Citrix Virtual Apps and Desktops

Gérer les clés de sécurité

Important :

  • Vous devez utiliser cette fonctionnalité en conjonction avec StoreFront 1912 LTSR CU2 ou version ultérieure.
  • La fonctionnalité Secure XML n’est prise en charge que sur Citrix ADC et Citrix Gateway version 12.1 et versions ultérieures.

Remarque :

Vous pouvez gérer votre déploiement de Citrix Virtual Apps and Desktops à l’aide de deux consoles de gestion : Web Studio (console basée sur le Web) et Citrix Studio (console basée sur Windows). Cet article ne concerne que Web Studio. Pour plus d’informations sur Citrix Studio, consultez l’article équivalent dans Citrix Virtual Apps and Desktops 7 2212 ou version antérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec des Delivery Controller. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Activer Web Studio pour afficher les paramètres de fonctionnalités

  2. Configurer les paramètres du site

  3. Configurer les paramètres dans StoreFront

  4. Configurer les paramètres dans Citrix ADC

Activer Web Studio pour afficher les paramètres de fonctionnalités

Par défaut, les paramètres des clés de sécurité sont masqués dans Web Studio. Pour autoriser Web Studio à les afficher, utilisez le SDK PowerShell comme suit :

  1. Exécutez le kit de développement logiciel SDK Citrix Virtual Apps and Desktops PowerShell.
  2. Dans une fenêtre de commandes, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Pour plus d’informations sur le SDK PowerShell, consultez SDK et API.

Configurer les paramètres du site

Vous pouvez utiliser Web Studio ou PowerShell pour configurer les paramètres de clé de sécurité de votre site.

Utiliser Web Studio

  1. Connectez-vous à Web Studio et sélectionnez Paramètres dans le volet de gauche.
  2. Localisez la vignette Gérer la clé de sécurité et cliquez sur Modifier. La page Gérer la clé de sécurité s’affiche.

    Assistant Gérer la clé de sécurité

  3. Cliquez sur l’icône d’actualisation pour générer les clés.

    Important :

    • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation de la clé.
    • Ne cliquez pas sur l’icône Actualiser pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.
  4. Sélectionnez les instances où une clé est requise pour les communications :

    • Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article Centre de connaissances CTX127945.

    • Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article Centre de connaissances CTX101988.

  5. Cliquez sur Enregistrer pour appliquer les modifications et fermer la fenêtre.

Utiliser PowerShell

Voici des étapes PowerShell équivalentes aux opérations Web Studio.

  1. Exécutez le kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell.

  2. Dans une fenêtre de commandes, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez l’une des commandes suivantes ou les deux pour activer l’utilisation d’une clé dans l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir effectué la configuration de votre site, vous devez configurer les paramètres requis dans StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

Pour configurer la clé pour les communications via le port XML, utilisez la commande [Set-STFStoreFarm https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Par exemple 
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Entrez les valeurs appropriées pour les paramètres suivants :

  • Path to store
  • Resource feed name
  • secret

Pour configurer la clé des communications via le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Entrez les valeurs appropriées pour les paramètres suivants :

  • Gateway name
  • STA URL
  • Secret

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans Citrix ADC

Remarque :

La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, procédez comme suit :

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP associées à Citrix ADC suivantes sont configurées.
      • Adresse IP Citrix ADC Management (NSIP) permettant d’accéder à la console Citrix ADC. Pour plus d’informations, consultez la section Configuration de l’adresse NSIP.

      Adresse IP de gestion ADC

      • Adresse IP de sous-réseau (SNIP) permettant la communication entre l’appliance Citrix ADC et les serveurs principaux. Pour plus d’informations, consultez la section Configuration des adresses IP de sous-réseau.
      • Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC pour le lancement de session. Pour plus d’informations, consultez la section Créer un serveur virtuel.

      Adresse IP du sous-réseau

    • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
      • Pour activer les modes, dans l’interface graphique Citrix ADC, accédez à System > Settings > Configure Mode.
      • Pour activer les fonctionnalités, dans l’interface graphique Citrix ADC, accédez à System > Settings > Configure Basic Features.
    • Les configurations liées aux certificats sont terminées.
      • La demande de signature de certificat (CSR) est créée. Pour plus d’informations, consultez la section Créer un certificat.

      Créer un certificat CSR

      • Les certificats du serveur et de l’autorité de certification ainsi que les certificats racine sont installés. Pour plus d’informations, consultez la section Installer, lier et mettre à jour.

      Installer le certificat du serveur

      Installer un certificat CA

      Passerelle pour bureaux virtuels

  2. Ajoutez une action de réécriture. Pour plus d’informations, consultez la section Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Rewrite > Actions.
    2. Cliquez sur Add pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Header Name, entrez X-Citrix-XmlServiceKey.
    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de votre configuration Desktop Delivery Controller.

    Valeur de clé de service XML

  3. Ajoutez une stratégie de réécriture. Pour plus d’informations, consultez la section Configuration d’une stratégie de réécriture.
    1. Accédez à AppExpert > Rewrite > Policies.

    2. Cliquez sur Add pour ajouter une nouvelle stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.
  4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne parviennent pas à se lancer.

    Pour plus d’informations, consultez la section Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Servers.
      • Dans la page Virtual Servers, cliquez sur Add.

      Ajouter un serveur d'équilibrage de charge

      • Dans Protocol, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et sélectionnez 80 dans Port.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Existing Server, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocol, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis cliquez sur Done.
    3. Liez le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Services and Service Groups, cliquez sur No Load Balancing Virtual Server Service Binding.

      Lier le service à un serveur virtuel

      • Dans Service Binding, sélectionnez le service créé précédemment.
      • Cliquez sur Bind.
    4. Liez la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Policies, puis dans la section Policies, cliquez sur +.

      Lier une stratégie de réécriture

      • Dans Choose Policy, sélectionnez Rewrite et, dans Choose Type, sélectionnez Request.
      • Cliquez sur Continuer.
      • Dans Select Policy, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Bind.
      • Cliquez sur Terminé.
    5. Configurez la persistance du serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Persistence.

      Définir la persistance

      • Sélectionnez Others comme type de persistance.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (adresse IP de destination).
      • Dans IPv4 Netmask, ajoutez un masque de réseau identique à celui du DDC.
      • Cliquez sur OK.
    6. Répétez également ces étapes pour l’autre serveur virtuel.

Modification de la configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, pour utiliser la fonctionnalité Secure XML, vous devez apporter les modifications de configuration suivantes.

  • Avant le lancement de la session, modifiez l’URL Security Ticket Authority de la passerelle pour utiliser les noms de domaine complets des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Toutefois, si le client a déjà configuré Citrix ADC pour Citrix Virtual Desktops, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique Citrix ADC, accédez à Configuration > Integrate with Citrix Products, puis cliquez sur XenApp and XenDesktop.
  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL Secure Ticket Authority.
    • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STAT

Gérer les clés de sécurité