Documentación de productos
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Ver PDF

Comunicación remota con proveedores de almacenamiento de claves (KSP) (Technical Preview)

February 26, 2025
Contribución de: 
C

Introducción

Anteriormente, la comunicación remota de las operaciones criptográficas desde un VDA de Windows al servidor de FAS se realizaba mediante un par de proveedores de servicios criptográficos (CSP) que se ejecutaban en el VDA:

  • CitrixLogonCsp.dll: Para Single Sign-On (SSO) en el VDA
  • CitrixVirtualSmartcardCsp.dll: Para certificados en sesión

Con esta función, la operación criptográfica remota también se puede realizar mediante un par de KSP:

  • CitrixLogonKsp.dll: Para SSO en el VDA
  • CitrixVirtualSmartcardKsp.dll: Para certificados en sesión

KSP es la forma más reciente de exponer operaciones criptográficas a aplicaciones de Windows, lo que proporciona más capacidades. Por ejemplo:

  • Se admiten certificados con claves ECC
  • Se admite el relleno del esquema de firma probabilística (PSS)

    Nota:

    No hay ninguna forma de habilitar las claves ECC en FAS.

Habilitar la comunicación remota de KSP

La comunicación remota de KSP se habilita creando la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Tipo: string

Valor: on

  • Tanto el servidor de FAS como el software de VDA deben ejecutar el software CVAD 2407.

  • La comunicación remota de KSP se habilita mediante la creación de una clave de registro tanto en el servidor FAS como en el VDA.

  • Reinicie el servidor de FAS y el VDA para que el cambio surta efecto.

Si no se cumple alguna de las condiciones anteriores, el VDA recurre al uso de comunicación remota de CSP.

Verificar si la comunicación remota de KSP está activada

En el servidor FAS, puede verificar si la comunicación remota de KSP está activada mediante Powershell:

Comunicación remota de KSP habilitada

Para comprobar si se ha utilizado la comunicación remota de KSP para el Single Sign-On de VDA, busque el siguiente evento en el registro de aplicaciones de Windows del servidor FAS:

SSO de VDA

La operación SignHash2 indica el uso de la comunicación remota de KSP, mientras que SignHash indica la comunicación remota de CSP.

De manera similar, cuando se usa un certificado en sesión para criptografía, como la autenticación de cliente TLS, busque el siguiente evento en el servidor de FAS:

Evento de criptografía

Limitaciones conocidas

La comunicación remota de KSP solo se admite cuando FAS está configurado para usar un KSP. Esta es la configuración predeterminada. Si FAS está configurado para usar un CSP, la comunicación remota de KSP no funcionará.

El parámetro relevante es:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> en el archivo %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Aquí, False indica que FAS está configurado con un KSP y, por lo tanto, se admite la comunicación remota de KSP.

Comunicación remota con proveedores de almacenamiento de claves (KSP) (Technical Preview)
February 26, 2025
Contribución de: 
C
February 26, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.