Activer TLS / DTLS sur les VDA

Activez les connexions TLS entre l’application Citrix Workspace™ et les Virtual Delivery Agents (VDA) en effectuant les tâches suivantes :

• Installez les certificats sur les VDA. Pour plus de détails, consultez demander et installer un certificat
• Configurez TLS sur les machines où les VDA sont installés. (Par commodité, les références ultérieures aux machines où les VDA sont installés sont simplement appelées « VDA »). Il est fortement recommandé d’utiliser le script PowerShell fourni par Citrix pour configurer TLS/DTLS. Pour plus de détails, consultez Configurer TLS sur un VDA à l’aide du script PowerShell. Toutefois, si vous souhaitez configurer TLS/DTLS manuellement, consultez Configurer TLS manuellement sur un VDA.
• Configurez TLS dans les groupes de mise à disposition contenant les VDA en exécutant un ensemble de cmdlets PowerShell dans Studio. Pour plus de détails, consultez Configurer TLS sur les groupes de mise à disposition.

Exigences et considérations :

• Configurez TLS dans les groupes de mise à disposition et sur les VDA après avoir installé les composants, créé un site, créé des catalogues de machines et créé des groupes de mise à disposition.
• Pour configurer TLS dans les groupes de mise à disposition, vous devez disposer des autorisations nécessaires pour modifier les règles d’accès du contrôleur. Un administrateur complet dispose de cette autorisation.
• Pour configurer TLS sur les VDA, vous devez être un administrateur Windows sur la machine où le VDA est installé.
• Sur les VDA en pool provisionnés par Machine Creation Services™ ou Provisioning Services, l’image de la machine VDA est réinitialisée au redémarrage, ce qui entraîne la perte des paramètres TLS précédents. Exécutez le script PowerShell chaque fois que le VDA est redémarré pour reconfigurer les paramètres TLS.

Un groupe de mise à disposition ne peut pas contenir un mélange de VDA avec TLS configuré et de VDA sans TLS configuré. Avant de configurer TLS pour un groupe de mise à disposition, assurez-vous d’avoir déjà configuré TLS pour tous les VDA de ce groupe de mise à disposition.

Lorsque vous configurez TLS sur les VDA, les autorisations sur le certificat TLS installé sont modifiées, donnant au service ICA® un accès en lecture à la clé privée du certificat, et informant le service ICA des éléments suivants :

• Quel certificat dans le magasin de certificats utiliser pour TLS.

• Quel numéro de port TCP utiliser pour les connexions TLS.

  Le pare-feu Windows (s’il est activé) doit être configuré pour autoriser les connexions entrantes sur ce port TCP. Cette configuration est effectuée automatiquement lorsque vous utilisez le script PowerShell.

• Quelles versions du protocole TLS autoriser.

  Important :

  Citrix recommande d’utiliser TLS 1.2 ou une version ultérieure. SSL et les anciennes versions de TLS sont obsolètes.

  Les versions de protocole TLS prises en charge suivent une hiérarchie (de la plus basse à la plus élevée) : SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 et TLS 1.3. Spécifiez la version minimale autorisée ; toutes les connexions de protocole utilisant cette version ou une version supérieure sont autorisées.

  Par exemple, si vous spécifiez TLS 1.1 comme version minimale, les connexions de protocole TLS 1.1, TLS 1.2 et TLS 1.3 sont autorisées. Si vous spécifiez SSL 3.0 comme version minimale, les connexions pour toutes les versions prises en charge sont autorisées. Si vous spécifiez TLS 1.3 comme version minimale, seules les connexions TLS 1.3 sont autorisées.

• Quelles suites de chiffrement TLS autoriser.

  Une suite de chiffrement sélectionne le chiffrement utilisé pour une connexion. Les clients et les VDA peuvent prendre en charge différents ensembles de suites de chiffrement. Lorsqu’un client (application Citrix Workspace) se connecte et envoie une liste de suites de chiffrement TLS prises en charge, le VDA fait correspondre l’une des suites de chiffrement du client avec l’une des suites de chiffrement de sa propre liste de suites de chiffrement configurées, et accepte la connexion. S’il n’y a pas de suite de chiffrement correspondante, le VDA rejette la connexion.

  Le VDA prend en charge trois ensembles de suites de chiffrement (également appelés modes de conformité) : GOV(ernment), COM(mercial) et ALL. Les suites de chiffrement acceptables dépendent également du mode FIPS de Windows ; consultez http://support.microsoft.com/kb/811833 pour plus d’informations sur le mode FIPS de Windows. Le tableau suivant répertorie les suites de chiffrement de chaque ensemble :

  Suite de chiffrement	ALL	COM	GOV	ALL	COM	GOV
  Mode FIPS	Désactivé	Désactivé	Désactivé	Activé	Activé	Activé
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  Remarque :

  Le VDA ne prend pas en charge les suites de chiffrement DHE (par exemple, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 et TLS_DHE_RSA_WITH_AES_128_CBC_SHA). Si elles sont sélectionnées par Windows, la connexion échouera.

  Si vous utilisez un NetScaler Gateway, consultez la documentation NetScaler pour obtenir des informations sur la prise en charge des suites de chiffrement pour la communication back-end. Pour plus d’informations sur la prise en charge des suites de chiffrement TLS, consultez Chiffrements disponibles sur les appliances Citrix ADC. Pour plus d’informations sur la prise en charge des suites de chiffrement DTLS, consultez Prise en charge des chiffrements DTLS.

Demande et installation d’un certificat

Pour utiliser TLS, vous devez installer un certificat dont le nom alternatif inclut le FQDN du VDA. Le certificat doit être approuvé par tous les clients se connectant directement au VDA (pas via un Citrix Gateway). Pour permettre aux appareils non gérés sur lesquels vous ne pouvez pas facilement déployer de certificats de se connecter au VDA, envisagez de déployer un NetScaler® Gateway.

Créer un certificat à l’aide d’une autorité de certification Microsoft

Si vos clients et VDA se trouvent sur une forêt approuvée et qu’elle dispose d’une autorité de certification Microsoft, vous pouvez acquérir un certificat à partir de l’assistant d’inscription de certificat du composant logiciel enfichable MMC Certificats.

1. Sur le VDA, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur.
2. Développez Personnel > Certificats, puis utilisez la commande du menu contextuel Toutes les tâches > Demander un nouveau certificat.
3. Cliquez sur Suivant pour commencer, et sur Suivant pour confirmer que vous acquérez le certificat à partir de l’inscription Active Directory.

4. Sélectionnez le modèle de certificat d’authentification de serveur. Les modèles Windows par défaut Ordinateur ou Serveur Web exportable sont tous deux acceptables. Si le modèle a été configuré pour fournir automatiquement les valeurs pour le Sujet, vous pouvez cliquer sur Inscrire sans fournir plus de détails.

   

5. Pour fournir plus de détails pour le modèle de certificat, cliquez sur Détails et configurez les éléments suivants :

   Nom du sujet — sélectionnez le type Nom commun et ajoutez le FQDN du VDA

   Nom alternatif — sélectionnez le type DNS et ajoutez le FQDN du VDA

   

   Remarque :

   Utilisez l’inscription automatique de certificats des services de certificats Active Directory pour automatiser l’émission et le déploiement de certificats sur les VDA. Ceci est décrit dans Activer l’inscription automatique de certificats).

   Vous pouvez utiliser des certificats génériques pour permettre à un seul certificat de sécuriser plusieurs VDA :

   Nom du sujet — sélectionnez le type Nom commun et saisissez le *.primary.domain des VDA

   Nom alternatif — sélectionnez le type DNS et ajoutez le *.primary.domain des VDA

   

   Vous pouvez utiliser des certificats SAN pour permettre à un seul certificat de sécuriser plusieurs VDA spécifiques :

   Nom du sujet — sélectionnez le type Nom commun et saisissez une chaîne pour aider à identifier l’utilisation du certificat

   Nom alternatif — sélectionnez le type DNS et ajoutez une entrée pour le FQDN de chaque VDA. Maintenez le nombre de noms alternatifs au minimum pour assurer une négociation TLS optimale.

   

   Remarque :

   Les certificats génériques et SAN nécessitent que l’option Exporter la clé privée sous l’onglet Clé privée soit sélectionnée :

   

Configurer TLS sur un VDA à l’aide du script PowerShell

Installez le certificat TLS dans la zone Ordinateur local > Personnel > Certificats du magasin de certificats. Si plusieurs certificats se trouvent à cet emplacement, fournissez l’empreinte numérique du certificat au script PowerShell.

Remarque :

À partir de XenApp et XenDesktop 7.15 LTSR, le script PowerShell trouve le certificat correct en fonction du FQDN du VDA. Vous n’avez pas besoin de fournir l’empreinte numérique lorsqu’un seul certificat est présent pour le FQDN du VDA.

Le script Enable-VdaSSL.ps1 active ou désactive l’écouteur TLS sur un VDA. Ce script est disponible dans le dossier Support > Tools > SslSupport sur le support d’installation.

Lorsque vous activez TLS, les suites de chiffrement DHE sont désactivées. Les suites de chiffrement ECDHE ne sont pas affectées.

Lorsque vous activez TLS, le script désactive toutes les règles de pare-feu Windows existantes pour le port TCP spécifié. Il ajoute ensuite une nouvelle règle qui permet au service ICA d’accepter les connexions entrantes uniquement sur les ports TCP et UDP TLS. Il désactive également les règles du pare-feu Windows pour :

• Citrix ICA (par défaut : 1494)
• Citrix CGP (par défaut : 2598)
• Citrix WebSocket (par défaut : 8008)

L’effet est que les utilisateurs ne peuvent se connecter qu’en utilisant TLS ou DTLS. Ils ne peuvent pas utiliser ICA/HDX, ICA/HDX avec la fiabilité de session, ou HDX sur WebSocket, sans TLS ou DTLS.

Remarque :

DTLS n’est pas pris en charge avec ICA/HDX Audio sur transport UDP en temps réel, ou avec ICA/HDX Framehawk.

Consultez Ports réseau.

Le script contient les descriptions de syntaxe suivantes, ainsi que des exemples supplémentaires ; vous pouvez utiliser un outil tel que Notepad++ pour consulter ces informations.

Important :

Spécifiez le paramètre Enable ou Disable, ainsi que le paramètre CertificateThumbPrint. Les autres paramètres sont facultatifs.

Syntaxe

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

Exemples

Le script suivant installe et active la valeur de version du protocole TLS. L’empreinte numérique (représentée par « 12345678987654321 » dans cet exemple) est utilisée pour sélectionner le certificat à utiliser.

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

Le script suivant installe et active l’écouteur TLS, et spécifie le port TLS 400, la suite de chiffrement GOV et une valeur de protocole TLS 1.2 minimale. L’empreinte numérique (représentée par « 12345678987654321 » dans cet exemple) est utilisée pour sélectionner le certificat à utiliser.

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

Le script suivant désactive l’écouteur TLS sur le VDA.

Enable-VdaSSL -Disable

Configurer manuellement TLS sur un VDA

Lors de la configuration manuelle de TLS sur un VDA, vous accordez un accès en lecture générique à la clé privée du certificat TLS pour le service approprié sur chaque VDA : NT SERVICE\PorticaService pour un VDA pour OS mono-session Windows, ou NT SERVICE\TermService pour un VDA pour OS multi-session Windows. Sur la machine où le VDA est installé :

ÉTAPE 1. Lancez la console de gestion Microsoft (MMC) : Démarrer > Exécuter > mmc.exe.

ÉTAPE 2. Ajoutez le composant logiciel enfichable Certificats à la MMC :

1. Sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable.
2. Sélectionnez Certificats, puis cliquez sur Ajouter.
3. Lorsque vous êtes invité à choisir « Ce composant logiciel enfichable gérera toujours les certificats pour : », choisissez « Compte d’ordinateur », puis cliquez sur Suivant.
4. Lorsque vous êtes invité à choisir « Sélectionnez l’ordinateur que vous souhaitez que ce composant logiciel enfichable gère », choisissez « Ordinateur local », puis cliquez sur Terminer.

ÉTAPE 3. Sous Certificats (ordinateur local) > Personnel > Certificats, cliquez avec le bouton droit sur le certificat, puis sélectionnez Toutes les tâches > Gérer les clés privées.

ÉTAPE 4. L’éditeur de liste de contrôle d’accès affiche « Autorisations pour les clés privées de (FriendlyName) » où (FriendlyName) est le nom de votre certificat TLS. Ajoutez l’un des services suivants et accordez-lui un accès en lecture :

• Pour un VDA pour OS Windows à session unique, « PORTICASERVICE »
• Pour un VDA pour OS Windows multi-session, « TERMSERVICE »

ÉTAPE 5. Double-cliquez sur le certificat TLS installé. Dans la boîte de dialogue du certificat, sélectionnez l’onglet Détails, puis faites défiler vers le bas. Cliquez sur Empreinte numérique.

ÉTAPE 6. Exécutez regedit et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. Modifiez la clé SSL Thumbprint et copiez la valeur de l’empreinte numérique du certificat TLS dans cette valeur binaire. Vous pouvez ignorer en toute sécurité les éléments inconnus dans la boîte de dialogue Modifier la valeur binaire (tels que ‘0000’ et les caractères spéciaux).
2. Modifiez la clé SSLEnabled et remplacez la valeur DWORD par 1. (Pour désactiver SSL ultérieurement, remplacez la valeur DWORD par 0.)

3. Si vous souhaitez modifier les paramètres par défaut (facultatif), utilisez les éléments suivants dans le même chemin de registre :

   SSLPort DWORD – Numéro de port SSL. Par défaut : 443.

   SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Par défaut : 2 (TLS 1.0).

   SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Par défaut : 3 (ALL).

ÉTAPE 7. Assurez-vous que les ports TCP et UDP TLS sont ouverts dans le Pare-feu Windows s’ils ne sont pas les ports par défaut 443. (Lorsque vous créez la règle de trafic entrant dans le Pare-feu Windows, assurez-vous que ses propriétés ont les entrées « Autoriser la connexion » et « Activé » sélectionnées.)

ÉTAPE 8. Assurez-vous qu’aucune autre application ou service (tel qu’IIS) n’utilise le port TCP TLS.

ÉTAPE 9. Pour les VDA multi-session, redémarrez la machine pour que les modifications prennent effet. (Vous n’avez pas besoin de redémarrer les machines VDA à session unique.)

ÉTAPE 10. Modifiez la préférence de suite de chiffrement Windows afin que les suites de chiffrement prises en charge par le VDA aient la priorité la plus élevée pour éviter les problèmes de connexion.

Important :

Les modifications de stratégie de groupe décrites ci-dessous ne prennent effet qu’après le redémarrage du système.

Si vous utilisez des hôtes de session non persistants provisionnés avec MCS ou PVS, vous devez appliquer ces paramètres dans l’image principale.

Option 1 :

À l’aide de l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Paramètres de configuration SSL > Ordre des suites de chiffrement SSL. Assurez-vous que les suites de chiffrement suivantes figurent en haut de la liste :

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

Remarque :

TLS_AES_256_GCM_SHA384 et TLS_AES_128_GCM_SHA256 s’appliquent uniquement à Windows 11 et Windows Server 2022 ou versions ultérieures. Si vous utilisez des systèmes d’exploitation plus anciens, veuillez ne pas inclure ces suites de chiffrement dans votre liste.

Notez que les suites de chiffrement répertoriées spécifient également la courbe elliptique, P384 ou P256, pour garantir que « curve25519 » n’est pas sélectionnée. Le mode FIPS n’empêche pas l’utilisation de « curve25519 ».

Il n’est pas nécessaire de supprimer des suites de chiffrement de la liste. Notez que ces paramètres s’appliquent à l’ensemble du système, donc si vous décidez de supprimer des suites de chiffrement, vous devez vous assurer qu’elles ne sont pas requises par les applications ou services exécutés sur vos hôtes de session.

Option 2 :

À l’aide de l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Paramètres de configuration SSL > Ordre des suites de chiffrement SSL. Assurez-vous que les suites de chiffrement suivantes figurent en haut de la liste :

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

Remarque :

TLS_AES_256_GCM_SHA384 et TLS_AES_128_GCM_SHA256 s’appliquent uniquement à Windows 11 et Windows Server 2022, ou versions ultérieures. Si vous utilisez des systèmes d’exploitation plus anciens, veuillez ne pas inclure ces suites de chiffrement dans votre liste.

Il n’est pas nécessaire de supprimer des suites de chiffrement de la liste. Notez que ces paramètres s’appliquent à l’ensemble du système, donc si vous décidez de supprimer des suites de chiffrement, vous devez vous assurer qu’elles ne sont pas requises par les applications ou services exécutés sur vos hôtes de session.

À l’aide de l’Éditeur de stratégie de groupe, accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Paramètres de configuration SSL > Ordre des courbes ECC. Activez le paramètre et incluez les courbes suivantes dans la liste :

NistP384
NistP256
<!--NeedCopy-->

Remarque :

Cela garantit que « curve25519 » n’est pas sélectionné. Le mode FIPS n’empêche pas l’utilisation de « curve25519 ».

Le VDA sélectionne une suite de chiffrement uniquement si elle apparaît dans les deux listes : la liste de la stratégie de groupe et la liste du mode de conformité sélectionné (COM, GOV ou ALL). La suite de chiffrement doit également apparaître dans la liste envoyée par le client (application Citrix Workspace).

Configurer TLS sur les groupes de mise à disposition

Suivez cette procédure pour chaque groupe de mise à disposition contenant des VDA que vous avez configurés pour les connexions TLS.

1. Depuis Studio, ouvrez la console PowerShell.
2. Exécutez Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
3. Exécutez Set-BrokerSite -DnsResolutionEnabled $true.

Activation de SSL pour les VDA en pool à l’aide de l’inscription automatique

Lorsque vous utilisez des VDA en pool, si vous ajoutez un certificat à l’image principale, tous les VDA partagent la même image. Vous pouvez utiliser un certificat générique, mais l’inconvénient est que si l’un des VDA est compromis, ce certificat très puissant signifierait que les connexions HDX™ appartenant à tous les VDA seraient menacées.

Une alternative sécurisée consiste plutôt à tirer parti des services de certificats Microsoft Active Directory pour provisionner automatiquement des certificats à l’aide de la stratégie de groupe. Vous pouvez utiliser un script de démarrage sur le VDA pour provisionner dynamiquement un nouveau certificat et activer SSL pour le VDA.

Notez que cette approche ne fonctionnera que pour les VDA de bureau à session unique. Pour les VDA multi-sessions, l’écouteur ICA est démarré trop tôt pendant le processus de démarrage, avant que les certificats ne puissent être provisionnés automatiquement.

Étant donné que les services de certificats Active Directory utilisent une autorité de certification d’entreprise interne, ils ne seront pas automatiquement approuvés par toutes les installations Windows. Si les clients sont gérés par l’entreprise et font partie d’une forêt de domaines, les certificats d’autorité de certification approuvés peuvent être distribués automatiquement à l’aide de la stratégie de groupe. Pour les appareils BYOD et autres appareils non joints au domaine, vous devez distribuer les certificats d’autorité de certification approuvés à vos utilisateurs par un autre mécanisme (tel que l’offre d’un lien de téléchargement), ou utiliser une passerelle NetScaler.

Activer l’inscription automatique des certificats

Assurez-vous d’abord que le rôle Services de certificats Active Directory est installé sur un serveur de votre forêt de domaines VDA fournissant une autorité de certification d’entreprise, sinon l’inscription automatique ne sera pas possible.

Notez que cela peut entraîner une charge considérablement plus élevée que d’habitude sur votre autorité de certification d’entreprise, car les VDA soumettront une demande de certificat à chaque démarrage. Assurez-vous d’allouer suffisamment de CPU et de mémoire sur le serveur d’autorité de certification pour faire face à la charge, et comme toujours, testez l’évolutivité du déploiement dans un environnement de laboratoire avant de passer en production.

Dans l’Éditeur de gestion des stratégies de groupe, créez une nouvelle stratégie qui s’applique à l’unité d’organisation qui contiendra vos VDA en pool avec SSL activé, comme suit :

1. Développez Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de clé publique
2. Modifiez les propriétés de l’objet « Client des services de certificat – Stratégie d’inscription automatique »
3. Configurez comme indiqué dans la capture d’écran ci-dessous.
4. Cliquez avec le bouton droit sur le conteneur Demande de certificat automatique et sélectionnez Nouveau -> Demande de certificat automatique…
5. Dans l’Assistant Configuration de la demande de certificat automatique, cliquez sur Suivant
6. Assurez-vous que le modèle de certificat d’ordinateur est sélectionné, cliquez sur Suivant
7. Cliquez sur Terminer

Préparation de l’image principale Windows

Copiez le script Enable-VdaSsl.ps1 du support d’installation du produit dans le dossier Support\Tools\SslSupport vers l’image principale du VDA. Notez que l’image principale ne doit contenir aucun certificat à utiliser pour les connexions HDX SSL. Les certificats seront provisionnés lors de la création du catalogue de machines MCS ou PVS. Créez maintenant une nouvelle tâche planifiée comme suit (ne lancez pas la tâche planifiée maintenant) :

1. Ouvrez le Planificateur de tâches.

2. Dans le volet Actions, appuyez sur Créer une tâche…

3. Dans l’onglet Général :

   • Saisissez un Nom tel que Enable VDA SSL

   • Cliquez sur Modifier l’utilisateur ou le groupe… et dans la boîte de dialogue Sélectionner un utilisateur ou un groupe, saisissez SYSTEM puis cliquez sur OK

   

4. Sélectionnez l’onglet Déclencheurs

5. Cliquez sur Nouveau…. Dans la boîte de dialogue Nouveau déclencheur :

   1. Définissez Démarrer la tâche sur Lors d’un événement

   2. Définissez Journal sur Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational

   3. Définissez Source sur Microsoft-Windows-CertificateServicesClient-Lifecycle-System

   4. Définissez ID d’événement sur 1006

   5. Cliquez sur OK pour enregistrer le déclencheur

   

6. Sélectionnez l’onglet Actions

7. Cliquez sur Nouveau…

8. Dans la boîte de dialogue Nouvelle action :

   1. Définissez Action sur Démarrer un programme

   2. Dans le champ Programme/script, entrez powershell.exe

   3. Dans le champ Ajouter des arguments, entrez -ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$False, y compris le chemin d’accès au script PowerShell.

   4. Appuyez sur OK pour enregistrer l’action

   

9. Appuyez sur OK pour enregistrer la tâche

Dépannage

Si une erreur de connexion se produit, vérifiez le journal des événements système sur le VDA.

Lorsque vous utilisez l’application Citrix Workspace pour Windows, si vous recevez une erreur de connexion indiquant une erreur TLS, désactivez Desktop Viewer, puis essayez de vous connecter à nouveau. Bien que la connexion échoue toujours, une explication du problème TLS sous-jacent peut être fournie. Par exemple, vous avez spécifié un modèle incorrect lors de la demande d’un certificat auprès de l’autorité de certification.)

La plupart des configurations qui utilisent le transport adaptatif HDX fonctionnent correctement avec DTLS, y compris celles qui utilisent les dernières versions de l’application Citrix Workspace, de Citrix Gateway et du VDA. Certaines configurations qui utilisent DTLS entre l’application Citrix Workspace et Citrix Gateway, et qui utilisent DTLS entre Citrix Gateway et le VDA, nécessitent une action supplémentaire.

Une action supplémentaire est nécessaire si :

• la version de Citrix Receiver prend en charge le transport adaptatif HDX et DTLS : Receiver pour Windows (4.7, 4.8, 4.9), Receiver pour Mac (12.5, 12.6, 12.7), Receiver pour iOS (7.2, 7.3.x) ou Receiver pour Linux (13.7)

et que l’une des conditions suivantes s’applique également :

• la version de Citrix Gateway prend en charge DTLS vers le VDA, mais la version du VDA ne prend pas en charge DTLS (version 7.15 ou antérieure),

• la version du VDA prend en charge DTLS (version 7.16 ou ultérieure), mais la version de Citrix Gateway ne prend pas en charge DTLS vers le VDA.

Pour éviter que les connexions depuis Citrix Receiver™ n’échouent, effectuez l’une des opérations suivantes :

• mettez à jour Citrix Receiver, vers Receiver pour Windows version 4.10 ou ultérieure, Receiver pour Mac 12.8 ou ultérieure, ou Receiver pour iOS version 7.5 ou ultérieure ; ou,
• mettez à jour le Citrix Gateway vers une version qui prend en charge DTLS vers le VDA ; ou,
• mettez à jour le VDA, vers la version 7.16 ou ultérieure ; ou,
• désactivez DTLS sur le VDA ; ou,
• désactivez le transport adaptatif HDX.

Remarque :

Une mise à jour appropriée pour Receiver pour Linux n’est pas encore disponible. Receiver pour Android (version 3.12.3) ne prend pas en charge le transport adaptatif HDX et DTLS via Citrix Gateway, et n’est donc pas affecté.

Pour désactiver DTLS sur le VDA, modifiez la configuration du pare-feu du VDA pour désactiver le port UDP 443. Consultez Ports réseau.

Redirection vidéo TLS et HTML5, et redirection de contenu de navigateur

Vous pouvez utiliser la redirection vidéo HTML5 et la redirection de contenu de navigateur pour rediriger les sites Web HTTPS. Le JavaScript injecté dans ces sites Web doit établir une connexion TLS au service de redirection vidéo HTML5 Citrix HDX exécuté sur le VDA. Pour ce faire, le service de redirection vidéo HTML5 génère deux certificats personnalisés dans le magasin de certificats sur le VDA. L’arrêt du service supprime les certificats.

La stratégie de redirection vidéo HTML5 est désactivée par défaut.

La redirection de contenu de navigateur est activée par défaut.

Pour plus d’informations sur la redirection vidéo HTML5, consultez Paramètres de stratégie multimédia.