Documentación de productos
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Ver PDF

Acceso remoto a Proveedores de almacenamiento de claves (KSP) (Vista previa)

April 28, 2026
Contribución de: 
C C

Introducción

  • Anteriormente, el acceso remoto a las operaciones criptográficas desde un VDA de Windows al servidor FAS se lograba mediante un par de Proveedores de servicios criptográficos (CSP) que se ejecutaban en el VDA:

  • CitrixLogonCsp.dll - para el inicio de sesión único (SSO) en el VDA

  • CitrixVirtualSmartcardCsp.dll - para certificados en sesión

  • Con esta característica, el acceso remoto a las operaciones criptográficas también se puede lograr mediante un par de KSP:

  • CitrixLogonKsp.dll - para el SSO en el VDA
  • CitrixVirtualSmartcardKsp.dll - para certificados en sesión

KSP es la forma más reciente de exponer operaciones criptográficas a las aplicaciones de Windows, que ofrece más capacidades. Por ejemplo:

  • Se admiten certificados con claves ECC
  • Se admite el relleno de esquema de firma probabilística (PSS)

Nota:

  • No hay forma de habilitar las claves ECC en FAS.

Habilitar el acceso remoto a KSP

El acceso remoto a KSP se habilita creando la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Tipo: string

Valor: on

  • Tanto el servidor FAS como el software VDA deben ejecutar el software CVAD 2407.
  • El acceso remoto a KSP se habilita creando una clave de registro tanto en el servidor FAS como en el VDA.
  • Reinicia el servidor FAS y el VDA para que el cambio surta efecto.

Si no se cumple alguna de las condiciones anteriores, el VDA recurre al acceso remoto a CSP.

Verificar si el acceso remoto a KSP está activado

En el servidor FAS, puedes verificar si el acceso remoto a KSP está activado mediante Powershell:

Acceso remoto a KSP habilitado

Para verificar si se ha utilizado el acceso remoto a KSP para el SSO del VDA, busca el siguiente evento en el registro de aplicaciones de Windows del servidor FAS:

SSO del VDA

La operación SignHash2 indica el uso del acceso remoto a KSP, mientras que SignHash indica el acceso remoto a CSP.

De manera similar, cuando se utiliza un certificado en sesión para criptografía, como la autenticación de cliente TLS, busca el siguiente evento en el servidor FAS:

Evento de criptografía

Limitaciones conocidas

El acceso remoto a KSP solo se admite cuando el propio FAS está configurado para usar un KSP. Esta es la configuración predeterminada. Si FAS está configurado para usar un CSP, el acceso remoto a KSP no funcionará.

La configuración relevante es:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> en el archivo %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Aquí, False indica que FAS está configurado con un KSP y, por lo tanto, se admite el acceso remoto a KSP.

Acceso remoto a Proveedores de almacenamiento de claves (KSP) (Vista previa)
April 28, 2026
Contribución de: 
C C
April 28, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.