Gérer les clés de sécurité

Important :

• Vous devez utiliser cette fonctionnalité en combinaison avec StoreFront™ 1912 LTSR CU2 ou version ultérieure.
• La fonctionnalité Secure XML est uniquement prise en charge sur Citrix ADC et Citrix Gateway version 12.1 et ultérieure.

Remarque :

Vous pouvez gérer votre déploiement Citrix Virtual Apps and Desktops™ à l’aide de deux consoles de gestion : Web Studio (basée sur le Web) et Citrix Studio (basée sur Windows). Cet article ne couvre que Web Studio. Pour plus d’informations sur Citrix Studio, consultez l’article équivalent dans Citrix Virtual Apps and Desktops 7 2212 ou version antérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec les Delivery Controllers. Une fois cette fonctionnalité activée, toutes les requêtes ne contenant pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

1. Activez Web Studio pour afficher les paramètres de la fonctionnalité.

2. Configurez les paramètres de votre site.

3. Configurez les paramètres de StoreFront.

4. Configurez les paramètres de Citrix ADC.

Configurer les paramètres du site

Vous pouvez utiliser Web Studio ou PowerShell pour configurer les paramètres de clé de sécurité de votre site.

Utiliser Web Studio

1. Connectez-vous à Web Studio, sélectionnez Paramètres dans le volet gauche.

2. Localisez la vignette Gérer la clé de sécurité et cliquez sur Modifier. La page Gérer la clé de sécurité s’affiche.

   

3. Cliquez sur l’icône d’actualisation pour générer les clés.

   Important :

   • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications sur les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation des clés.
   • Ne cliquez pas sur l’icône d’actualisation pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

4. Sélectionnez l’endroit où une clé est requise pour les communications :

   • Exiger une clé pour les communications sur le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications sur le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article du centre de connaissances CTX127945.

   • Exiger une clé pour les communications sur le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications sur le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article du centre de connaissances CTX101988.

5. Cliquez sur Enregistrer pour appliquer vos modifications et fermer la fenêtre.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations de Web Studio.

1. Exécutez le SDK PowerShell distant de Citrix Virtual Apps and Desktops.

2. Dans une fenêtre de commande, exécutez la commande suivante :
   • Add-PSSnapIn Citrix*
3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. Exécutez une ou les deux commandes suivantes pour activer l’utilisation d’une clé dans l’authentification des communications :
   • Pour authentifier les communications via le port XML :
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • Pour authentifier les communications via le port STA :
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres pour StoreFront

Après avoir terminé la configuration de votre site, vous devez configurer les paramètres pertinents pour StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

• Path to store
• Resource feed name
• secret

Pour configurer la clé pour les communications via le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Saisissez les valeurs appropriées pour les paramètres suivants :

• Gateway name
• STA URL
• Secret

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres pour Citrix ADC

Remarque :

La configuration de cette fonctionnalité pour Citrix ADC n’est pas requise, sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, suivez ces étapes :

1. Assurez-vous que la configuration préalable suivante est déjà en place :

   • Les adresses IP suivantes liées à Citrix ADC sont configurées.
     • Adresse IP de gestion Citrix ADC (NSIP) pour accéder à la console Citrix ADC. Pour plus de détails, consultez Configuration de l’adresse NSIP.

     

     • Adresse IP de sous-réseau (SNIP) pour permettre la communication entre l’appliance Citrix ADC et les serveurs back-end. Pour plus de détails, consultez Configuration des adresses IP de sous-réseau.
     • Adresse IP virtuelle de Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC pour le lancement de session. Pour plus de détails, consultez Créer un serveur virtuel.

     

   • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
     • Pour activer les modes, dans l’interface graphique de Citrix ADC, accédez à System > Settings > Configure Mode.
     • Pour activer les fonctionnalités, dans l’interface graphique de Citrix ADC, accédez à System > Settings > Configure Basic Features.
   • Les configurations liées aux certificats sont terminées.
     • La demande de signature de certificat (CSR) est créée. Pour plus de détails, consultez Créer un certificat.

     

     • Les certificats de serveur et d’autorité de certification (CA) ainsi que les certificats racine sont installés. Pour plus de détails, consultez Installer, lier et mettre à jour.

     

     

     • Une passerelle Citrix Gateway a été créée pour Citrix Virtual Desktops. Testez la connectivité en cliquant sur le bouton Test STA Connectivity pour confirmer que les serveurs virtuels sont en ligne. Pour plus de détails, consultez Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops.

     

2. Ajoutez une action de réécriture. Pour plus de détails, consultez Configuration d’une action de réécriture.

   1. Accédez à AppExpert > Rewrite > Actions.
   2. Cliquez sur Add pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

   

   1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
   2. Dans Header Name, entrez X-Citrix-XmlServiceKey.
   3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de la configuration de votre Desktop Delivery Controller™.

   

3. Ajoutez une stratégie de réécriture. Pour plus de détails, consultez Configuration d’une stratégie de réécriture.

   1. Accédez à AppExpert > Rewrite > Policies.

   2. Cliquez sur Add pour ajouter une nouvelle stratégie.

   

   1. Dans Action, sélectionnez l’action créée à l’étape précédente.
   2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
   3. Cliquez sur OK.

4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne se lanceront pas.

   Pour plus de détails, consultez Configuration de l’équilibrage de charge de base.

   1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Servers.
      • Dans la page Virtual Servers, cliquez sur Add.

      

      • Dans Protocol, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et, dans Port, sélectionnez 80.
      • Cliquez sur OK.
   2. Créez un service d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Services.

      

      • Dans Existing Server, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocol, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis sur Done.
   3. Lie le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Edit.
      • Dans Services and Service Groups, cliquez sur No Load Balancing Virtual Server Service Binding.

      

      • Dans Service Binding, sélectionnez le service créé précédemment.
      • Cliquez sur Bind.
   4. Lie la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Policies, puis dans la section Policies, cliquez sur +.

      

      • Dans Choose Policy, sélectionnez Rewrite et dans Choose Type, sélectionnez Request.
      • Cliquez sur Continue.
      • Dans Sélectionner la stratégie, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Lier.
      • Cliquez sur Terminé.
   5. Configurez la persistance pour le serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Persistance.

      

      • Sélectionnez le type de persistance comme Autres.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (l’adresse IP de destination).
      • Dans Masque de sous-réseau IPv4, ajoutez le masque de sous-réseau identique à celui du DDC.
      • Cliquez sur OK.
   6. Répétez ces étapes pour l’autre serveur virtuel également.

Modifications de configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops™

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, vous devez apporter les modifications de configuration suivantes pour utiliser la fonctionnalité Secure XML.

• Avant le lancement de la session, modifiez l’URL de l’autorité de ticket de sécurité de la passerelle pour utiliser les FQDN des serveurs virtuels d’équilibrage de charge.
• Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Cependant, si le client a déjà configuré le Citrix ADC pour Citrix Virtual Desktops, alors le TrustRequestsSentToTheXmlServicePort est défini sur True.

1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Intégrer avec les produits Citrix et cliquez sur XenApp et XenDesktop®.

2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

   

3. Dans le volet StoreFront, cliquez sur l’icône de modification.

   

4. Ajoutez l’URL de l’autorité de ticket sécurisé.
   • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
   • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.