Citrix Virtual Apps and Desktops Service

Gérer les clés de sécurité

Remarque :

Vous devez utiliser cette fonctionnalité en conjonction avec StoreFront 1912 LTSR CU2 ou version ultérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec Citrix Cloud. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Activez la fonctionnalité dans Studio à l’aide du SDK PowerShell.

  2. Configurez les paramètres dans Studio. (Utilisez la console Studio ou PowerShell).

  3. Configurez les paramètres dans StoreFront. (Utilisez la console StoreFront ou PowerShell).

Activer la fonctionnalité clé de sécurité

Cette fonctionnalité est désactivée par défaut. Pour l’activer, utilisez le SDK Remote PowerShell. Pour plus d’informations sur le SDK Remote PowerShell, reportez-vous à la section Kits de développement (SDK) et API.

Pour activer la fonction, effectuez les opérations suivantes :

  1. Exécutez le kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell.
  2. Dans une fenêtre de commandes, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurer les paramètres dans Studio

Vous pouvez configurer les paramètres dans Studio à l’aide de la console Studio ou PowerShell.

Utiliser la console Studio

Après avoir activé la fonctionnalité, accédez à Studio > Configuration > Gérer la clé de sécurité. Vous devrez peut-être cliquer sur Actualiser pour que l’option Gérer la clé de sécurité s’affiche.

La fenêtre Gérer la clé de sécurité s’affiche une fois que vous cliquez sur Gérer la clé de sécurité.

Assistant Gérer la clé de sécurité

Important :

  • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation de la clé.
  • Ne cliquez pas sur l’icône Actualiser pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec le Delivery Controller via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article Centre de connaissances CTX127945.

Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway communique avec le Delivery Controller via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article Centre de connaissances CTX101988.

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter la fenêtre Gérer la clé de sécurité.

Utiliser PowerShell

Voici des étapes PowerShell équivalentes aux opérations Studio.

  1. Exécutez le kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell.

  2. Dans une fenêtre de commandes, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez l’une des commandes suivantes ou les deux pour activer l’utilisation d’une clé dans l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir effectué la configuration dans Studio, vous devez configurer les paramètres requis dans StoreFront. Vous pouvez le faire en utilisant la console StoreFront ou PowerShell.

Utiliser la console StoreFront

Pour utiliser la clé pour authentifier les communications via le port XML :

  1. Copiez la clé générée dans Studio.

  2. Sélectionnez Valider le point de terminaison du service XML lors de l’ajout du Delivery Controller au magasin.

    Valider le point de terminaison du service XML

  3. Collez la clé dans le champ Secret partagé.

Pour utiliser la clé pour authentifier les communications via le port STA :

  1. Copiez la clé générée dans Studio.

  2. Sélectionnez Activer la validation du point de terminaison STA lors de l’ajout de Secure Ticket Authority.

    Activer la validation du point de terminaison STA

  3. Collez la clé dans le champ Secret partagé.

Pour plus d’informations sur l’authentification XML et STA, consultez la documentation de StoreFront.

Utiliser PowerShell

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

  • Pour configurer la clé des communications via le port XML, utilisez les commandes Get-STFStoreServie et Set-STFStoreService. Par exemple :
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Pour configurer la clé des communications via le port STA, utilisez la commande New-STFSecureTicketAuthority. Par exemple :
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Gérer les clés de sécurité