Configurar StoreFront mediante los archivos de configuración

En este artículo se describen las tareas de configuración adicionales que no se pueden llevar a cabo usando la consola de administración de Citrix StoreFront.

Importante:

En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Compruebe que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los demás servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.

Habilitar ICA File Signing

StoreFront ofrece la opción de firmar digitalmente los archivos ICA para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Cuando la firma de archivos está habilitada en StoreFront, el archivo ICA que se genera cuando un usuario inicia una aplicación se firma mediante un certificado procedente del almacén de certificados personales del servidor StoreFront. Los archivos ICA pueden firmarse con cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor StoreFront. Los clientes que no admiten la función o que no están configurados para ICA File Signing ignoran la firma digital. Si el proceso de firma falla, el archivo ICA se genera sin firma digital y se envía a Citrix Receiver, cuya configuración determina si se acepta el archivo sin firmar.

Los certificados deben incluir la clave privada y encontrarse en el período de validez para que puedan utilizarse con ICA File Signing en StoreFront. Si el certificado contiene una extensión de uso de clave, esto debe permitir que la clave se use para firmas digitales. Cuando se incluye una extensión de uso mejorado de clave, se debe configurar con firma de código o autenticación del servidor.

Para utilizar la función ICA File Signing, Citrix recomienda el uso de un certificado de firma de código o firma SSL obtenido de una entidad de certificación pública o de la entidad de certificados privada de su organización. Si no puede obtener un certificado adecuado de una entidad de certificación, puede utilizar un certificado SSL existente, como un certificado de servidor, o crear un nuevo certificado de entidad de certificación raíz y distribuirlo a los dispositivos de los usuarios.

De forma predeterminada, la función ICA File Signing está inhabilitada en los almacenes. Para activar la función ICA File Signing, modifique el archivo de configuración del almacén y ejecute comandos de Windows PowerShell. Para obtener más información sobre cómo activar ICA File Signing en la aplicación Citrix Workspace, consulte ICA File Signing: protección contra el inicio de aplicaciones y escritorios desde servidores que no son de confianza.

Nota:

Las consolas de StoreFront y PowerShell no pueden estar abiertas a la vez. Cierre siempre la consola de administración de StoreFront antes de usar la consola de PowerShell para administrar la configuración de StoreFront. Asimismo, cierre todas las instancias de PowerShell antes de abrir la consola de StoreFront.

  1. Asegúrese de que el certificado que desea usar para firmar los archivos ICA esté disponible en el almacén de certificados de Citrix Delivery Services en el servidor de StoreFront y no en el almacén de certificados del usuario actual.

  2. Utilice un editor de texto para abrir el archivo web.config del almacén (suele estar en el directorio C:\inetpub\wwwroot\Citrix\storename\), donde storename es el nombre especificado para el almacén durante su creación.

  3. Busque la siguiente sección en el archivo.

    <certificateManager>
        <certificates>
            <clear />
            <add ... />
            ...
        </certificates>
    </certificateManager>
    
  4. Incluya los detalles del certificado que se utilizarán para la firma.

    <certificateManager>
        <certificates>
            <clear />
            <add id="certificateid" thumb="certificatethumbprint" />
            <add ... />
        ...
        </certificates>
    </certificateManager>
    

    Donde certificateid es un valor que le ayudará a identificar el certificado en el archivo de configuración del almacén y certificatethumbprint es el resultado (o huella digital) de los datos del certificado generado por el algoritmo hash.

  5. Localice el siguiente elemento en el archivo.

    <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" />
    
  6. Cambie el valor del atributo habilitado a True para habilitar la firma ICA File Signing para el almacén. Establezca el valor del atributo certificateId con el ID utilizado para identificar el certificado, es decir, certificateid en el paso 4.

  7. Si desea utilizar un algoritmo hash distinto de SHA-1, establezca el valor del atributo hashAgorithm en sha256, sha384 o sha512, según sea necesario.

  8. Utilice una cuenta con permisos de administrador local para iniciar Windows PowerShell y, en el símbolo del sistema, escriba los siguientes comandos para permitir que el almacén acceda a la clave privada.

    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands
      $certificate = Get-DSCertificate "certificatethumbprint"
    Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName "IIS APPPOOL\Citrix Delivery Services Resources"
    

    Donde certificatethumbprint es el resultado de los datos del certificado generado por el algoritmo hash.

Inhabilitar la asociación de tipos de archivo

De forma predeterminada, la asociación de tipos de archivo está habilitada en los almacenes para que el contenido se redirija directamente a las aplicaciones suscritas de los usuarios cuando estos abran archivos locales de los correspondientes tipos. Para inhabilitar la asociación de tipos de archivo, modifique el archivo de configuración del almacén.

  1. Utilice un editor de texto para abrir el archivo web.config del almacén (suele estar en el directorio C:\inetpub\wwwroot\Citrix\storename\), donde storename es el nombre especificado para el almacén durante su creación.

  2. Localice el siguiente elemento en el archivo.

    <farmset ... enableFileTypeAssociation="on" ... >
    
  3. Cambie el valor del atributo enableFileTypeAssociation a off para inhabilitar la asociación de tipos de archivo para el almacén.

Personalizar el cuadro de diálogo de inicio de sesión de la aplicación Citrix Workspace

De forma predeterminada, cuando los usuarios inician sesión en un almacén, no se muestra ningún texto de título en el cuadro de diálogo de inicio de sesión. Es posible mostrar el texto predeterminado “Please log on” o redactar un mensaje personalizado propio. Para mostrar y personalizar el texto del título en el cuadro de diálogo de inicio de sesión, modifique los archivos del servicio de autenticación.

  1. Utilice un editor de texto para abrir el archivo UsernamePassword.tfrm del servicio de autenticación (suele estar en el directorio C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\).

  2. Busque las siguientes líneas en el archivo.

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
    
  3. Quite la marca de comentario de la instrucción eliminando los elementos iniciales y finales @* y *@.

    @Heading("ExplicitAuth:AuthenticateHeadingText")
    

    Los usuarios de la aplicación Citrix Workspace ven el texto de título predeterminado “Please log on” o la versión localizada de este texto cuando inician sesión en los almacenes donde se utiliza este servicio de autenticación.

  4. Para modificar el texto de título, utilice un editor de texto para abrir el archivo ExplicitFormsCommon.xx.resx del servicio de autenticación (suele estar en el directorio C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\).

  5. Localice los siguientes elementos en el archivo. Edite el texto escrito dentro del elemento <value> para modificar el texto del título que los usuarios ven en el cuadro de diálogo de inicio de sesión al acceder a almacenes en los que se utiliza este servicio de autenticación.

    <data name="AuthenticateHeadingText" xml:space="preserve">
        <value>My Company Name</value>
    </data>
    

    Para modificar el texto de título del cuadro de diálogo de inicio de sesión para los usuarios con otras configuraciones regionales, modifique los archivos ExplicitAuth.languagecode.resx traducidos, donde languagecode es el identificador de configuración regional.

Impedir que la aplicación Citrix Workspace para Windows almacene en caché contraseñas y nombres de usuario

De manera predeterminada, la aplicación Citrix Workspace para Windows almacena las contraseñas de los usuarios cuando inician sesión en los almacenes de StoreFront. Para evitar que Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows, pero no Citrix Receiver para Windows Enterprise, almacene en caché las contraseñas de los usuarios, modifique los archivos del servicio de autenticación.

  1. Use un editor de texto para abrir el archivo inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\ UsernamePassword.tfrm.

  2. Busque la siguiente línea en el archivo.

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
    
  3. Comente la instrucción como se muestra a continuación.

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
    

    Los usuarios deben introducir sus contraseñas cada vez que inician sesión en almacenes que utilizan este servicio de autenticación. Esta configuración no se aplica a Citrix Receiver para Windows Enterprise.

Advertencia:

El uso incorrecto del Editor del Registro del sistema puede causar problemas graves que pueden hacer necesaria la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

De manera predeterminada, Citrix Receiver para Windows rellena el formulario automáticamente con el último nombre de usuario que se utilizó. Para que el campo de nombre de usuario no se rellene previamente, modifique el Registro en el dispositivo del usuario:

  1. Cree un valor REG_SZ HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Establezca su valor en “false”.