Product Documentation

Configuración de StoreFront mediante archivos de configuración

Jun 29, 2017

Habilitación de ICA File Signing

StoreFront proporciona la opción de firmar digitalmente los archivos ICA para que las versiones de Citrix Receiver que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Cuando la firma de archivos está habilitada en StoreFront, el archivo ICA que se genera cuando un usuario inicia una aplicación se firma mediante un certificado procedente del almacén de certificados personales del servidor StoreFront. Los archivos ICA pueden firmarse con cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor StoreFront. Los clientes que no admiten la función o que no están configurados para ICA File Signing ignoran la firma digital. Si el proceso de firma falla, el archivo ICA se genera sin firma digital y se envía a Citrix Receiver, cuya configuración determina si se acepta el archivo sin firmar.

Los certificados deben incluir la clave privada y encontrarse en el período de validez para que puedan utilizarse con ICA File Signing en StoreFront. Si el certificado contiene una extensión de uso de clave, ésta debe permitir que la clave se use para las firmas digitales. Cuando se incluye una extensión de uso mejorado de clave, se debe configurar con firma de código o autenticación del servidor.

Para utilizar la función ICA File Signing, Citrix recomienda el uso de un certificado de firma de código o firma SSL obtenido de una entidad de certificación pública o de la entidad de certificados privada de su organización. Si no puede obtener un certificado adecuado de una entidad de certificación, puede utilizar un certificado SSL existente, como un certificado de servidor, o crear un nuevo certificado de entidad de certificación raíz y distribuirlo a los dispositivos de los usuarios.

De forma predeterminada, la función ICA File Signing está inhabilitada en las tiendas. Para activar la función ICA File Signing, edite el archivo de configuración de la tienda y ejecute comandos de Windows PowerShell. Para obtener más información acerca de la habilitación de ICA File Signing en Citrix Receiver, consulte ICA File Signing: protección contra el inicio de aplicaciones y escritorios desde servidores que no son de confianza.

Nota: Las consolas de StoreFront y PowerShell no pueden estar abiertas al mismo tiempo. Cierre siempre la consola de administración de StoreFront antes de usar la consola de PowerShell para administrar la configuración de StoreFront. Asimismo, cierre todas las instancias de PowerShell antes de abrir la consola de StoreFront.
Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. Asegúrese de que el certificado que desea utilizar para firmar los archivos ICA esté disponible en el almacén de certificados de Citrix Delivery Services del servidor StoreFront y no en el almacén de certificados actual de los usuarios.
  2. Utilice un editor de texto para abrir el archivo web.config para la tienda, que normalmente se encuentra en el directorio C:\inetpub\wwwroot\Citrix\storename\, donde storename es el nombre especificado para la tienda durante su creación.
  3. Localice la siguiente sección en el archivo.
         ...   
  4. Incluya información sobre el certificado que debe utilizarse para la firma, como se muestra a continuación.
        certificateid" thumb="certificatethumbprint" />  ...   

    Donde certificateid es un valor que le ayudará a identificar el certificado en el archivo de configuración de la tienda y certificatethumbprint es el resultado (o huella digital) de los datos del certificado generado por el algoritmo hash.

  5. Localice el siguiente elemento en el archivo.
     
  6. Cambie el valor del atributo enabled a True si quiere habilitar la función ICA File Signing para la tienda. Establezca el valor del atributo certificateId con el ID utilizado para identificar el certificado, es decir certificateid, en el paso 4.
  7. Si quiere utilizar un algoritmo hash que no sea SHA-1, establezca el valor del atributo hashAgorithm con sha256, sha384 o sha512, según corresponda.
  8. Utilice una cuenta con permisos de administrador local para iniciar Windows PowerShell y, en el símbolo del sistema, escriba los siguientes comandos para permitir el acceso del almacén a la clave privada.
     Add-PSSnapin Citrix.DeliveryServices.Framework.Commands $certificate = Get-DSCertificate "certificatethumbprint" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” 

    Donde certificatethumbprint es el resultado de los datos del certificado generado por el algoritmo hash.

Inhabilitación de la asociación de tipos de archivo

De forma predeterminada, la asociación de tipos de archivo está habilitada en las tiendas para que el contenido se redirija directamente a las aplicaciones suscritas de los usuarios cuando abren archivos locales de los correspondientes tipos. Para inhabilitar la asociación de tipos de archivo, edite el archivo de configuración de la tienda.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. Utilice un editor de texto para abrir el archivo web.config para la tienda, que normalmente se encuentra en el directorio C:\inetpub\wwwroot\Citrix\storename\, donde storename es el nombre especificado para la tienda durante su creación.
  2. Localice el siguiente elemento en el archivo.
     
  3. Cambie el valor del atributo enableFileTypeAssociation a off para inhabilitar la asociación de tipos de archivo en la tienda.

Personalización del cuadro de diálogo de inicio de sesión de Citrix Receiver

De forma predeterminada, cuando los usuarios de Citrix Receiver inician sesión en una tienda, no se muestra ningún texto de título en el cuadro de diálogo de inicio de sesión. Es posible mostrar el texto predeterminado “Please log on” o redactar un mensaje personalizado propio. Para mostrar y personalizar el texto de título en el cuadro de diálogo de inicio de sesión de Citrix Receiver, edite los archivos para el servicio de autenticación.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. Utilice un editor de texto para abrir el archivo UsernamePassword.tfrm para el servicio de autenticación, que normalmente se encuentra en el directorio C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\.
  2. Localice las siguientes líneas en el archivo.
    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
  3. Elimine el comentario del enunciado. Para ello, quite las @* en el inicio y las *@ en el final del enunciado tal y como se muestra a continuación.
    @Heading("ExplicitAuth:AuthenticateHeadingText") 

    Los usuarios de Citrix Receiver ven el texto de título predeterminado “Please log on”, o la versión localizada de este texto, cuando inician sesión en las tiendas donde se utiliza este servicio de autenticación.

  4. Para modificar el texto de título, utilice un editor de texto para abrir el archivo ExplicitAuth.resx para el servicio de autenticación que normalmente se encuentra en el directorio C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\.
  5. Localice los siguientes elementos en el archivo. Edite el texto dentro del elemento para modificar el texto de título que los usuarios ven en el cuadro de diálogo de inicio de sesión de Citrix Receiver al acceder a tiendas en las que se utiliza este servicio de autenticación.
      My Company Name  

    Para modificar el texto de título del cuadro de diálogo de inicio de sesión de Citrix Receiver para los usuarios con otras configuraciones regionales, edite los archivos ExplicitAuth traducidos.languagecode.resx, donde languagecode es el identificador de idioma.

Cómo evitar que Citrix Receiver para Windows almacene en caché las contraseñas y los nombres de usuario

De manera predeterminada, Citrix Receiver para Windows almacena las contraseñas de los usuarios cuando inician sesión en las tiendas de StoreFront. Para evitar que Citrix Receiver para Windows, pero no Citrix Receiver para Windows Enterprise, almacene en caché las contraseñas de los usuarios, edite los archivos del servicio de autenticación.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Asegúrese de que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los otros servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.
  1. Use un editor de textos para abrir el archivo inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrm.
  2. Localice la siguiente línea en el archivo.
    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
  3. Agregue marcas de comentario en la declaración, como se muestra a continuación.
     

    Los usuarios de Citrix Receiver para Windows deben introducir sus contraseñas cada vez que inician sesión en tiendas que utilizan este servicio de autenticación. Esta configuración no se aplica a Citrix Receiver para Windows Enterprise.

Advertencia

El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del Registro antes de editarlo.

De manera predeterminada, Citrix Receiver para Windows rellena el formulario automáticamente con el último nombre de usuario que se utilizó. Para evitar que el campo de nombre de usuario se rellene de este modo, edite el Registro en el dispositivo del usuario:

  1. Cree un valor REG_SZ HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Defina su valor como “false”.