Conditions préalables à l’installation de l’application Citrix Workspace

Configuration système requise et compatibilité

Configuration requise par l’appareil

Image de la configuration requise pour le matériel Image de la configuration requise pour les bibliothèques Image de la configuration requise pour les composants 1 Image de la configuration requise pour les composants 2 Image de la configuration requise pour les composants 3 Image de la configuration requise pour les composants 4

Matrice de compatibilité

L’application Citrix Workspace pour Linux est compatible avec toutes les versions actuellement prises en charge des produits Citrix. Pour de plus amples informations sur le cycle de vie des produits Citrix et savoir quand Citrix arrête la prise en charge de versions spécifiques des produits, consultez le tableau du cycle de vie des produits Citrix.

Éléments requis sur les serveurs

StoreFront

Vous pouvez accéder à l’application Citrix Workspace pour Linux 1808 ou version ultérieure par le biais d’un navigateur en conjonction avec StoreFront Citrix Workspace pour Web et l’Interface Web, avec ou sans le plug-in Citrix Gateway.

StoreFront :

  • StoreFront 3.x, 2.6, 2.5 et 2.1

    Permet d’accéder directement aux magasins StoreFront.

  • StoreFront configuré avec Workspace pour Web

    Permet d’accéder aux magasins StoreFront à partir d’un navigateur Web. Pour connaître les limitations de ce déploiement, reportez-vous à la section « Remarques importantes » dans Sites Citrix Receiver pour Web.

Interface Web

Utiliser l’Interface Web avec le client VPN NetScaler :

  • Sites Web Interface Web 5.4 pour Windows

    Permet d’accéder à des applications et bureaux virtuels à partir d’un navigateur Web.

  • Interface Web 5.4 pour Linux avec des sites XenApp Services ou Citrix Virtual Desktops Services

Connexions et Certificats

Connexions

L’application Citrix Workspace pour Linux prend en charge les connexions HTTPS et ICA-over-TLS par le biais des configurations suivantes.

  • Pour les connexions LAN :

    • StoreFront avec StoreFront Services ou Workspace pour Web
    • Interface Web 5.4 pour Windows avec l’Interface Web où XenApp Services
  • Pour les connexions sécurisées à distance ou locales :

    • Citrix Gateway 12.0
    • Netscaler Gateway 10.1 et versions ultérieures
    • Netscaler Access Gateway Enterprise Edition 10
    • Netscaler Access Gateway Enterprise Edition 9.x
    • Netscaler Access Gateway VPX

    Pour plus d’informations sur les versions de Citrix Gateway prises en charge par StoreFront, reportez-vous à la section Configuration système requise de StoreFront.

Certificats

Pour garantir la sécurité des transactions entre le serveur et le client, utilisez les certificats suivants :

Certificats privés (auto-signés)

Si un certificat privé est installé sur la passerelle distante, le certificat racine de l’autorité de certification doit être installé sur l’appareil de façon à pouvoir accéder aux ressources Citrix à l’aide de l’application Citrix Workspace.

Remarque :

Si le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion (car le certificat racine n’est pas inclus dans le magasin de clés local), un avertissement relatif à un certificat non approuvé s’affiche. Si un utilisateur choisit d’ignorer l’avertissement, les applications s’affichent, mais ne démarrent pas. Le certificat racine doit être installé dans le magasin de certificats du client.

Certificats racines

Pour les ordinateurs appartenant à un domaine, vous pouvez utiliser le modèle d’administration d’objet de stratégie de groupe pour distribuer et approuver les certificats d’autorité de certification.

Pour les ordinateurs n’appartenant pas à un domaine, l’organisation peut créer un pack d’installation personnalisé pour distribuer et installer le certificat d’autorité de certification. Contactez votre administrateur système pour obtenir de l’aide.

Installer des certificats racine sur des machines utilisateur

Pour utiliser le protocole TLS, vous devez disposer d’un certificat racine sur la machine cliente permettant de vérifier la signature de l’autorité de certification apposée sur le certificat du serveur. Par défaut, l’application Citrix Workspace prend en charge les certificats suivants.

Certificat Autorité émettrice
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert Global Root CA

Il n’est pas nécessaire d’obtenir et d’installer des certificats racine sur les machines utilisateur pour pouvoir utiliser des certificats émis par ces autorités de certification. Cependant, si vous choisissez d’utiliser une autorité de certification différente, vous devez alors obtenir un certificat racine auprès de celle-ci, que vous installez ensuite sur chaque machine utilisateur.

L’application Citrix Workspace pour Linux prend en charge les clés RSA de longueur 1024, 2048 et 3072. Les certificats racine avec des clés RSA de longueur de 4 096 bits sont aussi pris en charge.

Remarque :

L’application Citrix Workspace pour Linux 1808 et versions ultérieures utilise l’outil ctx_rehash comme décrit dans les étapes suivantes.

Si vous authentifiez un certificat de serveur qui a été émis par une autorité de certification et qui n’a pas encore été approuvé par la machine utilisateur, suivez les instructions suivantes avant d’ajouter un magasin StoreFront :

  1. Obtenez le certificat racine au format PEM. Conseil : si vous ne trouvez aucun certificat de ce format, utilisez l’utilitaire openssl pour convertir un certificat au format CRT en un fichier .pem.
  2. En tant qu’utilisateur qui a installé le package (généralement racine) :
    1. Copiez le fichier dans $ICAROOT/keystore/cacerts.

    2. Exécutez la commande suivante :

      $ICAROOT/util/ctx_rehash

Certificats génériques

Les certificats génériques remplacent les certificats de serveur individuel pour n’importe quel serveur situé dans le même domaine. L’application Citrix Workspace pour Linux prend en charge les certificats génériques, toutefois, ils doivent être uniquement utilisés conformément à la stratégie de sécurité de votre organisation. En pratique, des alternatives aux certificats génériques existent, par exemple un certificat qui contient la liste des noms de serveurs dans l’extension SAN (Subject Alternative Name) peut être pris en compte. Ce type de certificat peut être émis par des autorités de certification publiques et privées.

Certificats intermédiaires et Citrix Gateway

Si votre chaîne de certificat contient un certificat intermédiaire, ce dernier doit être ajouté au certificat serveur de Citrix Gateway. Pour plus d’informations, reportez-vous à la section Configuration de certificats intermédiaires de la documentation Citrix Gateway.

Si votre serveur StoreFront ne peut pas fournir les certificats intermédiaires correspondant au certificat qu’il utilise, ou que vous installez des certificats intermédiaires pour prendre en charge des utilisateurs de cartes à puce, suivez ces étapes avant d’ajouter un magasin StoreFront :

  1. Obtenez le ou les certificats intermédiaires séparément au format PEM.

    Conseil :

    Si vous ne trouvez aucun certificat de format PEM, utilisez l’utilitaire openssl pour convertir un certificat au format CRT en un fichier .pem.

  2. En tant qu’utilisateur, installez le package (généralement racine) :

    1. Copiez le ou les fichiers dans $ICAROOT/keystore/intcerts.

    2. Exécutez la commande suivante en tant qu’utilisateur qui a installé le package :

      $ICAROOT/util/ctx_rehash

Stratégie de validation des certificats de serveur

La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Linux est plus stricte.

Important :

Avant d’installer l’application Citrix Workspace pour Linux, vérifiez que les certificats sur le serveur ou la passerelle sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :

  • la configuration du serveur ou de la passerelle inclut un certificat racine incorrect ;
  • la configuration du serveur ou de la passerelle n’inclut pas tous les certificats intermédiaires ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire expiré ou non valide ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire avec signature croisée.

Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Linux utilise maintenant tous les certificats fournis par le serveur (ou la passerelle). Comme dans les versions précédentes de l’application Citrix Workspace pour Linux, il vérifie également que les certificats sont approuvés. Si les certificats ne sont pas tous approuvés, la connexion échoue.

Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.

Le serveur (ou la passerelle) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion de l’application Citrix Workspace pour Linux.

Supposons qu’une passerelle soit configurée avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Linux :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat racine exemple »

L’application Citrix Workspace pour Linux vérifie ensuite que tous ces certificats sont valides. L’application Citrix Workspace pour Linux vérifie également qu’il fait déjà confiance à « Certificat racine exemple ». Si l’application Citrix Workspace pour Linux ne fait pas confiance à « Certificat racine exemple », la connexion échoue.

Important :

  • Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul (« DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions de l’application Citrix Workspace pour Linux sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé. Notez également que les certificats racine finissent par expirer, comme tous les certificats.
  • Certains serveurs et certaines passerelles n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, qui ignore le certificat racine, est généralement recommandée :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

L’application Citrix Workspace pour Linux utilise ensuite ces deux certificats. Il recherche ensuite un certificat racine sur la machine utilisateur. Si elle en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Linux a besoin, mais permet également à l’application Citrix Workspace pour Linux de choisir un quelconque certificat racine valide et approuvé.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat racine incorrect »

Un navigateur Web peut ignorer le certificat racine incorrect. Toutefois, l’application Citrix Workspace pour Linux n’ignore pas le certificat racine incorrect et la connexion échoue.

Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, la passerelle est généralement configurée avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple 1 »

  • « Certificat intermédiaire exemple 2 »

Important :

  • Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée. Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent. Dans ce cas, il y aura au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant. Toutefois, un certificat racine antérieur « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.
  • Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Délivré à). Cependant le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Délivré par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).

Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

Évitez de configurer la passerelle de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :

  • « Certificat de serveur exemple »

  • « Certificat intermédiaire exemple »

  • « Certificat intermédiaire croisé exemple » [non recommandé]

Il n’est pas recommandé de configurer la passerelle avec le certificat de serveur uniquement :

  • « Certificat de serveur exemple »

Dans ce cas, si l’application Citrix Workspace pour Linux ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.

Conditions préalables à l’installation de l’application Citrix Workspace