Workspace para Linux usa ahora todos los certificados suministrados por el servidor (o la puerta de enlace) para validarlo. Al igual que en las versiones anteriores, esta versión de la aplicación Citrix Workspace para Linux también comprueba posteriormente que los certificados son de confianza. Si no todos los certificados son de confianza, la conexión falla.

Esta directiva es más estricta que la directiva de certificados presente en los exploradores Web. Muchos exploradores Web incluyen un gran conjunto de certificados raíz en los que confían.

El servidor (o la puerta de enlace) debe estar configurado con el conjunto correcto de certificados. Un conjunto incorrecto de certificados puede provocar que falle la conexión de la aplicación Citrix Workspace para Linux.

Supongamos que se configura una puerta de enlace con estos certificados válidos. Esta configuración se recomienda para los clientes que requieren una validación más estricta, que necesitan determinar exactamente cuál es el certificado raíz usa la aplicación Citrix Workspace para Linux:

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio - ejemplo”

  • “Certificado raíz - ejemplo”

A continuación, la aplicación Citrix Workspace para Linux comprueba que todos los certificados son válidos. La aplicación Citrix Workspace para Linux comprueba también que ya confía en “Certificado raíz - ejemplo”. Si la aplicación Citrix Workspace para Linux no confía en “Certificado raíz - ejemplo”, la conexión falla.

Importante:

  • Algunas entidades de certificación tienen más de un certificado raíz. Si necesita usar esta validación más estricta, compruebe que la configuración usa el certificado raíz correspondiente. Por ejemplo, actualmente hay dos certificados (“DigiCert”/”GTE CyberTrust Global Root” y “DigiCert Baltimore Root”/”Baltimore CyberTrust Root”) que pueden validar los mismos certificados de servidor. En algunos dispositivos de usuario, están disponibles ambos certificados raíz. En otros dispositivos, solo uno está disponible (“DigiCert Baltimore Root” o “Baltimore CyberTrust Root”). Si configura “GTE CyberTrust Global Root” en la puerta de enlace, fallarán las conexiones de la aplicación Citrix Workspace para Linux en esos dispositivos de usuario. Consulte la documentación de la entidad de certificación para determinar qué certificado raíz debe usarse. Tenga en cuenta que los certificados raíz también caducan, como todos los demás certificados.
  • Algunos servidores y puertas de enlace nunca envían el certificado raíz, aunque se haya configurado. En esos casos, esta validación más estricta no es posible.

Supongamos ahora que se configura una puerta de enlace con estos certificados válidos. Esta configuración, sin certificado raíz, es la que se suele recomendar:

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio - ejemplo”

A continuación, la aplicación Citrix Workspace para Linux usa estos dos certificados. Luego, busca un certificado raíz en el dispositivo del usuario. Si encuentra uno que se valida correctamente y también es de confianza (por ejemplo, “Certificado raíz - ejemplo”), la conexión se realiza correctamente. De lo contrario, la conexión falla. Esta configuración proporciona el certificado intermedio que necesita la aplicación Citrix Workspace para Linux, pero también permite que la aplicación Citrix Workspace para Linux elija cualquier certificado raíz válido y de confianza.

Supongamos ahora que se configura una puerta de enlace con estos certificados:

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio - ejemplo”

  • “Certificado raíz incorrecto”

Un explorador Web podría ignorar el certificado raíz incorrecto. No obstante, la aplicación Citrix Workspace para Linux no ignorará el certificado raíz incorrecto y la conexión fallará.

Algunas entidades de certificación usan más de un certificado intermedio. En este caso, la puerta de enlace se configura normalmente con todos los certificados intermedios (pero sin el certificado raíz):

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio 1 - ejemplo”

  • “Certificado intermedio 2 - ejemplo”

Importante:

  • Algunas entidades de certificación usan un certificado intermedio con firmas cruzadas. Este tipo de certificado está pensado para situaciones en que hay más de un certificado raíz: un certificado raíz anterior se usa al mismo tiempo que un certificado raíz posterior. En este caso, habrá al menos dos certificados intermedios. Por ejemplo, el certificado raíz anterior “Class 3 Public Primary Certification Authority” tiene el certificado intermedio correspondiente de firmas cruzadas “VeriSign Class 3 Public Primary Certification Authority - G5”. No obstante, un certificado raíz correspondiente posterior “VeriSign Class 3 Public Primary Certification Authority - G5” también está disponible y reemplaza a “Class 3 Public Primary Certification Authority”. El certificado raíz posterior no usa ningún certificado intermedio con firmas cruzadas.
  • El certificado intermedio con firmas cruzadas y el certificado raíz tienen el mismo nombre de sujeto (Emitido para). Pero el certificado intermedio con firmas cruzadas tiene otro nombre de emisor (Emitido por). Esto distingue el certificado intermedio con firmas cruzadas de un certificado intermedio normal (como “Certificado intermedio 2 - ejemplo”).

Esta configuración, sin certificado raíz y sin certificado intermedio con firmas cruzadas, es la que se suele recomendar:

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio - ejemplo”

No configure la puerta de enlace para que use el certificado intermedio con firmas cruzadas, porque selecciona el certificado raíz anterior:

  • “Certificado de servidor - ejemplo”

  • “Certificado intermedio - ejemplo”

  • “Certificado intermedio con firmas cruzadas de ejemplo” [no recomendado]

No se recomienda configurar la puerta de enlace solamente con el certificado del servidor:

  • “Certificado de servidor - ejemplo”

En este caso, si la aplicación Citrix Workspace para Linux no puede ubicar todos los certificados intermedios, la conexión falla.

Conexiones y certificados