Connexions et Certificats

Connexions

L’application Citrix Workspace pour Linux prend en charge les connexions HTTPS et ICA-over-TLS par le biais des configurations suivantes.

  • Pour les connexions LAN :

    • StoreFront avec StoreFront Services ou Workspace pour Web
    • Interface Web 5.4 pour Windows avec l’Interface Web où XenApp Services
  • Pour les connexions sécurisées à distance ou locales :

    • Citrix Gateway 12.0
    • Netscaler Gateway 10.1 et versions ultérieures
    • Netscaler Access Gateway Enterprise Edition 10
    • Netscaler Access Gateway Enterprise Edition 9.x
    • Netscaler Access Gateway VPX

    Pour plus d’informations sur les versions de Citrix Gateway prises en charge par StoreFront, reportez-vous à la section Configuration système requise de StoreFront.

Certificats

Pour garantir la sécurité des transactions entre le serveur et le client, utilisez les certificats suivants :

Certificats privés (auto-signés)

Si un certificat privé est installé sur la passerelle distante, le certificat racine de l’autorité de certification doit être installé sur l’appareil de façon à pouvoir accéder aux ressources Citrix à l’aide de l’application Citrix Workspace.

Remarque :

Si le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion (car le certificat racine n’est pas inclus dans le magasin de clés local), un avertissement relatif à un certificat non approuvé s’affiche. Si un utilisateur choisit d’ignorer l’avertissement, les applications s’affichent, mais ne démarrent pas. Le certificat racine doit être installé dans le magasin de certificats du client.

Certificats racines sur les machines utilisateur

Pour les ordinateurs appartenant à un domaine, vous pouvez utiliser le modèle d’administration d’objet de stratégie de groupe pour distribuer et approuver les certificats d’autorité de certification.

Pour les ordinateurs n’appartenant pas à un domaine, l’organisation peut créer un pack d’installation personnalisé pour distribuer et installer le certificat d’autorité de certification. Contactez votre administrateur système pour obtenir de l’aide.

Installation de certificats racine sur des machines utilisateur

Pour plus d’informations sur l’installation des certificats racine sur les machines utilisateur et la configuration des certificats sur l’Interface Web, voir Installation de certificats racine dans la documentation de l’application Citrix Workspace pour Windows.

Certificats génériques

Les certificats génériques remplacent les certificats de serveur individuel pour n’importe quel serveur situé dans le même domaine. L’application Citrix Workspace pour Linux prend en charge les certificats génériques, toutefois, ils doivent être uniquement utilisés conformément à la stratégie de sécurité de votre organisation. En pratique, des alternatives aux certificats génériques existent, par exemple un certificat qui contient la liste des noms de serveurs dans l’extension SAN (Subject Alternative Name) peut être pris en compte. Ce type de certificat peut être émis par des autorités de certification publiques et privées.

Certificats intermédiaires et Citrix Gateway

Si votre chaîne de certificat contient un certificat intermédiaire, ce dernier doit être ajouté au certificat serveur de Citrix Gateway. Pour plus d’informations, consultez la section Configuration de certificats intermédiaires dans la documentation de Citrix Gateway.

Stratégie de validation des certificats de serveur

La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Linux est plus stricte.

Important :

Avant d’installer l’application Citrix Workspace pour Linux, vérifiez que les certificats sur le serveur ou la passerelle sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :

  • la configuration du serveur ou de la passerelle inclut un certificat racine incorrect ;
  • la configuration du serveur ou de la passerelle n’inclut pas tous les certificats intermédiaires ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire expiré ou non valide ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire avec signature croisée.

Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Linux utilise maintenant tous les certificats fournis par le serveur (ou la passerelle). Comme dans les versions précédentes de l’application Citrix Workspace pour Linux, il vérifie également que les certificats sont approuvés. Si les certificats ne sont pas tous approuvés, la connexion échoue.

Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.

Le serveur (ou la passerelle) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion de l’application Citrix Workspace pour Linux.

Supposons qu’une passerelle soit configurée avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Linux :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat racine exemple »

L’application Citrix Workspace pour Linux vérifie ensuite que tous ces certificats sont valides. L’application Citrix Workspace pour Linux vérifie également qu’il fait déjà confiance à « Certificat racine exemple ». Si l’application Citrix Workspace pour Linux ne fait pas confiance à « Certificat racine exemple », la connexion échoue.

Important :

  • Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul (« DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions de l’application Citrix Workspace pour Linux sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé. Notez également que les certificats racine finissent par expirer, comme tous les certificats.
  • Certains serveurs et certaines passerelles n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, qui ignore le certificat racine, est généralement recommandée :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

L’application Citrix Workspace pour Linux utilise ensuite ces deux certificats. Il recherche ensuite un certificat racine sur la machine utilisateur. Si elle en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Linux a besoin, mais permet également à l’application Citrix Workspace pour Linux de choisir un quelconque certificat racine valide et approuvé.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat racine incorrect »

Un navigateur Web peut ignorer le certificat racine incorrect. Toutefois, l’application Citrix Workspace pour Linux n’ignore pas le certificat racine incorrect et la connexion échoue.

Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, la passerelle est généralement configurée avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple 1 »

  • « Certificat intermédiaire exemple 2 »

Important :

  • Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée. Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent. Dans ce cas, il y aura au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant. Toutefois, un certificat racine antérieur « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.
  • Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Délivré à). Cependant le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Délivré par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).

Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

Évitez de configurer la passerelle de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat intermédiaire croisé exemple » [non recommandé]

Il n’est pas recommandé de configurer la passerelle avec le certificat de serveur uniquement :

  • « Certificat de serveur exemple »

Dans ce cas, si l’application Citrix Workspace pour Linux ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.

Connexions et Certificats

Dans cet article