Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Comunicaciones seguras

April 16, 2026
Contribución de: 
C C

  • Para proteger la comunicación entre el servidor de Citrix Virtual Apps and Desktops y la aplicación Citrix Workspace, puedes integrar tus conexiones de la aplicación Citrix Workspace mediante una serie de tecnologías seguras, como las siguientes:

  • Citrix Gateway: Para obtener información, consulta los temas de esta sección y la documentación de Citrix Gateway y StoreFront.
  • Un firewall: Los firewalls de red pueden permitir o bloquear paquetes según la dirección y el puerto de destino.
  • Se admiten las versiones 1.2 y 1.3 de Transport Layer Security (TLS).
  • Servidor de confianza para establecer relaciones de confianza en las conexiones de la aplicación Citrix Workspace.
  • Firma de archivos ICA®
  • Protección de la Autoridad de seguridad local (LSA)
  • Servidor proxy solo para implementaciones de Citrix Virtual Apps: Un servidor proxy SOCKS o un servidor proxy seguro. Los servidores proxy ayudan a limitar el acceso a la red y desde ella. También gestionan las conexiones entre la aplicación Citrix Workspace y el servidor. La aplicación Citrix Workspace admite los protocolos proxy SOCKS y seguros.
    • Proxy de salida

Citrix Gateway

-  Citrix Gateway (anteriormente Access Gateway) protege las conexiones a los almacenes de StoreFront. Además, permite a los administradores controlar el acceso de los usuarios a los escritorios y las aplicaciones de forma detallada.

Para conectarte a escritorios y aplicaciones a través de Citrix Gateway:

-  1.  Especifica la URL de Citrix Gateway que te proporciona el administrador mediante una de las siguientes formas:

-  La primera vez que usas la interfaz de usuario de autoservicio, se te pide que introduzcas la URL en el cuadro de diálogo **Agregar cuenta**.
-  Cuando uses la interfaz de usuario de autoservicio más adelante, introduce la URL haciendo clic en **Preferencias** > **Cuentas** > **Agregar**.
-  Si estás estableciendo una conexión con el comando storebrowse, introduce la URL en la línea de comandos.

La URL especifica la puerta de enlace y, opcionalmente, un almacén específico:

  • Para conectarte al primer almacén que encuentra la aplicación Citrix Workspace, usa una URL con el siguiente formato:

  • Para conectarte a un almacén específico, usa una URL con el formato, por ejemplo: https://gateway.company.com?<storename>. Esta URL dinámica tiene un formato no estándar; no incluyas “=” (el carácter de signo “igual”) en la URL. Si estás estableciendo una conexión a un almacén específico con storebrowse, es posible que necesites comillas alrededor de la URL en el comando storebrowse.

  1. Cuando se te solicite, conéctate al almacén (a través de la puerta de enlace) usando tu nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulta la documentación de Citrix Gateway.

Cuando la autenticación se completa, se muestran tus escritorios y aplicaciones.

Conexión a través de firewall

  • Los firewalls de red pueden permitir o bloquear paquetes según la dirección y el puerto de destino. Si estás usando un firewall, la aplicación Citrix Workspace para Windows puede comunicarse a través del firewall tanto con el servidor web como con el servidor de Citrix.

  • Puertos de comunicación comunes de Citrix

  • Origen Tipo Puerto Detalles
  • Aplicación Citrix Workspace TCP 80/443 Comunicación con StoreFront
  • ICA o HDX TCP/UDP 1494 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX con fiabilidad de sesión TCP/UDP 2598 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX a través de TLS TCP/UDP 443 Acceso a aplicaciones y escritorios virtuales
  • Para obtener más información sobre los puertos, consulta el artículo del Centro de conocimiento CTX101810.

Transport Layer Security

Transport Layer Security (TLS) es el reemplazo del protocolo SSL (Secure Sockets Layer). El Internet Engineering Taskforce (IETF) lo renombró TLS cuando asumió la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos al proporcionar autenticación del servidor, cifrado del flujo de datos y comprobaciones de integridad de los mensajes. Algunas organizaciones, incluidas las organizaciones gubernamentales de EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también podrían requerir el uso de criptografía validada, como el Estándar Federal de Procesamiento de Información (FIPS) 140. FIPS 140 es un estándar para la criptografía.

Para usar el cifrado TLS como medio de comunicación, debes configurar el dispositivo de usuario y la aplicación Citrix Workspace. Para obtener información sobre cómo proteger las comunicaciones de StoreFront, consulta la sección Seguridad en la documentación de StoreFront. Para obtener información sobre cómo proteger VDA, consulta Transport Layer Security (TLS) en la documentación de Citrix Virtual Apps and Desktops.

Puedes usar las siguientes directivas para:

  • Aplicar el uso de TLS: Te recomendamos que uses TLS para conexiones que utilicen redes no confiables, incluida Internet.
  • Aplicar el uso de FIPS (Estándares Federales de Procesamiento de Información): Criptografía aprobada y sigue las recomendaciones de NIST SP 800-52. Estas opciones están deshabilitadas de forma predeterminada.
  • Aplicar el uso de una versión específica de TLS y conjuntos de cifrado TLS específicos: Citrix admite el protocolo TLS 1.2 y 1.3.
  • Conectarte solo a servidores específicos.
  • Comprobar la revocación del certificado del servidor.
  • Comprobar una directiva específica de emisión de certificados de servidor.
  • Seleccionar un certificado de cliente particular, si el servidor está configurado para solicitar uno.

La aplicación Citrix Workspace para Windows admite los siguientes conjuntos de cifrado para el protocolo TLS 1.2 y 1.3:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Importante:

Los siguientes conjuntos de cifrado están obsoletos para una seguridad mejorada:

-  Conjuntos de cifrado RC4 y 3DES
-  Conjuntos de cifrado con el prefijo "TLS_RSA_*"

-  > -   TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -   TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -   TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -   TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -   TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### Compatibilidad con TLS
  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.

  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red y selecciona la directiva Configuración de TLS y modo de cumplimiento.

    • Directiva de TLS y modo de cumplimiento

      1. Selecciona Habilitado para habilitar las conexiones seguras y cifrar la comunicación en el servidor. Configura las siguientes opciones:

    Nota:

    Citrix recomienda TLS para las conexiones seguras.

    1. Selecciona Requerir TLS para todas las conexiones para forzar a la aplicación Citrix Workspace a usar TLS para las conexiones a las aplicaciones y escritorios publicados.

    2. En el menú Modo de cumplimiento de seguridad, selecciona la opción adecuada:

      1. Ninguno - No se aplica ningún modo de cumplimiento.
      2. SP800-52 - Selecciona SP800-52 para cumplir con NIST SP 800-52. Selecciona esta opción solo si los servidores o la puerta de enlace siguen las recomendaciones de NIST SP 800-52.

      Nota:

      -  >
-  > Si seleccionas **SP800-52**, la criptografía aprobada por FIPS se usa automáticamente, incluso si **Habilitar FIPS** no está seleccionado. Además, habilita la opción de seguridad de Windows, **Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma**. De lo contrario, la aplicación Citrix Workspace podría fallar al conectarse a las aplicaciones y escritorios publicados.

      Si seleccionas SP800-52, establece la configuración de Directiva de comprobación de revocación de certificados en Comprobación de acceso completo y CRL obligatoria.

      Cuando seleccionas SP800-52, la aplicación Citrix Workspace verifica que el certificado del servidor sigue las recomendaciones de NIST SP 800-52. Si el certificado del servidor no cumple, la aplicación Citrix Workspace podría fallar al conectarse.

      1. Habilitar FIPS - Selecciona esta opción para forzar el uso de criptografía aprobada por FIPS. Además, habilita la opción de seguridad de Windows desde la directiva de grupo del sistema operativo, Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma. De lo contrario, la aplicación Citrix Workspace podría fallar al conectarse a las aplicaciones y escritorios publicados.

    3. En el menú desplegable Servidores TLS permitidos, selecciona el número de puerto. Usa una lista separada por comas para asegurarte de que la aplicación Citrix Workspace se conecte solo a un servidor específico. Puedes especificar comodines y números de puerto. Por ejemplo, *.citrix.com: 4433 permite conexiones a cualquier servidor cuyo nombre común termine en .citrix.com en el puerto 4433. El emisor del certificado afirma la exactitud de la información en un certificado de seguridad. Si Citrix Workspace no reconoce o no confía en el emisor, la conexión se rechaza.

    1. En el menú Versión de TLS, selecciona una de las siguientes opciones:

    • TLS 1.0, TLS 1.1 o TLS 1.2 - Esta es la configuración predeterminada, que se recomienda solo si existe un requisito empresarial para TLS 1.0 por motivos de compatibilidad.

    • TLS 1.1 o TLS 1.2 - Usa esta opción para asegurarte de que las conexiones usen TLS 1.1 o TLS 1.2.

    • TLS 1.2 - Esta opción se recomienda si TLS 1.2 es un requisito empresarial.

    1. Conjunto de cifrado TLS - Para forzar el uso de un conjunto de cifrado TLS específico, selecciona Gubernamental (GOV), Comercial (COM) o Todo (ALL).

    2. En el menú Directiva de comprobación de revocación de certificados, selecciona cualquiera de las siguientes opciones:

    • Comprobar sin acceso a la red - Se realiza la comprobación de la lista de revocación de certificados. Solo se usan los almacenes locales de la lista de revocación de certificados. Se ignoran todos los puntos de distribución. Una comprobación de la lista de revocación de certificados que verifique el certificado del servidor disponible desde el servidor SSL Relay/Citrix Secure Web Gateway de destino no es obligatoria.

    • Comprobación de acceso completo - Se realiza la comprobación de la lista de revocación de certificados. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. La comprobación de la lista de revocación de certificados para verificar el certificado del servidor disponible desde el servidor de destino no es crítica.

    • Comprobación de acceso completo y CRL obligatoria - Se realiza la comprobación de la lista de revocación de certificados, excepto para la autoridad de certificación raíz. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Comprobación de acceso completo y CRL obligatoria para todos - Se realiza la comprobación de la lista de revocación de certificados, incluida la CA raíz. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Sin comprobación - No se realiza ninguna comprobación de la lista de revocación de certificados.

    1. Mediante la OID de extensión de directiva, puedes limitar la aplicación Citrix Workspace para que se conecte solo a servidores con una directiva de emisión de certificados específica. Cuando seleccionas OID de extensión de directiva, la aplicación Citrix Workspace solo acepta certificados de servidor que contengan la OID de extensión de directiva.

    2. En el menú Autenticación de cliente, selecciona cualquiera de las siguientes opciones:

    • Deshabilitado - La autenticación de cliente está deshabilitada.

    • Mostrar selector de certificados - Solicita siempre al usuario que seleccione un certificado.

    • Seleccionar automáticamente si es posible - Solicita al usuario solo si hay una opción de certificado para identificar.

    • No configurado - Indica que la autenticación de cliente no está configurada.

    • Usar certificado especificado - Usa el certificado de cliente tal como se establece en la opción Certificado de cliente.

    1. Usa la configuración Certificado de cliente para especificar la huella digital del certificado de identificación y evitar solicitar al usuario innecesariamente.

    2. Haz clic en Aplicar y Aceptar para guardar la directiva.

Compatibilidad con la versión 1.3 del protocolo TLS

A partir de la versión 2409, la aplicación Citrix Workspace es compatible con la versión 1.3 del protocolo Transport Layer Security (TLS).

Nota:

Esta mejora requiere la versión 2303 o posterior de VDA.

Esta función está habilitada de forma predeterminada. Para deshabilitarla, haz lo siguiente:

  1. Abre el Editor del Registro usando regedit en el comando Ejecutar.
  2. Navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3.
  3. Crea una clave DWORD con el nombre EnableTLS1.3 y establece el valor de la clave en 0.

Limitaciones:

  • Las conexiones que usan Access Gateway o NetScaler Gateway Service intentan usar TLS 1.3. Sin embargo, estas conexiones recurren a TLS 1.2 porque Access Gateway y NetScaler Gateway Service aún no son compatibles con TLS 1.3.
    • La conexión directa a una versión de VDA que no es compatible con TLS 1.3 recurre a TLS 1.2.

Servidor de confianza

Aplicar conexiones de servidor de confianza

La directiva de configuración de servidor de confianza identifica y aplica las relaciones de confianza en las conexiones de la aplicación Citrix Workspace.

Mediante esta directiva, los administradores pueden controlar cómo el cliente identifica la aplicación o el escritorio publicados a los que se conecta. El cliente determina un nivel de confianza, llamado región de confianza, con una conexión. La región de confianza determina entonces cómo se configura el cliente para la conexión.

Habilitar esta directiva evita las conexiones a servidores que no se encuentran en las regiones de confianza.

De forma predeterminada, la identificación de la región se basa en la dirección del servidor al que se conecta el cliente. Para ser miembro de la región de confianza, el servidor debe ser miembro de la zona de sitios de confianza de Windows. Puedes configurar esto usando la configuración de zona de Internet de Windows.

-  Alternativamente, para la compatibilidad con clientes que no son de Windows, la dirección del servidor se puede considerar específicamente de confianza usando la configuración **Dirección** en la directiva de grupo. La dirección del servidor debe ser una lista de servidores separados por comas que admitan el uso de comodines, por ejemplo, `cps*.citrix.com`.

Requisito previo:

  • Asegúrate de haber instalado la aplicación Citrix Workspace para Windows versión 2409 o posterior.

    • Establece la resolución DNS en True en DDC cuando uses StoreFront interno y el FQDN del host en las opciones de Internet de Windows. Para obtener más información, consulta el artículo del Centro de conocimientos CTX135250.

    • Nota:

      No se requieren cambios en DDC si se usa la dirección IP en las opciones de seguridad de Internet de Windows.

  • Copia y pega la plantilla de directivas de cliente ICA más reciente según la siguiente tabla:
Tipo de archivo Copiar de Copiar en
  • |–|–|–|
  • receiver.admx Installation Directory\ICA Client\Configuration\receiver.admx %systemroot%\policyDefinitions
    CitrixBase.admx Installation Directory\ICA Client\Configuration\CitrixBase.admx %systemroot%\policyDefinitions
    receiver.adml Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml %systemroot%\policyDefinitions[MUIculture]
    CitrixBase.adml Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml %systemroot%\policyDefinitions[MUIculture]

Nota:

  • Asegúrate de usar los archivos .admx y .adml más recientes incluidos con la aplicación Citrix Workspace para Windows versión 2409 o posterior. Para obtener más detalles de configuración, consulta la documentación de Directiva de grupo.

  • Cierra cualquier instancia de la aplicación Citrix Workspace en ejecución y sal de la misma desde la bandeja del sistema.

    • Salir de la bandeja del sistema

Realiza los siguientes pasos para habilitar la configuración de servidor de confianza usando la plantilla administrativa de objeto de directiva de grupo:

    1. Abre la plantilla administrativa de objetivo de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
        1. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Enrutamiento de red:
    • Para implementaciones x64, selecciona Configurar la configuración de servidor de confianza en máquinas x64.
    • Para implementaciones x86, selecciona Configurar la configuración de servidor de confianza en máquinas x86.

  • Configurar la configuración de servidor de confianza

      1. Habilita la política seleccionada y selecciona la casilla de verificación Aplicar configuración de servidor de confianza.

  1. En el menú desplegable Zona de Internet de Windows, selecciona De confianza.

    Zona de Internet de Windows

  • Nota:

  • Puedes omitir la selección de opciones de la lista desplegable Dirección.

  1. Haz clic en Aceptar y Aplicar.
  2. Si el mismo usuario que ha iniciado sesión ha publicado recursos de Citrix, puedes continuar con lo siguiente o iniciar sesión con un usuario diferente.
    1. Abre Opciones de Internet de Windows y ve a Sitios de confianza > Sitios para agregar una dirección de dominio o un FQDN de VDA.

  • Nota:

  • Puedes agregar un dominio no válido *.test.com o un FQDN de VDA específico no válido o válido para probar la función.

    Opciones de Internet de Windows

  1. Según tus preferencias, cambia a De confianza o Sitios de la intranet local según la selección de zona en Zona de Internet de Windows dentro de la política Configurar la configuración de servidor de confianza.

    Para obtener más información, consulta Modificar la configuración de Internet Explorer en la sección Autenticar.

  2. Actualiza la Directiva de grupo en el dispositivo de destino donde está instalada la aplicación Citrix Workspace mediante un símbolo del sistema de administrador o reinicia el sistema.
  3. Asegúrate de que el FQDN interno de StoreFront se agregue a la zona de Intranet local o a las zonas de Sitios de confianza según la selección de zona en Zona de Internet de Windows dentro de la política Configurar la configuración de servidor de confianza. Para obtener información, consulta Modificar la configuración de Internet Explorer en la sección Autenticar. Además, asegúrate de que, en el caso de los almacenes de Gateway, la URL de Gateway debe agregarse a los Sitios de confianza.
  4. Abre la aplicación Citrix Workspace o los recursos publicados y valida la función.

Nota:

Si no has configurado los pasos anteriores, el inicio de la sesión podría fallar y podrías recibir el siguiente mensaje de error:

Error de servidor de confianza

Como solución alternativa, puedes deshabilitar la política Configurar la configuración de servidor de confianza en la GPO.

Confianza selectiva del cliente

Además de permitir o impedir conexiones a los servidores, el cliente también utiliza las regiones para identificar el acceso a archivos, micrófono o cámara web, y el inicio de sesión único (SSO).

Regiones Recursos Nivel de acceso
Internet Archivos, micrófono, web Solicitar acceso al usuario, SSO no permitido
Intranet Micrófono, web Solicitar acceso al usuario, SSO permitido
Sitios restringidos Todos Sin acceso y la conexión podría impedirse
De confianza Micrófono, web Lectura o escritura, SSO permitido

Cuando el usuario ha seleccionado el valor predeterminado para una región, podría aparecer el siguiente cuadro de diálogo:

Acceso a archivos HDX

Acceso a Citrix Workspace

Acceso a micrófono y cámara web HDX

Los administradores pueden modificar este comportamiento predeterminado creando y configurando las claves de registro de Confianza selectiva del cliente ya sea mediante la Directiva de grupo o en el registro. Para obtener más información sobre cómo configurar las claves de registro de Confianza selectiva del cliente, consulta el artículo de Knowledge Center CTX133565.

Protección de la Autoridad de seguridad local (LSA)

La aplicación Citrix Workspace admite la protección de la Autoridad de seguridad local (LSA) de Windows, que mantiene información sobre todos los aspectos de la seguridad local en un sistema. Este soporte proporciona el nivel LSA de protección del sistema a los escritorios alojados.

Conexión a través de un servidor proxy

Los servidores proxy se utilizan para limitar el acceso a tu red y desde ella, y para gestionar las conexiones entre la aplicación Citrix Workspace para Windows y los servidores. La aplicación Citrix Workspace admite los protocolos SOCKS y de proxy seguro.

Al comunicarse con el servidor, la aplicación Citrix Workspace utiliza la configuración del servidor proxy que se configura de forma remota en el servidor que ejecuta Workspace para web.

Al comunicarse con el servidor web, la aplicación Citrix Workspace utiliza la configuración del servidor proxy configurada a través de la configuración de Internet del explorador web predeterminado en el dispositivo del usuario. Configura la configuración de Internet del explorador web predeterminado en el dispositivo del usuario en consecuencia.

Para aplicar la configuración del proxy a través del archivo ICA en StoreFront, consulta el artículo de Knowledge Center CTX136516.

Compatibilidad con proxy SOCKS5 para EDT

Anteriormente, la aplicación Citrix Workspace solo admitía proxies HTTP que operaban en TCP. Sin embargo, la funcionalidad de proxy SOCKS5 ya era totalmente compatible dentro del Virtual Delivery Agent (VDA). Para obtener más información sobre la compatibilidad con VDA, consulta la documentación de Rendezvous V2.

A partir de la versión 2409, la aplicación Citrix Workspace ahora admite proxies SOCKS5 para Enlightened Data Transport (EDT), lo que mejora la compatibilidad con las configuraciones de red empresariales modernas.

Ventajas clave:

  • Compatibilidad ampliada con proxies: Conéctate sin problemas a través de proxies SOCKS5, ampliamente utilizados por los equipos de redes empresariales por su compatibilidad con el tráfico TCP y UDP.
  • Rendimiento mejorado de EDT: Aprovecha todas las ventajas de EDT (basado en UDP) para una transferencia de datos optimizada dentro de las sesiones de la aplicación Citrix Workspace.

Esta función está inhabilitada de forma predeterminada. Para habilitar esta función, haz lo siguiente:

  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.

  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red > Proxy > Configurar la configuración del proxy del cliente y selecciona los tipos de proxy.

  3. Establece los siguientes parámetros:

    • ProxyType: SocksV5
    • ProxyHost: Especifica la dirección del servidor proxy.

Para obtener más información, consulta Referencia de la configuración de ICA y el artículo de Knowledge Center CTX136516.

Compatibilidad con proxy de salida

SmartControl permite a los administradores configurar y aplicar directivas que afectan al entorno. Por ejemplo, es posible que quieras prohibir a los usuarios asignar unidades a sus escritorios remotos. Puedes lograr esa granularidad con la función SmartControl en Citrix Gateway.

El escenario cambia cuando la aplicación Citrix Workspace y Citrix Gateway pertenecen a cuentas empresariales separadas. En tales casos, el dominio del cliente no puede aplicar la función SmartControl porque el gateway no existe en el dominio. Entonces puedes usar el proxy ICA de salida. La función de proxy ICA de salida te permite usar la función SmartControl incluso cuando la aplicación Citrix Workspace y Citrix Gateway se implementan en diferentes organizaciones.

La aplicación Citrix Workspace admite el inicio de sesiones mediante el proxy LAN de NetScaler. Usa el complemento de proxy de salida para configurar un único proxy estático o seleccionar un servidor proxy en tiempo de ejecución.

Puedes configurar los proxies de salida mediante los siguientes métodos:

  • Proxy estático: El servidor proxy se configura proporcionando un nombre de host de proxy y un número de puerto.
  • Proxy dinámico: Se puede seleccionar un único servidor proxy entre uno o varios servidores proxy mediante el archivo DLL del complemento de proxy.

Puedes configurar el proxy de salida mediante la plantilla administrativa de objeto de directiva de grupo o el editor del Registro.

Para obtener más información sobre el proxy de salida, consulta Compatibilidad con proxy ICA de salida en la documentación de Citrix Gateway.

Compatibilidad con proxy de salida - Configuración

Nota:

Si se configuran tanto el proxy estático como los proxies dinámicos, la configuración del proxy dinámico tiene prioridad.

Configurar el proxy de salida mediante la plantilla administrativa de GPO:

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red.
  3. Selecciona una de las siguientes opciones:
    • Para proxy estático: Selecciona la directiva Configurar el proxy LAN de NetScaler® manualmente. Selecciona Habilitado y, a continuación, proporciona el nombre de host y el número de puerto.
    • Para proxy dinámico: Selecciona la directiva Configurar el proxy LAN de NetScaler mediante DLL. Selecciona Habilitado y, a continuación, proporciona la ruta completa al archivo DLL. Por ejemplo, C:\Workspace\Proxy\ProxyChooser.dll.
  4. Haz clic en Aplicar y Aceptar.

Configurar el proxy de salida mediante el editor del Registro:

  • Para proxy estático:
    • Inicia el editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Crea claves de valor DWORD de la siguiente manera:

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • Para proxy dinámico:

    • Inicia el editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Crea claves de valor DWORD de la siguiente manera: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Conexiones y certificados

Conexiones

  • Almacén HTTP
  • Almacén HTTPS
  • Citrix Gateway 10.5 y posteriores

Certificados

Nota:

La aplicación Citrix Workspace para Windows está firmada digitalmente. La firma digital tiene una marca de tiempo. Por lo tanto, el certificado es válido incluso después de su caducidad.

  • Privado (autofirmado)
  • Raíz
  • Comodín
  • Intermedio

Certificados privados (autofirmados)

Si existe un certificado privado en el gateway remoto, instala el certificado raíz de la autoridad de certificación de la organización en el dispositivo del usuario que accede a los recursos de Citrix.

Nota:

Si el certificado del gateway remoto no se puede verificar al establecer la conexión, aparece una advertencia de certificado no fiable. Esta advertencia aparece cuando el certificado raíz falta en el almacén de claves local. Cuando un usuario decide continuar a pesar de la advertencia, las aplicaciones se muestran, pero no se pueden iniciar.

Certificados raíz

Para los equipos unidos a un dominio, puedes usar una plantilla administrativa de objeto de directiva de grupo para distribuir y confiar en los certificados de CA.

Para los equipos no unidos a un dominio, la organización puede crear un paquete de instalación personalizado para distribuir e instalar el certificado de CA. Contacta con tu administrador de sistemas para obtener asistencia.

Certificados comodín

Los certificados comodín se usan en un servidor dentro del mismo dominio.

La aplicación Citrix Workspace admite certificados comodín. Usa certificados comodín siguiendo la política de seguridad de tu organización. Una alternativa a los certificados comodín es un certificado con la lista de nombres de servidor y la extensión Nombre alternativo del sujeto (SAN). Las autoridades de certificación privadas y públicas emiten estos certificados.

Certificados intermedios

Si tu cadena de certificados incluye un certificado intermedio, el certificado intermedio debe adjuntarse al certificado del servidor de Citrix Gateway. Para obtener más información, consulta Configurar certificados intermedios.

Lista de revocación de certificados

La lista de revocación de certificados (CRL) permite a la aplicación Citrix Workspace comprobar si el certificado del servidor ha sido revocado. La comprobación de certificados mejora la autenticación criptográfica del servidor y la seguridad general de la conexión TLS entre el dispositivo del usuario y un servidor.

Puedes habilitar la comprobación de CRL en varios niveles. Por ejemplo, es posible configurar la aplicación Citrix Workspace para que compruebe solo su lista de certificados local o para que compruebe las listas de certificados locales y de red. También puedes configurar la comprobación de certificados para permitir que los usuarios inicien sesión solo si se verifican todas las CRL.

Si estás configurando la comprobación de certificados en tu equipo local, sal de la aplicación Citrix Workspace. Comprueba que todos los componentes de Citrix Workspace, incluido el Centro de conexiones, estén cerrados.

Para obtener más información, consulta la sección Seguridad de la capa de transporte.

Compatibilidad para mitigar ataques de intermediario

La aplicación Citrix Workspace para Windows te ayuda a reducir el riesgo de un ataque de intermediario mediante la función de Fijación de certificados empresariales de Microsoft Windows. Un ataque de intermediario es un tipo de ciberataque en el que el atacante intercepta y retransmite mensajes en secreto entre dos partes que creen que se están comunicando directamente entre sí.

Anteriormente, cuando te ponías en contacto con el servidor de la tienda, no había forma de verificar si la respuesta recibida procedía del servidor con el que pretendías contactar o no. Mediante la función de Fijación de certificados empresariales de Microsoft Windows, puedes verificar la validez y la integridad del servidor fijando su certificado.

La aplicación Citrix Workspace para Windows está preconfigurada para saber qué certificado de servidor debe esperar para un dominio o sitio en particular mediante las reglas de fijación de certificados. Si el certificado del servidor no coincide con el certificado de servidor preconfigurado, la aplicación Citrix Workspace para Windows impide que la sesión se inicie.

Para obtener información sobre cómo implementar la función de Fijación de certificados empresariales, consulta la documentación de Microsoft.

Nota:

Debes tener en cuenta la caducidad del certificado y actualizar correctamente las directivas de grupo y las listas de confianza de certificados. De lo contrario, es posible que no puedas iniciar la sesión, incluso si no hay ningún ataque.

Comunicaciones seguras
April 16, 2026
Contribución de: 
C C
April 16, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.