Citrix Virtual Apps and Desktops

Gérer les clés de sécurité

Remarque :

  • Vous devez utiliser cette fonctionnalité en conjonction avec StoreFront 1912 LTSR CU2 ou version ultérieure.

  • La fonctionnalité Secure XML n’est prise en charge que sur Citrix ADC et Citrix Gateway version 12.1 et versions ultérieures.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec Citrix Cloud. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Activez la fonctionnalité dans Studio à l’aide du SDK PowerShell.

  2. Configurez les paramètres dans Studio. (Utilisez la console Studio ou PowerShell).

  3. Configurez les paramètres dans StoreFront. (Utilisez PowerShell).

  4. Configurez les paramètres dans Citrix ADC.

Activer la fonctionnalité clé de sécurité

Cette fonctionnalité est désactivée par défaut. Pour l’activer, utilisez le SDK Remote PowerShell. Pour plus d’informations sur le SDK Remote PowerShell, reportez-vous à la section Kits de développement (SDK) et API.

Pour activer la fonction, effectuez les opérations suivantes :

  1. Exécutez le kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell.
  2. Dans une fenêtre de commandes, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurer les paramètres dans Studio

Vous pouvez configurer les paramètres dans Studio à l’aide de la console Studio ou PowerShell.

Utiliser la console Studio

Après avoir activé la fonctionnalité, accédez à Studio > Paramètres > Gérer la clé de sécurité, puis cliquez sur Modifier. La fenêtre Gérer la clé de sécurité apparaît. Cliquez sur Enregistrer pour appliquer vos modifications et quitter la fenêtre.

Assistant Gérer la clé de sécurité

Important :

  • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation de la clé.
  • Ne cliquez pas sur l’icône Actualiser pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article Centre de connaissances CTX127945.

Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article Centre de connaissances CTX101988.

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter la fenêtre Gérer la clé de sécurité.

Utiliser PowerShell

Voici des étapes PowerShell équivalentes aux opérations Studio.

  1. Exécutez le kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell.

  2. Dans une fenêtre de commandes, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez l’une des commandes suivantes ou les deux pour activer l’utilisation d’une clé dans l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir effectué la configuration dans Studio, vous devez configurer les paramètres requis dans StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

  • Pour configurer la clé des communications via le port XML, utilisez les commandes Get-STFStoreServie et Set-STFStoreService. Par exemple :
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Pour configurer la clé des communications via le port STA, utilisez la commande New-STFSecureTicketAuthority. Par exemple :
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans Citrix ADC

Remarque :

La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise sauf si vous utilisez Citrix ADC comme passerelle. If you use Citrix ADC, follow the steps below.

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP associées à Citrix ADC suivantes sont configurées.

      Adresse IP de gestion ADC

      • Adresse IP de sous-réseau (SNIP) permettant la communication entre l’appliance Citrix ADC et les serveurs principaux. Pour plus d’informations, consultez Configuration des adresses IP de sous-réseau.
      • Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC pour le lancement de session. Pour plus d’informations, consultez Créer un serveur virtuel.

      Adresse IP du sous-réseau

    • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
      • Pour activer les modes, dans l’interface graphique Citrix ADC, accédez à System > Settings > Configure Mode.
      • Pour activer les fonctionnalités, dans l’interface graphique Citrix ADC, accédez à System > Settings > Configure Basic Features.
    • Les configurations liées aux certificats sont terminées.
      • La demande de signature de certificat (CSR) est créée. Pour plus d’informations, consultez Créer un certificat.

      Créer un certificat CSR

      • Les certificats du serveur et de l’autorité de certification ainsi que les certificats racine sont installés. Pour plus d’informations, consultez Installer, lier et mettre à jour.

      Installer le certificat du serveur

      Installer le certificat d'autorité de certification

      Passerelle pour bureaux virtuels

  2. Ajoutez une action de réécriture. Pour plus d’informations, consultez Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Rewrite > Actions.
    2. Cliquez sur Add pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Header Name, entrez X-Citrix-XmlServiceKey.
    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de votre configuration Desktop Delivery Controller.

    Valeur de clé de service XML

  3. Ajoutez une stratégie de réécriture. Pour plus d’informations, consultez Configuration d’une stratégie de réécriture.
    1. Accédez à AppExpert > Rewrite > Policies.

    2. Cliquez sur Add pour ajouter une nouvelle stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.
  4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne parviennent pas à se lancer.

    Pour plus d’informations, consultez Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Servers.
      • Dans la page Virtual Servers, cliquez sur Add.

      Ajouter un serveur d'équilibrage de charge

      • Dans Protocol, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et sélectionnez 80 dans Port.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Existing Server, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocol, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis cliquez sur Done.
    3. Liez le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Services and Service Groups, cliquez sur No Load Balancing Virtual Server Service Binding.

      Lier le service à un serveur virtuel

      • Dans Service Binding, sélectionnez le service créé précédemment.
      • Cliquez sur Bind.
    4. Liez la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Policies, puis dans la section Policies, cliquez sur +.

      Lier la stratégie de réécriture

      • Dans Choose Policy, sélectionnez Rewrite et, dans Choose Type, sélectionnez Request.
      • Cliquez sur Continuer.
      • Dans Select Policy, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Bind.
      • Cliquez sur Terminé.
    5. Configurez la persistance du serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Persistence.

      Définir la persistance

      • Sélectionnez Others comme type de persistance.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (adresse IP de destination).
      • Dans IPv4 Netmask, ajoutez un masque de réseau identique à celui du DDC.
      • Cliquez sur OK.
    6. Répétez également ces étapes pour l’autre serveur virtuel.

Modification de la configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, pour utiliser la fonctionnalité Secure XML, vous devez apporter les modifications de configuration suivantes.

  • Avant le lancement de la session, modifiez l’URL Security Ticket Authority de la passerelle pour utiliser les noms de domaine complets des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Toutefois, si le client a déjà configuré Citrix ADC pour Citrix Virtual Desktops, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique Citrix ADC, accédez à Configuration > Integrate with Citrix Products, puis cliquez sur XenApp and XenDesktop.
  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL Secure Ticket Authority.
    • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STAT

Gérer les clés de sécurité