Activer TLS sur les Delivery Controllers

Pour activer TLS sur un delivery controller™, vous devez :

• Obtenez, installez et enregistrez un certificat de serveur sur tous les Delivery Controllers. Pour plus de détails, consultez Demande et installation d’un certificat.

• Configurez un port avec le certificat TLS. Pour plus de détails, consultez Demande et installation d’un certificat.

• Appliquez le trafic HTTPS en désactivant HTTP. Pour plus de détails, consultez Appliquer le trafic HTTPS uniquement.

• Vous pouvez éventuellement modifier les ports que le contrôleur utilise pour écouter le trafic HTTP et HTTPS. Pour plus de détails, consultez Modifier les ports HTTP ou HTTPS.

Demande et installation d’un certificat

Pour utiliser TLS, vous devez installer un certificat dont le nom alternatif inclut le FQDN du DDC. Vous devez créer un certificat approprié. Cela peut être fait à l’aide d’une autorité de certification Microsoft ou d’autres autorités de certification internes ou externes.

Créer un certificat à l’aide d’une autorité de certification Microsoft

Si l’autorité de certification Microsoft est intégrée à un domaine Active Directory ou à la forêt approuvée à laquelle les Delivery Controllers sont joints, vous pouvez acquérir un certificat à partir de l’assistant d’inscription de certificat du composant logiciel enfichable MMC Certificats. L’autorité de certification Microsoft doit avoir un modèle de certificat publié adapté à l’utilisation par les serveurs web. Si vous utilisez un serveur Citrix Gateway ou StoreFront™ sur un domaine différent, vous devez exporter le certificat de l’autorité de certification racine et l’importer dans Citrix Gateway et StoreFront.

1. Sur le Delivery Controller, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur.

2. Développez Personnel > Certificats, puis utilisez la commande de menu contextuel Toutes les tâches > Demander un nouveau certificat.

   

3. Cliquez sur Suivant pour commencer, puis sur Suivant pour confirmer que vous acquérez le certificat via l’inscription Active Directory.

4. Sélectionnez un modèle approprié tel que Serveur Web exportable. Si le modèle a été configuré pour fournir automatiquement les valeurs pour Sujet, vous pouvez cliquer sur Inscrire sans fournir plus de détails.

   

5. Pour fournir plus de détails pour le modèle de certificat, cliquez sur la flèche Détails et configurez les éléments suivants :

   Nom du sujet : sélectionnez Nom commun et ajoutez le FQDN du Delivery Controller.

   Nom alternatif : sélectionnez DNS et ajoutez le FQDN du Delivery Controller.

   

6. Appuyez sur OK.

7. Appuyez sur Inscrire pour créer et installer le certificat.

Installer un fichier de certificat existant

Si vous disposez d’un certificat existant sous forme de fichier, vous pouvez l’installer :

1. Sur le Delivery Controller, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur.

2. Développez Personnel > Certificats, puis utilisez la commande de menu contextuel Toutes les tâches > Importer.

3. Recherchez le fichier de certificat.

Configuration du port d’écoute SSL/TLS

Si le composant Windows IIS est installé sur le même serveur, ce qui est le cas lors de l’installation de Web Studio et Director, vous pouvez configurer TLS à l’aide d’IIS. Pour plus d’informations, consultez Activer TLS sur Web Studio et Director. Sinon, pour configurer le certificat à l’aide de PowerShell :

1. Pour vérifier si un certificat existant est lié, ouvrez une invite de commandes et exécutez netsh http show sslcert :

   netsh http show sslcert
   <!--NeedCopy-->
   

2. S’il existe une liaison existante, supprimez-la.

   netsh http delete sslcert ipport=0.0.0.0:443
   <!--NeedCopy-->
   

   Remplacez 0.0.0.0:443 par une adresse IP et un port spécifiques s’ils étaient spécifiés dans la liaison existante.

3. Recherchez l’empreinte numérique du certificat que vous avez installé précédemment. Pour afficher l’empreinte numérique, ouvrez Gérer les certificats d’ordinateur, accédez au certificat, ouvrez-le et accédez à l’onglet Détails.

   

   Vous pouvez également utiliser PowerShell. Par exemple, le script suivant recherche un certificat dont le nom commun correspond au nom d’hôte du serveur et affiche l’empreinte numérique :

   $HostName = ([System.Net.Dns]::GetHostByName(($env:computerName))).Hostname
   $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match ("CN=" + $HostName)}).Thumbprint -join ';'
   Write-Host -Object "Certificate Thumbprint for $($HostName): $($Thumbprint)" -Foreground Yellow
   <!--NeedCopy-->
   

   Si le nom commun du certificat ne correspond pas aux noms d’hôte, cela échouera. S’il existe plusieurs certificats pour le nom d’hôte, cela renvoie plusieurs empreintes numériques concaténées et vous devez choisir l’empreinte numérique appropriée.

   L’exemple suivant recherche un certificat par nom convivial :

   $friendlyName = "My certificate name"
   $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.FriendlyName -eq $friendlyNam}).Thumbprint -join ';'
   Write-Host -Object "Certificate Thumbprint for $friendlyName: $($Thumbprint)" -Foreground Yellow
   <!--NeedCopy-->
   

   S’il existe plusieurs certificats avec le nom convivial spécifié, cela renvoie plusieurs empreintes numériques concaténées et vous devez choisir l’empreinte numérique appropriée.

4. Pour lier le certificat au port, utilisez la commande netsh http add sslcert :

   netsh http add sslcert ipport=[IP address]:443 certhash=[certificate hash] appid=[application GUID] disablelegacytls=enable
   <!--NeedCopy-->
   

   • ipport : L’adresse IP et le port. L’utilisation de 0.0.0.0:443 applique cela à toutes les adresses IP. Vous pouvez à la place spécifier une adresse IP spécifique.

   • certhash : L’empreinte numérique du certificat que vous avez identifié à l’étape précédente.

   • appid : Le GUID du service Citrix Broker.

     Remarque :

     Lors du renouvellement d’un certificat ou d’une nouvelle liaison, utilisez le appid spécifique associé au service Broker plutôt qu’un GUID arbitraire.

     Pour trouver le appid correct pour le service Citrix Broker :

     1. Ouvrez une fenêtre de commande PowerShell en tant qu’administrateur et exécutez la commande suivante :

         Get-WmiObject -Class Win32_Product | Select-String -Pattern "broker"
         <!--NeedCopy-->
        

     2. Localisez le numéro d’identification (GUID) du service Citrix Broker dans la sortie (par exemple, {D333C884-187F-447C-8C67-463F33989C8F}). Utilisez ce GUID pour le paramètre appid.

   • disablelegacytls=enable : Désactive les versions héritées de TLS. Ce paramètre est disponible sur Windows 2022 et versions ultérieures. Sous Windows 2022, il désactive TLS 1.0 et 1.1. Sous Windows 2025, cela est inutile car TLS 1.0 et 1.1 sont désactivés par défaut.

   Par exemple, exécutez la commande suivante pour lier le certificat avec l’empreinte numérique bc96f958848639fd101a793b87915d5f2829b0b6 au port 443 sur toutes les adresses IP :

   netsh http add sslcert ipport=0.0.0.0:443 certhash=bc96f958848639fd101a793b87915d5f2829b0b6 appid={91fe7386-e0c2-471b-a252-1e0a805febac} disablelegacytls=enable
   <!--NeedCopy-->
   

Une fois HTTPS activé, vous devez configurer tous les déploiements StoreFront et les Netscaler Gateways pour utiliser HTTPS au lieu de HTTP afin de se connecter au contrôleur de livraison.

Configurer les suites de chiffrement

La liste d’ordre des suites de chiffrement doit inclure les suites de chiffrement TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, ou TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ou les deux) ; et ces suites de chiffrement doivent précéder toutes les suites de chiffrement TLS_DHE_.

1. À l’aide de l’Éditeur de stratégie de groupe Microsoft, accédez à Configuration ordinateur > Modèles d’administration > Réseau > Paramètres de configuration SSL.
2. Modifiez la stratégie « Ordre des suites de chiffrement SSL ». Par défaut, cette stratégie est définie sur « Non configuré ». Définissez cette stratégie sur Activé.
3. Organisez les suites dans le bon ordre ; supprimez toutes les suites de chiffrement que vous ne souhaitez pas utiliser.

Assurez-vous que TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ou TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 précède toutes les suites de chiffrement TLS_DHE_.

Sur Microsoft Learn, consultez également Configuration de l’ordre des suites de chiffrement TLS.

Appliquer le trafic HTTPS uniquement

Il est recommandé de configurer le service XML pour ignorer le trafic HTTP.

1. Exécutez regedit
2. Ouvrez HKLM\Software\Citrix\DesktopServer\
3. Créez une nouvelle valeur DWORD nommée XmlServicesEnableNonSsl et définissez-la sur 0.
4. Redémarrez le service Broker.

Il existe une valeur DWORD de registre correspondante XmlServicesEnableSsl que vous pouvez créer pour ignorer le trafic HTTPS. Assurez-vous qu’elle n’est pas définie sur 0.

Modifier les ports HTTP ou HTTPS

Par défaut, le service XML du Controller écoute sur le port 80 pour le trafic HTTP et sur le port 443 pour le trafic HTTPS. Bien que vous puissiez utiliser des ports non par défaut, soyez conscient des risques de sécurité liés à l’exposition d’un Controller à des réseaux non fiables. Le déploiement d’un serveur StoreFront autonome est préférable à la modification des valeurs par défaut.

Pour modifier les ports HTTP ou HTTPS par défaut utilisés par le Controller, exécutez la commande suivante depuis Studio :

BrokerService.exe -StoreFrontPort <http-port> -StoreFrontTlsPort <https-port>

où <http-port> est le numéro de port pour le trafic HTTP et <https-port> est le numéro de port pour le trafic HTTPS.

Remarque :

Après avoir modifié un port, Studio peut afficher un message concernant la compatibilité des licences et la mise à niveau. Pour résoudre le problème, réenregistrez les instances de service à l’aide de la séquence de cmdlets PowerShell suivante :

Get-ConfigRegisteredServiceInstance -ServiceType Broker -Binding XML_HTTPS |
Unregister-ConfigRegisteredServiceInstance
Get-BrokerServiceInstance | where Binding -eq "XML_HTTPS" |
Register-ConfigServiceInstance
<!--NeedCopy-->