Documentación de productos
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Ver PDF

Comunicación remota con proveedores de almacenamiento de claves (KSP) (Technical Preview)

September 11, 2024
Contribución de: 
C

Introducción

Anteriormente, la comunicación remota para las operaciones criptográficas desde un VDA de Windows al servidor de FAS se realizaba mediante un par de proveedores de servicios criptográficos (CSP) que se ejecutaban en el VDA:

  • CitrixLogonCsp.dll: Para el inicio de sesión único (SSO) en el VDA
  • CitrixVirtualSmartcardCsp.dll: Para certificados de sesión

Con esta función, la operación criptográfica remota también se puede lograr mediante un par de KSP:

  • CitrixLogonKsp.dll: Para SSO en el VDA
  • CitrixVirtualSmartcardKsp.dll: Para certificados de sesión

KSP es la forma más reciente de exponer las operaciones criptográficas a las aplicaciones de Windows, lo que ofrece una mayor funcionalidad. Por ejemplo:

  • Se admiten certificados con claves ECC
  • Se admite el relleno del esquema de firma probabilística (PSS)

Nota:

No hay forma de habilitar las claves ECC en FAS.

Habilitar la comunicación remota con KSP

La comunicación remota con KSP se habilita mediante la creación de la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Tipo: string

Valor: on

  • Tanto el servidor de FAS como el software del VDA deben ejecutar el software CVAD 2407.

  • La comunicación remota de KSP se habilita mediante la creación de una clave de registro tanto en el servidor de FAS como en el VDA.

  • Reinicie el servidor de FAS y el VDA para que el cambio surta efecto.

Si no se cumple alguna de las condiciones anteriores, el VDA recurre a la comunicación remota con CSP.

Verificar si la comunicación remota con KSP está activada

En el servidor de FAS, puede comprobar si la comunicación remota con KSP está activada mediante PowerShell:

Comunicación remota con KSP habilitada

Para comprobar si se ha usado la comunicación remota con KSP para SSO en el VDA, busque el siguiente evento en el registro de aplicaciones de Windows del servidor de FAS:

SSO en el VDA

La operación SignHash2 indica el uso de la comunicación remota con KSP, mientras que SignHash indica la comunicación remota con CSP.

Del mismo modo, cuando se usa un certificado de sesión para la criptografía, como la autenticación de un cliente TLS, busque el siguiente evento en el servidor de FAS:

Evento de criptografía

Limitaciones conocidas

La comunicación remota con KSP solo se admite cuando el propio FAS está configurado para usar un KSP. Esta es la configuración predeterminada. Si FAS está configurado para usar un CSP, la comunicación remota con KSP no funcionará.

El parámetro relevante es:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> en el archivo %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Aquí, False indica que FAS está configurado con un KSP y, por lo tanto, se admite la comunicación remota con KSP.

Comunicación remota con proveedores de almacenamiento de claves (KSP) (Technical Preview)
September 11, 2024
Contribución de: 
C
September 11, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.