Documentation produit
Citrix Virtual Apps and Desktops 7 2203 LTSR
Voir PDF

Gérer les clés de sécurité

May 31, 2026
Contributeur: 
C C

Remarque :

Vous devez utiliser cette fonctionnalité en combinaison avec StoreFront™ 1912 LTSR CU2 ou version ultérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec les Citrix Delivery Controllers. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un workflow général pour utiliser cette fonctionnalité :

  1. Activez Studio pour afficher les paramètres de la fonctionnalité.

  2. Configurez les paramètres de votre site (utilisez la console Studio ou PowerShell).

  3. Configurez les paramètres dans StoreFront (utilisez PowerShell).

  4. Configurez les paramètres dans Citrix ADC (utilisez PowerShell).

Activer Studio pour afficher les paramètres de la fonctionnalité

Par défaut, les paramètres des clés de sécurité sont masqués dans Studio. Pour permettre à Studio de les afficher, utilisez le SDK PowerShell comme suit :

Pour activer la fonctionnalité, procédez comme suit :

  1. Exécutez le SDK PowerShell distant de Citrix Virtual Apps and Desktops™.
  2. Dans une fenêtre de commande, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Pour plus d’informations sur le SDK PowerShell distant, consultez SDK et API.

Configurer les paramètres de votre site

Vous pouvez configurer les paramètres dans Studio à l’aide de la console Studio ou de PowerShell.

Utiliser la console Studio

Après avoir activé l’affichage des paramètres de fonctionnalité dans Studio, accédez à Studio > Configuration > Gérer la clé de sécurité. Vous devrez peut-être cliquer sur Actualiser pour que l’option Gérer la clé de sécurité apparaisse.

La fenêtre Gérer la clé de sécurité apparaît après avoir cliqué sur Gérer la clé de sécurité.

Assistant Gérer la clé de sécurité

Important :

  • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation des clés.
  • Ne cliquez pas sur l’icône d’actualisation pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article du centre de connaissances CTX127945.

Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article du centre de connaissances CTX101988.

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter la fenêtre Gérer la clé de sécurité.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations Studio.

  1. Exécutez le SDK PowerShell distant de Citrix Virtual Apps and Desktops.

  2. Dans une fenêtre de commande, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez une ou les deux commandes suivantes pour activer l’utilisation d’une clé lors de l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir terminé la configuration dans Studio, vous devez configurer les paramètres pertinents dans StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

Pour configurer la clé pour les communications via le port XML, utilisez la commande [Set-STFStoreFarm https://developer-docs.citrix.com/fr-fr/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Par exemple 
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

  • Path to store
  • Resource feed name
  • secret

Pour configurer la clé pour les communications via le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

  • Gateway name
  • STA URL
  • Secret

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans Citrix ADC

Remarque :

La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise, sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, suivez les étapes ci-dessous.

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP suivantes liées à Citrix ADC sont configurées.

      Adresse IP de gestion ADC

      • Adresse IP de sous-réseau (SNIP) pour permettre la communication entre l’appliance Citrix ADC et les serveurs back-end. Pour plus de détails, consultez Configuration des adresses IP de sous-réseau.
      • Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC pour le lancement de session. Pour plus de détails, consultez Créer un serveur virtuel.

      Adresse IP de sous-réseau

    • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
      • Pour activer les modes, dans l’interface graphique de Citrix ADC, accédez à Système > Paramètres > Configurer le mode.
      • Pour activer les fonctionnalités, dans l’interface graphique de Citrix ADC, accédez à Système > Paramètres > Configurer les fonctionnalités de base.
    • Les configurations liées aux certificats sont terminées.
      • La demande de signature de certificat (CSR) est créée. Pour plus de détails, consultez Créer un certificat.

      Créer un certificat CSR

      • Les certificats de serveur et d’autorité de certification (CA) ainsi que les certificats racine sont installés. Pour plus de détails, consultez Installer, lier et mettre à jour.

      Installer le certificat de serveur

      Installer le certificat CA

      Passerelle pour les bureaux virtuels

  2. Ajoutez une action de réécriture. Pour plus de détails, consultez Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Rewrite > Actions.
    2. Cliquez sur Add pour ajouter une action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Header Name, entrez X-Citrix-XmlServiceKey.
    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de la configuration de votre Desktop Delivery Controller™.

    Valeur de la clé de service XML

  3. Ajoutez une stratégie de réécriture. Pour plus de détails, consultez Configuration d’une stratégie de réécriture.

    1. Accédez à AppExpert > Réécriture > Stratégies.

    2. Cliquez sur Ajouter pour ajouter une stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.

  4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne se lanceront pas.

    Pour plus de détails, consultez Configuration de l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs.
      • Sur la page Serveurs virtuels, cliquez sur Ajouter.

      Ajouter un serveur d’équilibrage de charge

      • Dans Protocole, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et, dans Port, sélectionnez 80.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Serveur existant, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocole, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis sur Terminé.
    3. Lie le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Services et groupes de services, cliquez sur Aucune liaison de service de serveur virtuel d’équilibrage de charge.

      Lier le service à un serveur virtuel

      • Dans Liaison de service, sélectionnez le service créé précédemment.
      • Cliquez sur Lier.
    4. Lie la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Stratégies, puis dans la section Stratégies, cliquez sur +.

      Lier la stratégie de réécriture

      • Dans Choisir une stratégie, sélectionnez Réécriture et dans Choisir un type, sélectionnez Requête.
      • Cliquez sur Continuer.
      • Dans Sélectionner une stratégie, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Lier.
      • Cliquez sur Terminé.
    5. Configurez la persistance pour le serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Persistance.

      Définir la persistance

      • Sélectionnez le type de persistance comme Autres.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (l’adresse IP de destination)
      • Dans Masque de sous-réseau IPv4, ajoutez un masque de sous-réseau identique à celui du DDC.
      • Cliquez sur OK.
    6. Répétez ces étapes pour l’autre serveur virtuel également.

Modifications de configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops™

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, pour utiliser la fonctionnalité Secure XML, vous devez apporter les modifications de configuration suivantes.

  • Avant le lancement de la session, modifiez l’URL de l’autorité de ticket de sécurité de la passerelle pour utiliser les FQDN des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Cependant, si le client a déjà configuré le Citrix ADC pour Citrix Virtual Desktops, alors le TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Intégrer avec les produits Citrix et cliquez sur XenApp et XenDesktop®.

  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de la passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL de l’autorité de ticket sécurisé.
    • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de l’STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STA

Gérer les clés de sécurité
May 31, 2026
Contributeur: 
C C
May 31, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.