Documentation produit
Citrix DaaS™
Voir PDF

Gérer les clés de sécurité

April 6, 2026
Contributeur: 
C C

Remarque :

  • Vous devez utiliser cette fonctionnalité en combinaison avec StoreFront™ 1912 LTSR CU2 ou version ultérieure.

  • La fonctionnalité Secure XML est prise en charge uniquement sur Citrix ADC et Citrix Gateway version 12.1 et ultérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec les contrôleurs de livraison Citrix. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Un flux de travail général pour utiliser cette fonctionnalité est le suivant :

  1. Afficher les paramètres de clé de sécurité dans Studio. (Utilisez le SDK PowerShell distant)

  2. Configurez les paramètres de votre déploiement. (Utilisez Studio ou le SDK PowerShell distant).

  3. Configurez les paramètres dans StoreFront. (Utilisez PowerShell).

  4. Configurez les paramètres dans Citrix ADC.

Configurer les paramètres de votre déploiement

Vous pouvez configurer les paramètres de votre déploiement à l’aide de Studio ou de PowerShell.

Utiliser Studio

Après avoir activé la fonctionnalité, accédez à Paramètres > Paramètres du site > Gérer les clés de sécurité et cliquez sur Modifier. Le panneau Gérer les clés de sécurité apparaît. Cliquez sur Enregistrer pour appliquer vos modifications et quitter le panneau.

Assistant Gérer les clés de sécurité

Important : - > - > - Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation des clés.

  • Ne cliquez pas sur l’icône d’actualisation pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.
-  Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

-  **Exiger une clé pour les communications via le port XML (StoreFront uniquement)**. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article du Centre de connaissances [CTX127945](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX127945).

-  **Exiger une clé pour les communications via le port STA**. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article du Centre de connaissances [CTX101988](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX101988).

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter le panneau Gérer les clés de sécurité.

Utiliser le SDK PowerShell distant

Les étapes PowerShell suivantes sont équivalentes aux opérations effectuées dans Studio.

  1. Exécutez le SDK PowerShell distant.

  2. Dans une fenêtre de commande, exécutez la commande suivante :

    • Add-PSSnapIn Citrix*

      1. Exécutez les commandes suivantes pour générer une clé et configurer la clé 1 :
        • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  3. Exécutez les commandes suivantes pour générer une clé et configurer la clé 2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  4. Exécutez une ou les deux commandes suivantes pour activer l’utilisation d’une clé pour l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir terminé la configuration des paramètres de votre déploiement, vous devez configurer les paramètres pertinents dans StoreFront à l’aide de PowerShell.

-  Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

Pour configurer la clé pour les communications via le port XML, utilisez la commande Set-STFStoreFarm. Par exemple :

    -  ``` $store = Get-STFStoreService -VirtualPath [Path to store]
    -  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
    -  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
    -  <!--NeedCopy--> ```

    -  Entrez les valeurs appropriées pour les paramètres suivants :

    -  `Path to store`
    -  `Resource feed name`
-  `secret`

Pour configurer la clé pour les communications via le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Entrez les valeurs appropriées pour les paramètres suivants :

    -  `Gateway name`
    -  `STA URL`
    -  `Secret`

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans Citrix ADC

    -  > **Remarque :**
    -  > > La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise, sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, suivez les étapes ci-dessous.

    -  1.  Assurez-vous que la configuration préalable suivante est déjà en place :

    -  Les adresses IP suivantes liées à Citrix ADC sont configurées.
    -  Adresse IP de gestion Citrix ADC (NSIP) pour l’accès à la console Citrix ADC. Pour plus de détails, consultez [Configuration de l’adresse NSIP](/fr-fr/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-citrix-adc-ip-address.html).

    -  ![Adresse IP de gestion ADC](/en-us/citrix-daas/media/adc-management-ip.png)

    -  Adresse IP de sous-réseau (SNIP) pour permettre la communication entre l'appliance Citrix ADC et les serveurs back-end. Pour plus de détails, consultez [Configuration des adresses IP de sous-réseau](/fr-fr/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-subnet-ip-addresses-snips.html).
    -  Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l'équilibreur de charge pour se connecter à l'appliance ADC afin de lancer la session. Pour plus de détails, consultez [Créer un serveur virtuel](/fr-fr/citrix-adc/current-release/load-balancing/load-balancing-setup.html#creating-a-virtual-server).

    -  ![Adresse IP de sous-réseau](/en-us/citrix-daas/media/adc-subnetip-address.png)

    -  Les modes et fonctionnalités requis dans l'appliance Citrix ADC sont activés.
    -  Pour activer les modes, dans l'interface graphique de Citrix ADC, accédez à **Système > Paramètres > Configurer le mode**.
    -  Pour activer les fonctionnalités, dans l'interface graphique de Citrix ADC, accédez à **Système > Paramètres > Configurer les fonctionnalités de base**.

    -  Les configurations liées aux certificats sont terminées.
    -  La demande de signature de certificat (CSR) est créée. Pour plus de détails, consultez [Créer un certificat](/fr-fr/citrix-adc/current-release/ssl/ssl-certificates/obtain-cert-frm-cert-auth.html).

    -  ![Créer un certificat CSR](/en-us/citrix-daas/media/adc-create-rsa-key.png)

    -  Les certificats de serveur et CA, ainsi que les certificats racine, sont installés. Pour plus de détails, consultez [Installer, lier et mettre à jour](/fr-fr/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html).

Installer le certificat de serveur

    -  ![Installer le certificat CA](/en-us/citrix-daas/media/adc-install-ca-certificate.png)

    -  Une Citrix Gateway a été créée pour Citrix DaaS (anciennement le service Citrix Virtual Apps and Desktops). Testez la connectivité en cliquant sur le bouton **Test STA Connectivity** pour confirmer que les serveurs virtuels sont en ligne. Pour plus de détails, consultez [Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops](/fr-fr/citrix-adc/current-release/solutions/deploy-xa-xd.html).

    -  ![Passerelle pour les bureaux virtuels](/en-us/citrix-daas/media/xenapp-xendesktop-wizard.gif)

  1. Ajoutez une action de réécriture. Pour plus de détails, consultez Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Réécriture > Actions.
        1. Cliquez sur Ajouter pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « définir le type sur INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Nom d’en-tête, entrez X-Citrix-XmlServiceKey.

    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de la configuration de votre Desktop Delivery Controller™.

      • Valeur de la clé de service XML
  2. Ajoutez une stratégie de réécriture. Pour plus de détails, consultez Configuration d’une stratégie de réécriture.

    1. Accédez à AppExpert > Réécriture > Stratégies.

    2. Cliquez sur Ajouter pour ajouter une nouvelle stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.

  3. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne se lanceront pas.

    Pour plus de détails, consultez Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs.
      • Dans la page Serveurs virtuels, cliquez sur Ajouter.

      Ajouter un serveur d'équilibrage de charge

      • Dans Protocole, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle de l’équilibrage de charge et dans Port, sélectionnez 80.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Serveur existant, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocole, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis sur Terminé.
    3. Lie le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Services et groupes de services, cliquez sur Aucune liaison de service de serveur virtuel d’équilibrage de charge.

      Lier un service à un serveur virtuel

      • Dans Liaison de service, sélectionnez Citrix DaaS™ créé précédemment.
      • Cliquez sur Lier.
    4. Lie la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Stratégies, puis dans la section Stratégies, cliquez sur +.

      Lier la stratégie de réécriture

      • Dans Choisir une stratégie, sélectionnez Réécriture et dans Choisir un type, sélectionnez Requête.
      • Cliquez sur Continuer.
      • Dans Sélectionner une stratégie, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Lier.
      • Cliquez sur Terminé.
    5. Configurez la persistance pour le serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Persistance.

      Définir la persistance

      • Sélectionnez le type de persistance Autres.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (l’adresse IP de destination).
      • Dans Masque de réseau IPv4, ajoutez le même masque de réseau que celui du DDC.
      • Cliquez sur OK.
    6. Répétez ces étapes pour l’autre serveur virtuel également.

Modifications de configuration si l’appliance Citrix ADC est déjà configurée avec Citrix DaaS

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix DaaS, vous devez apporter les modifications de configuration suivantes pour utiliser la fonctionnalité XML sécurisé.

  • Avant le lancement de la session, modifiez l’URL de l’autorité de ticket de sécurité de la passerelle pour utiliser les FQDN des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Cependant, si le client a déjà configuré le Citrix ADC pour Citrix DaaS, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Intégrer avec les produits Citrix et cliquez sur XenApp and XenDesktop®.

  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de la passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL de l’autorité de ticket de sécurité.
    • Si la fonctionnalité XML sécurisé est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité XML sécurisé est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STA

Gérer les clés de sécurité
April 6, 2026
Contributeur: 
C C
April 6, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.