Firma de archivos ICA®
StoreFront ofrece la opción de firmar digitalmente los archivos ICA para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo procede de una fuente de confianza. Cuando la firma de archivos está habilitada en StoreFront, el archivo ICA generado cuando un usuario inicia una aplicación se firma utilizando un certificado del almacén de certificados personal del servidor de StoreFront. Los archivos ICA se pueden firmar utilizando cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor de StoreFront. La firma digital es ignorada por los clientes que no admiten la función o que no están configurados para la firma de archivos ICA. Si el proceso de firma falla, el archivo ICA se genera sin una firma digital y se envía a la aplicación Citrix Workspace, cuya configuración determina si se acepta el archivo sin firmar.
Para ser utilizados para la firma de archivos ICA con StoreFront, los certificados deben incluir la clave privada y estar dentro del período de validez permitido. Si el certificado contiene una extensión de uso de clave, esta debe permitir que la clave se utilice para firmas digitales. Si se incluye una extensión de uso de clave extendido, debe configurarse para la firma de código o la autenticación de servidor.
Para la firma de archivos ICA, Citrix® recomienda utilizar un certificado de firma de código o de firma SSL obtenido de una autoridad de certificación pública o de la autoridad de certificación privada de tu organización. Si no puedes obtener un certificado adecuado de una autoridad de certificación, puedes utilizar un certificado SSL existente, como un certificado de servidor, o crear un nuevo certificado de autoridad de certificación raíz y distribuirlo a los dispositivos de los usuarios.
La firma de archivos ICA está deshabilitada de forma predeterminada. Para habilitar la firma de archivos ICA, debes instalar un certificado y configurar el almacén para que utilice ese certificado. La firma del archivo ICA no tiene ningún efecto a menos que también configures la aplicación Citrix Workspace para Windows para que requiera un certificado. Para obtener más información, consulta Firma de archivos ICA.
Nota:
Las consolas de StoreFront y PowerShell no pueden estar abiertas al mismo tiempo. Cierra siempre la consola de administración de StoreFront antes de usar la consola de PowerShell para administrar tu configuración de StoreFront. Del mismo modo, cierra todas las instancias de PowerShell antes de abrir la consola de StoreFront.
-
En tu servidor de StoreFront, abre Administrar certificados de equipo.
-
Agrega tu certificado al almacén de certificados de Citrix Delivery Services.
-
Abre el certificado, ve a la ficha Detalles y anota la huella digital.
-
Habilita la firma para un almacén utilizando el cmdlet de PowerShell Set-STFStoreService:
$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] <!--NeedCopy-->Donde [certificatethumbprint] es el resumen (o huella digital) de los datos del certificado producido por el algoritmo hash.
Si quieres usar un algoritmo hash diferente de SHA-1, agrega un parámetro -IcaFileSigningHashAlgorithm configurado como sha256, sha384 o sha512, según sea necesario.
-
Si utilizas una versión de StoreFront 2402 anterior a CU2, ejecuta también:
$certificate = Get-DSCertificate "[certificatethumbprint]" . "C:\Program Files\Citrix\Receiver StoreFront\Scripts\ImportModules.ps1" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” <!--NeedCopy-->