Product Documentation

Protección de las comunicaciones de Citrix Receiver para iOS

Jan 23, 2018

En esta sección se ofrece información sobre la comunicación segura en Citrix Receiver para iOS.

Para proteger la comunicación entre la comunidad de servidores y Citrix Receiver para iOS, puede integrar las conexiones a la comunidad de servidores con la ayuda de diversas tecnologías de seguridad, incluido Citrix NetScaler Gateway. Para obtener más información sobre cómo configurar conexiones con Citrix StoreFront, consulte la documentación de StoreFront.

Nota

Citrix recomienda utilizar NetScaler Gateway para proteger las comunicaciones entre los servidores de StoreFront y los dispositivos de los usuarios.

  • Un servidor proxy SOCKS o un servidor proxy de seguridad (también conocido como servidor proxy seguro o servidor proxy HTTPS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre Citrix Receiver y los servidores. Citrix Receiver para iOS respalda el uso de SOCKS y protocolos de proxy seguro.
  • Secure Gateway. Puede utilizar Secure Gateway junto con la Interfaz Web para proporcionar un punto de acceso único, seguro y cifrado a Internet para los servidores situados en las redes internas de la organización.
  • Soluciones de Traspaso SSL con protocolos TLS (Transport Layer Security)
  • Un firewall. Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza Citrix Receiver para iOS a través de un firewall de red que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red o NAT), configure la dirección externa.

Acerca de los certificados

Certificados privados (autofirmados)

Si ha instalado un certificado privado en la puerta de enlace remota, debe disponer de un certificado raíz para la entidad de certificación de la empresa en el dispositivo con el fin de poder acceder correctamente a los recursos Citrix mediante Citrix Receiver para iOS.

Nota

Si el certificado de la puerta de enlace remota no se puede verificar en la conexión (debido a que no se incluyó el certificado raíz en el almacén de claves de iOS), aparece un mensaje de advertencia sobre la presencia de un certificado que no es de confianza. Si un usuario elige continuar, haciendo caso omiso del mensaje, aún se mostrará la lista de aplicaciones pero no se podrán iniciar.

Importación de certificados raíz en dispositivos con Citrix Receiver para iOS

Obtenga el certificado raíz de la autoridad emisora de certificados y envíelo por correo electrónico a una cuenta configurada en el dispositivo. Al seleccionar el adjunto, se le solicitará que importe el certificado raíz.

Certificados comodín

Se usan certificados comodín en lugar de los certificados de servidor individuales para cualquier servidor dentro del mismo dominio. Citrix Receiver para iOS admite certificados comodín.

Certificados intermedios con NetScaler Gateway

Si la cadena de certificados contiene un certificado intermedio, deberá añadir este certificado intermedio al certificado de servidor de NetScaler Gateway. Para obtener más información sobre esta tarea, consulte la documentación de NetScaler Gateway. Para obtener más información sobre cómo instalar y vincular un certificado intermedio a la entidad de certificación primaria de un dispositivo NetScaler Gateway, consulte el artículo How to Install and Link Intermediate Certificate with Primary CA on NetScaler Gateway.

Directiva de validación conjunta de certificados de servidor

Citrix Receiver para iOS 7.5 y las versiones posteriores presentan una directiva nueva más estricta para validar los certificados de servidor.

Important

Antes de instalar Citrix Receiver para iOS, confirme que los certificados presentes en el servidor o la puerta de enlace se han configurado correctamente como se describe aquí. Las conexiones pueden fallar si:

- la configuración del servidor o la puerta de enlace contiene un certificado raíz incorrecto
- la configuración del servidor o la puerta de enlace no contiene todos los certificados intermedios
- la configuración del servidor o la puerta de enlace contiene un certificado intermedio caducado o no válido por otros motivos
- la configuración del servidor o la puerta de enlace contiene un certificado intermedio con firmas cruzadas

Cuando valida un certificado de servidor, Citrix Receiver para iOS usa ahora todos los certificados suministrados por el servidor (o la puerta de enlace). Al igual que en las versiones anteriores, esta versión de Citrix Receiver para iOS también comprueba posteriormente que los certificados son de confianza.Si no todos los certificados son de confianza, la conexión falla.

Esta directiva es más estricta que la directiva de certificados presente en los exploradores Web.Muchos exploradores Web incluyen un gran conjunto de certificados raíz en los que confían.

El servidor (o la puerta de enlace) debe estar configurado con el conjunto correcto de certificados.Un conjunto incorrecto de certificados puede provocar que fallen las conexiones de Citrix Receiver para iOS.

Supongamos que se configura una puerta de enlace con estos certificados válidos. Esta configuración se recomienda para los clientes que requieren una validación más estricta, que necesitan determinar exactamente cuál es el certificado raíz que usa Citrix Receiver para iOS:

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo"
- "Certificado raíz de ejemplo"

A continuación, Citrix Receiver para iOS comprobará que todos los certificados son válidos.Citrix Receiver para iOS comprobará también que ya confía en "Certificado raíz de ejemplo". Si Citrix Receiver para iOS no confía en "Certificado raíz de ejemplo", la conexión falla.

Important

Algunas entidades de certificación tienen más de un certificado raíz. Si necesita usar esta validación más estricta, compruebe que la configuración usa el certificado raíz correspondiente. Por ejemplo, actualmente hay dos certificados ("DigiCert"/"GTE CyberTrust Global Root", and "DigiCert Baltimore Root"/"Baltimore CyberTrust Root") que pueden validar los mismos certificados de servidor. En algunos dispositivos de usuario, están disponibles ambos certificados raíz. En otros dispositivos, solo uno está disponible ("DigiCert Baltimore Root" o "Baltimore CyberTrust Root"). Si configura "GTE CyberTrust Global Root" en la puerta de enlace, fallarán las conexiones de Citrix Receiver para Mac en esos dispositivos de usuario.Consulte la documentación de la entidad de certificación para determinar qué certificado raíz debe usarse.Tenga en cuenta que los certificados raíz también caducan, como todos los demás certificados.

Nota

Algunos servidores y puertas de enlace nunca envían el certificado raíz, aunque se haya configurado. En esos casos, esta validación más estricta no es posible.

Supongamos ahora que se configura una puerta de enlace con estos certificados válidos.Esta configuración, sin certificado raíz, es la que se suele recomendar:

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo"

Citrix Receiver para iOS usará esos dos certificados. Luego, buscará un certificado raíz en el dispositivo del usuario.Si encuentra uno que se valida correctamente y también es de confianza (por ejemplo, "Certificado raíz de ejemplo"), la conexión se realiza correctamente. De lo contrario, la conexión falla. Tenga en cuenta que esta configuración proporciona el certificado intermedio que necesita Citrix Receiver para iOS, pero también permite que Citrix Receiver para iOS elija cualquier certificado raíz válido y de confianza.

Supongamos ahora que se configura una puerta de enlace con estos certificados:

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo"
- "Certificado raíz incorrecto"

Un explorador Web podría ignorar el certificado raíz incorrecto. No obstante, Citrix Receiver para iOS no ignorará el certificado raíz incorrecto y la conexión fallará.

Algunas entidades de certificación usan más de un certificado intermedio.En este caso, la puerta de enlace se configura normalmente con todos los certificados intermedios (pero sin el certificado raíz):

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo 1"
- "Certificado intermedio de ejemplo 2"

Important

Algunas entidades de certificación usan un certificado intermedio con firmas cruzadas.Este tipo de certificado está pensado para situaciones en que hay más de un certificado raíz: un certificado raíz anterior se usa al mismo tiempo que un certificado raíz posterior.En este caso, habrá al menos dos certificados intermedios.Por ejemplo, el certificado raíz anterior "Class 3 Public Primary Certification Authority" tiene el certificado intermedio correspondiente de firmas cruzadas "VeriSign Class 3 Public Primary Certification Authority - G5".No obstante, un certificado raíz posterior correspondiente "VeriSign Class 3 Public Primary Certification Authority - G5" también está disponible y reemplaza a "Class 3 Public Primary Certification Authority". El certificado raíz posterior no usa ningún certificado intermedio con firmas cruzadas.  

Nota

El certificado intermedio con firmas cruzadas y el certificado raíz tienen el mismo Nombre de sujeto (Emitido para), pero el certificado intermedio con firmas cruzadas tiene otro Nombre de emisor (Emitido por).Esto distingue el certificado intermedio con firmas cruzadas de un certificado intermedio normal (como "Certificado intermedio de ejemplo 2").

Esta configuración, sin certificado raíz y sin certificado intermedio con firmas cruzadas, es la que se suele recomendar:

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo"

No configure la puerta de enlace para que use el certificado intermedio con firmas cruzadas, porque Citrix Receiver para iOS seleccionará el certificado raíz anterior:

- "Certificado de servidor de ejemplo"
- "Certificado intermedio de ejemplo"
- "Certificado intermedio con firmas cruzadas de ejemplo" [no recomendado]

No se recomienda configurar la puerta de enlace solamente con el certificado del servidor:

- "Certificado de servidor de ejemplo"

En este caso, si Citrix Receiver para iOS no puede localizar todos los certificados intermedios, la conexión fallará.

Conexión con NetScaler Gateway

Para permitir que los usuarios remotos se conecten a su implementación de XenMobile mediante NetScaler Gateway, puede configurar los certificados para que funcionen con StoreFront. El método que se debe utilizar para habilitar el acceso depende de la edición de XenMobile existente en la implementación.

Si implementa XenMobile en la red, integre NetScaler Gateway con StoreFront para permitir las conexiones de usuarios internos y usuarios remotos a StoreFront a través de NetScaler Gateway. Con esta implementación, los usuarios pueden conectarse a StoreFront para acceder a las aplicaciones publicadas desde XenApp y a los escritorios virtuales desde XenDesktop. Los usuarios se pueden conectar mediante Citrix Receiver.

Para obtener información sobre cómo configurar conexiones con NetScaler Gateway, consulte Integrating with NetScaler Gateway and NetScaler.

Conexión con Secure Gateway

Este tema solo se aplica a entornos donde se usa la Interfaz Web.

Es posible usar Secure Gateway en modo Normal o en modo Relay (Traspaso) para proporcionar un canal de comunicaciones seguro entre Citrix Receiver y el servidor. No se necesita ninguna configuración de Citrix Receiver para iOS si se utiliza Secure Gateway en el modo Normal y los usuarios se conectan a través de la Interfaz Web.

Citrix Receiver para iOS usa parámetros que se configuran de forma remota en el servidor de la Interfaz Web para conectarse con los servidores que ejecutan Secure Gateway. Para obtener más información sobre la configuración de los parámetros de servidores proxy para Citrix Receiver para iOS, consulte la documentación de la Interfaz Web.

Si se instala Secure Gateway Proxy en un servidor de una red segura, se puede utilizar Secure Gateway Proxy en modo de traspaso (Relay). Para obtener más información acerca del modo Relay, consulte la documentación de XenApp y Secure Gateway.

Si se utiliza el modo Relay, el servidor Secure Gateway funciona como un proxy y es necesario configurar Citrix Receiver para iOS para que use lo siguiente:
  • El nombre de dominio completo (FQDN) del servidor Secure Gateway.
  • El número de puerto del servidor Secure Gateway. Tenga en cuenta que el modo Relay no recibe respaldo en la versión 2.0 de Secure Gateway.
El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:
  • Nombre de host
  • Dominio intermedio
  • Dominio superior

Por ejemplo, mi_equipo.ejemplo.com es un nombre de dominio completo (FQDN), ya que contiene una secuencia de nombre de host (mi_equipo), dominio intermedio (ejemplo) y dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (ejemplo.com) se conoce como nombre de dominio.

Conexión a través de un servidor proxy

Los servidores proxy se usan para limitar el acceso hacia y desde una red, y para ocuparse de las conexiones entre Citrix Receiver para iOS y los servidores. Citrix Receiver para iOS respalda el uso de SOCKS y protocolos de proxy seguro.

En la comunicación con el servidor XenApp o XenDesktop, Citrix Receiver para iOS utiliza los parámetros del servidor proxy configurados de forma remota en el servidor de la Interfaz Web. Para obtener más información sobre la configuración de los parámetros de servidores proxy para Receiver, consulte la documentación de la Interfaz Web.

En la comunicación con el servidor Web, Citrix Receiver para iOS utiliza los parámetros del servidor proxy configurados para el explorador Web predeterminado en el dispositivo de usuario. Se deben configurar los parámetros del servidor proxy para el explorador Web predeterminado en el dispositivo de usuario según corresponda.

Conexión a través de un firewall

Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza un firewall en la implementación, Citrix Receiver para iOS debe poder comunicarse a través de él con el servidor Web y el servidor Citrix. El firewall debe permitir el tráfico HTTP para la comunicación entre el dispositivo de usuario y el servidor Web (normalmente mediante un puerto HTTP 80 estándar o 443 si se usa un servidor Web seguro). Para las comunicaciones entre Receiver y el servidor Citrix, el firewall debe permitir el tráfico ICA entrante en los puertos 1494 y 2598.

Si el firewall se ha configurado para la traducción de direcciones de red (NAT), es posible usar la Interfaz Web para definir las asignaciones desde las direcciones internas hacia las direcciones externas y los puertos. Por ejemplo, si el servidor XenApp o XenDesktop no se ha configurado con una dirección alternativa, es posible configurar la Interfaz Web para proporcionar una dirección alternativa a Citrix Receiver para iOS. A continuación, Citrix Receiver para iOS se conecta con el servidor mediante la dirección externa y el número de puerto. Para obtener más información, consulte la documentación de la Interfaz Web.

Conexión mediante TLS

Citrix Receiver para iOS 7.2.2 y versiones posteriores respalda el uso de TLS 1.0, 1.1 y 1.2 con los siguientes conjuntos de cifrado para las conexiones TLS con XenApp/XenDesktop:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Nota: Citrix Receiver para iOS que se ejecuta en iOS 9 no respalda los siguientes conjuntos de cifrado TLS:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Transport Layer Security (TLS) es la versión estándar más reciente del protocolo TLS. La organización Internet Engineering Taskforce (IETF) le cambió el nombre a TLS al asumir la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos mediante la autenticación del servidor, el cifrado del flujo de datos y la comprobación de la integridad de los mensajes. Algunas organizaciones, entre las que se encuentran organizaciones del gobierno de los EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones pueden exigir también el uso de cifrado validado, como FIPS 140 (Federal Information Processing Standard). FIPS 140 es un estándar para cifrado.

Citrix Receiver para iOS respalda el uso de claves RSA de 1024, 2048 y 3072 bits. También se respaldan certificados raíz con claves RSA de 4096 bits.

Para obtener más información sobre la configuración y el uso del Traspaso SSL para proteger la instalación, consulte la documentación de XenDesktop  y StoreFront.

Nota

Citrix Receiver para iOS usa criptografía de plataforma (iOS) para las conexiones entre Citrix Receiver para iOS y StoreFront. 

Configuración y habilitación de Citrix Receiver para iOS para TLS

La configuración de TLS consta de dos pasos:

  1. Configure el Traspaso SSL en el servidor XenApp o XenDesktop y en el servidor de la Interfaz Web. Obtenga e instale el certificado de servidor necesario. Para obtener más información, consulte la documentación de XenApp y la Interfaz Web.
  2. Instale el certificado raíz equivalente en el dispositivo de usuario.

Instalación de certificados raíz en los dispositivos de los usuarios

Si quiere usar TLS para proteger las comunicaciones entre las instancias de Citrix Receiver para Mac habilitadas con TLS y la comunidad de servidores, se necesita un certificado raíz en el dispositivo de usuario que pueda verificar la firma de la entidad de certificación en el certificado del servidor.

El sistema iOS incluye aproximadamente 100 certificados raíz comerciales ya instalados, pero, si quiere utilizar otro certificado, puede obtenerlo de la entidad de certificación e instalarlo en cada dispositivo de usuario.

Según los procedimientos y las directivas de la empresa, se puede instalar el certificado raíz en cada dispositivo de usuario en lugar de solicitar a los usuarios que lo instalen. La opción más fácil y segura es agregar los certificados raíz al llavero de iOS.

Para agregar un certificado raíz al llavero

  1. Envíese un correo electrónico con el archivo del certificado.
  2. Abra el archivo del certificado en el dispositivo. Se inicia automáticamente la aplicación Acceso a Llaveros.
  3. Siga las indicaciones para agregar el certificado.
  4. A partir de iOS 10, compruebe que el certificado es de confianza desde Ajustes de iOS > Acerca de > Ajustes de confianza de los certificados. En Ajustes de confianza de los certificados, consulte la sección "Activar confianza total en los certificados raíz". Compruebe que su certificado está seleccionado para la confianza total.

Se instalará el certificado raíz. Los clientes compatibles con TLS y todas las aplicaciones que utilicen TLS podrán usar el certificado raíz.