Documentation produit
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Voir PDF

Communications sécurisées

April 16, 2026
Contributeur: 
C C

  • Pour sécuriser la communication entre le serveur Citrix Virtual Apps and Desktops et l’application Citrix Workspace, vous pouvez intégrer vos connexions d’application Citrix Workspace à l’aide d’une gamme de technologies sécurisées, telles que les suivantes :

  • Citrix Gateway : Pour plus d’informations, consultez les rubriques de cette section ainsi que la documentation de Citrix Gateway et de StoreFront.
  • Un pare-feu : Les pare-feu réseau peuvent autoriser ou bloquer les paquets en fonction de l’adresse de destination et du port.
  • Les versions 1.0 à 1.2 de Transport Layer Security (TLS) sont prises en charge.
  • Serveur approuvé pour établir des relations de confiance dans les connexions de l’application Citrix Workspace.
  • Signature de fichier ICA®
  • Protection de l’autorité de sécurité locale (LSA)
  • Serveur proxy pour les déploiements Citrix Virtual Apps uniquement : Un serveur proxy SOCKS ou un serveur proxy sécurisé. Les serveurs proxy aident à limiter l’accès au réseau et depuis le réseau. Ils gèrent également les connexions entre l’application Citrix Workspace et le serveur. L’application Citrix Workspace prend en charge les protocoles proxy SOCKS et sécurisés.
    • Proxy sortant

Citrix Gateway

-  Citrix Gateway (anciennement Access Gateway) sécurise les connexions aux magasins StoreFront. Il permet également aux administrateurs de contrôler l'accès des utilisateurs aux bureaux et aux applications de manière détaillée.

Pour vous connecter aux bureaux et aux applications via Citrix Gateway :

-  1.  Spécifiez l'URL de Citrix Gateway fournie par votre administrateur en utilisant l'une des méthodes suivantes :

-  La première fois que vous utilisez l'interface utilisateur en libre-service, vous êtes invité à saisir l'URL dans la boîte de dialogue **Ajouter un compte**.
-  Lorsque vous utilisez ultérieurement l'interface utilisateur en libre-service, saisissez l'URL en cliquant sur **Préférences** > **Comptes** > **Ajouter**.
-  Si vous établissez une connexion avec la commande storebrowse, saisissez l'URL à la ligne de commande.

L’URL spécifie la passerelle et, éventuellement, un magasin spécifique :

  • Pour vous connecter au premier magasin trouvé par l’application Citrix Workspace, utilisez une URL au format suivant :

  • Pour vous connecter à un magasin spécifique, utilisez une URL du type, par exemple : https://gateway.company.com?<storename>. Cette URL dynamique est sous une forme non standard ; n’incluez pas le signe « = » (le caractère « égal ») dans l’URL. Si vous établissez une connexion à un magasin spécifique avec storebrowse, vous devrez peut-être mettre l’URL entre guillemets dans la commande storebrowse.

  1. Lorsque vous y êtes invité, connectez-vous au magasin (via la passerelle) à l’aide de votre nom d’utilisateur, de votre mot de passe et de votre jeton de sécurité. Pour plus d’informations sur cette étape, consultez la documentation de Citrix Gateway.

Une fois l’authentification terminée, vos bureaux et applications s’affichent.

Connexion via un pare-feu

  • Les pare-feu réseau peuvent autoriser ou bloquer les paquets en fonction de l’adresse de destination et du port. Si vous utilisez un pare-feu, l’application Citrix Workspace pour Windows peut communiquer via le pare-feu avec le serveur Web et le serveur Citrix.

  • Ports de communication Citrix courants

  • Source Type Port Détails
  • Application Citrix Workspace TCP 80/443 Communication avec StoreFront
  • ICA ou HDX TCP/UDP 1494 Accès aux applications et aux bureaux virtuels
  • ICA ou HDX avec fiabilité de session TCP/UDP 2598 Accès aux applications et aux bureaux virtuels
  • ICA ou HDX sur TLS TCP/UDP 443 Accès aux applications et aux bureaux virtuels

Pour plus d’informations sur les ports, consultez l’article du Knowledge Center CTX101810.

Transport Layer Security

Transport Layer Security (TLS) remplace le protocole SSL (Secure Sockets Layer). L’Internet Engineering Taskforce (IETF) l’a renommé TLS lorsqu’elle a pris en charge le développement de TLS en tant que norme ouverte.

TLS sécurise les communications de données en fournissant l’authentification du serveur, le chiffrement du flux de données et des contrôles d’intégrité des messages. Certaines organisations, y compris les organisations gouvernementales américaines, exigent l’utilisation de TLS pour sécuriser les communications de données. Ces organisations peuvent également exiger l’utilisation d’une cryptographie validée, telle que la norme Federal Information Processing Standard (FIPS) 140. FIPS 140 est une norme pour la cryptographie.

Pour utiliser le chiffrement TLS comme moyen de communication, vous devez configurer le périphérique utilisateur et l’application Citrix Workspace. Pour plus d’informations sur la sécurisation des communications StoreFront, consultez la section Sécuriser de la documentation StoreFront. Pour plus d’informations sur la sécurisation du VDA, consultez Transport Layer Security (TLS) dans la documentation Citrix Virtual Apps and Desktops.

Vous pouvez utiliser les stratégies suivantes pour :

  • Appliquer l’utilisation de TLS : Nous vous recommandons d’utiliser TLS pour les connexions utilisant des réseaux non fiables, y compris Internet.
  • Appliquer l’utilisation de FIPS (Federal Information Processing Standards) : Cryptographie approuvée et suivre les recommandations de NIST SP 800-52. Ces options sont désactivées par défaut.
  • Appliquer l’utilisation d’une version spécifique de TLS et de suites de chiffrement TLS spécifiques : Citrix prend en charge les protocoles TLS 1.0, TLS 1.1 et TLS 1.2.
  • Se connecter uniquement à des serveurs spécifiques.
  • Vérifier la révocation du certificat de serveur.
  • Vérifier une politique d’émission de certificat de serveur spécifique.
  • Sélectionner un certificat client particulier, si le serveur est configuré pour en demander un.

L’application Citrix Workspace pour Windows prend en charge les suites de chiffrement suivantes pour le protocole TLS 1.2 :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Important :

Les suites de chiffrement suivantes sont dépréciées pour une sécurité renforcée :

-  Suites de chiffrement RC4 et 3DES
-  Suites de chiffrement avec le préfixe "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### Prise en charge de TLS
  1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.

  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau, puis sélectionnez la stratégie Configuration du mode de conformité et TLS.

    • Stratégie de mode de conformité et TLS

      1. Sélectionnez Activé pour activer les connexions sécurisées et chiffrer la communication sur le serveur. Définissez les options suivantes :

    Remarque :

    Citrix recommande TLS pour les connexions sécurisées.

    1. Sélectionnez Exiger TLS pour toutes les connexions pour forcer l’application Citrix Workspace à utiliser TLS pour les connexions aux applications et bureaux publiés.

    2. Dans le menu Mode de conformité de sécurité, sélectionnez l’option appropriée :

      1. Aucun - Aucun mode de conformité n’est appliqué.
      2. SP800-52 - Sélectionnez SP800-52 pour la conformité avec NIST SP 800-52. Sélectionnez cette option uniquement si les serveurs ou la passerelle suivent les recommandations NIST SP 800-52.

  • Remarque : > > Si vous sélectionnez SP800-52, la cryptographie approuvée FIPS est automatiquement utilisée, même si Activer FIPS n’est pas sélectionné. Activez également l’option de sécurité Windows, Cryptographie système : Utiliser des algorithmes conformes FIPS pour le chiffrement, le hachage et la signature. Sinon, l’application Citrix Workspace pourrait ne pas parvenir à se connecter aux applications et bureaux publiés.

  • Si vous sélectionnez SP800-52, définissez le paramètre Stratégie de vérification de la révocation de certificat sur Vérification d’accès complet et CRL requise.

     Lorsque vous sélectionnez **SP800-52**, l'application Citrix Workspace vérifie que le certificat de serveur suit les recommandations de NIST SP 800-52. Si le certificat de serveur n'est pas conforme, l'application Citrix Workspace pourrait ne pas parvenir à se connecter.

 1.  **Activer FIPS** - Sélectionnez cette option pour appliquer l'utilisation de la cryptographie approuvée FIPS. Activez également l'option de sécurité Windows de la stratégie de groupe du système d'exploitation, **Cryptographie système : Utiliser des algorithmes conformes FIPS pour le chiffrement, le hachage et la signature**. Sinon, l'application Citrix Workspace pourrait ne pas parvenir à se connecter aux applications et bureaux publiés.

    1. Dans le menu déroulant Serveurs TLS autorisés, sélectionnez le numéro de port. Utilisez une liste séparée par des virgules pour vous assurer que l’application Citrix Workspace se connecte uniquement à un serveur spécifié. Vous pouvez spécifier des caractères génériques et des numéros de port. Par exemple, *.citrix.com:4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L’émetteur du certificat atteste de l’exactitude des informations contenues dans un certificat de sécurité. Si Citrix Workspace ne reconnaît pas ou ne fait pas confiance à l’émetteur, la connexion est rejetée.

    2. Dans le menu Version TLS, sélectionnez l’une des options suivantes :

    • TLS 1.0, TLS 1.1 ou TLS 1.2 - Il s’agit du paramètre par défaut. Cette option est recommandée uniquement s’il existe une exigence métier pour TLS 1.0 à des fins de compatibilité.

    • TLS 1.1 ou TLS 1.2 - Utilisez cette option pour vous assurer que les connexions utilisent TLS 1.1 ou TLS 1.2.

    • TLS 1.2 - Cette option est recommandée si TLS 1.2 est une exigence métier.

      1. Jeu de chiffrements TLS - Pour appliquer l’utilisation d’un jeu de chiffrements TLS spécifique, sélectionnez Gouvernement (GOV), Commercial (COM) ou Tous (ALL). 1. Dans le menu Stratégie de vérification de la révocation de certificat, sélectionnez l’une des options suivantes :

    • Vérifier sans accès réseau - La vérification de la liste de révocation de certificats est effectuée. Seuls les magasins locaux de listes de révocation de certificats sont utilisés. Tous les points de distribution sont ignorés. Une vérification de la liste de révocation de certificats qui vérifie le certificat de serveur disponible auprès du serveur cible SSL Relay/Citrix Secure Web Gateway n’est pas obligatoire.

    • Vérification d’accès complet - La vérification de la liste de révocation de certificats est effectuée. Les magasins locaux de listes de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La vérification de la liste de révocation de certificats pour le certificat de serveur disponible auprès du serveur cible n’est pas critique.

    • Vérification d’accès complet et CRL requise - La vérification de la liste de révocation de certificats est effectuée, à l’exception de l’autorité de certification racine. Les magasins locaux de listes de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La recherche de toutes les listes de révocation de certificats requises est critique pour la vérification.

    • Vérification d’accès complet et toutes les CRL requises - La vérification de la liste de révocation de certificats est effectuée, y compris l’autorité de certification racine. Les magasins locaux de listes de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La recherche de toutes les listes de révocation de certificats requises est critique pour la vérification.

    • Aucune vérification - Aucune vérification de la liste de révocation de certificats n’est effectuée.

    1. À l’aide de l’OID d’extension de stratégie, vous pouvez limiter l’application Citrix Workspace à se connecter uniquement aux serveurs ayant une politique d’émission de certificat spécifique. Lorsque vous sélectionnez OID d’extension de stratégie, l’application Citrix Workspace accepte uniquement les certificats de serveur qui contiennent l’OID d’extension de stratégie.

    2. Dans le menu Authentification client, sélectionnez l’une des options suivantes :

    • Désactivé - L’authentification client est désactivée.

    • Afficher le sélecteur de certificat - Invitez toujours l’utilisateur à sélectionner un certificat.

    • Sélectionner automatiquement si possible - Invitez l’utilisateur uniquement s’il existe un choix de certificat à identifier.

    • Non configuré - Indique que l’authentification client n’est pas configurée.

    • Utiliser le certificat spécifié - Utilisez le certificat client tel que défini dans l’option Certificat client.

    1. Utilisez le paramètre Certificat client pour spécifier l’empreinte numérique du certificat d’identification afin d’éviter d’inviter l’utilisateur inutilement.

    2. Cliquez sur Appliquer et OK pour enregistrer la stratégie.

Serveur de confiance

Appliquer les connexions aux serveurs de confiance

La stratégie de configuration du serveur de confiance identifie et applique les relations de confiance dans les connexions de l’application Citrix Workspace.

À l’aide de cette stratégie, les administrateurs peuvent contrôler comment le client identifie l’application ou le bureau publié auquel il se connecte. Le client détermine un niveau de confiance, appelé région de confiance, avec une connexion. La région de confiance détermine ensuite la manière dont le client est configuré pour la connexion.

L’activation de cette stratégie empêche les connexions aux serveurs qui ne se trouvent pas dans les régions de confiance.

Par défaut, l’identification de la région est basée sur l’adresse du serveur auquel le client se connecte. Pour faire partie de la région de confiance, le serveur doit être membre de la zone Sites de confiance de Windows. Vous pouvez configurer cela à l’aide du paramètre Zone Internet de Windows.

Alternativement, pour la compatibilité avec les clients non-Windows, l’adresse du serveur peut être spécifiquement approuvée à l’aide du paramètre Adresse dans la stratégie de groupe. L’adresse du serveur doit être une liste de serveurs séparés par des virgules prenant en charge l’utilisation de caractères génériques, par exemple, cps*.citrix.com.

Prérequis :

-  Assurez-vous d'avoir installé l'application Citrix Workspace pour Windows version 2402 LTSR CU1 ou ultérieure.

  • Définissez la résolution DNS sur True sur le DDC lorsque vous utilisez un StoreFront interne et un nom de domaine complet (FQDN) d’hôte dans les options Internet de Windows. Pour plus d’informations, consultez l’article du centre de connaissances CTX135250.

    Remarque :

    Aucune modification sur le DDC n’est requise si l’adresse IP est utilisée dans les options de la zone de sécurité Internet de Windows.

  • Copiez et collez le dernier modèle de stratégies client ICA conformément au tableau suivant :

Type de fichier Copier depuis Copier vers
receiver.admx Installation Directory\ICA Client\Configuration\receiver.admx %systemroot%\policyDefinitions
CitrixBase.admx Installation Directory\ICA Client\Configuration\CitrixBase.admx %systemroot%\policyDefinitions
receiver.adml Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml %systemroot%\policyDefinitions[MUIculture]
CitrixBase.adml Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml %systemroot%\policyDefinitions[MUIculture]

Remarque :

  • Assurez-vous d’utiliser les derniers fichiers .admx et .adml inclus avec l’application Citrix Workspace pour Windows version 2402 LTSR CU1 ou ultérieure. Pour plus de détails sur la configuration, consultez la documentation sur la stratégie de groupe.

  • Fermez toute instance de l’application Citrix Workspace en cours d’exécution et quittez-la depuis la barre d’état système.

    Quitter depuis la barre d'état système

Effectuez les étapes suivantes pour activer la configuration du serveur de confiance à l’aide du modèle d’administration d’objet de stratégie de groupe :

  1. Ouvrez le modèle d’administration d’objectif de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.

  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Routage réseau :

    • Pour les déploiements x64, sélectionnez Configurer la configuration du serveur de confiance sur les machines x64.
    • Pour les déploiements x86, sélectionnez Configurer la configuration du serveur de confiance sur les machines x86.

    Configurer la configuration du serveur de confiance

  3. Activez la stratégie sélectionnée et cochez la case Appliquer la configuration du serveur de confiance.

  4. Dans le menu déroulant Zone Internet de Windows, sélectionnez De confiance.

    Zone Internet de Windows

    Remarque :

    • Vous pouvez ignorer la sélection d’options dans la liste déroulante Adresse.

  5. Cliquez sur OK et Appliquer.
    1. Si le même utilisateur connecté a publié des ressources Citrix, vous pouvez continuer avec les étapes suivantes ou vous connecter avec un autre utilisateur.
      1. Ouvrez les Options Internet de Windows et accédez à Sites de confiance > Sites pour y ajouter une adresse de domaine ou un nom de domaine complet (FQDN) de VDA.

    Remarque :

  • Vous pouvez ajouter un domaine non valide (*.test.com) ou un FQDN de VDA spécifique, qu’il soit valide ou non, pour tester la fonctionnalité.

    • Options Internet de Windows

  1. Selon vos préférences, passez à Sites de confiance ou Sites intranet locaux en fonction de la sélection de zone dans la Zone Internet de Windows au sein de la stratégie de configuration de serveur approuvé.

    Pour plus d’informations, consultez la section Modifier les paramètres d’Internet Explorer dans Authentification.

    1. Mettez à jour la stratégie de groupe sur le périphérique cible où l’application Citrix Workspace est installée à l’aide d’une invite de commande d’administrateur ou redémarrez le système.
    1. Assurez-vous que le FQDN interne de StoreFront est ajouté à la zone Intranet local ou aux zones Sites de confiance en fonction de la sélection de zone dans la Zone Internet de Windows au sein de la stratégie Configurer la configuration du serveur approuvé. Pour plus d’informations, consultez la section Modifier les paramètres d’Internet Explorer dans Authentification. Assurez-vous également que, dans le cas des magasins Gateway, l’URL de la passerelle doit être ajoutée aux sites de confiance.
  1. Ouvrez l’application Citrix Workspace ou les ressources publiées et validez la fonctionnalité.

Remarque :

  • Si vous n’avez pas configuré les étapes précédentes, le lancement de la session peut échouer et vous pouvez recevoir le message d’erreur suivant :

  • Erreur de serveur approuvé

En guise de solution de contournement, vous pouvez désactiver la stratégie Configurer la configuration du serveur approuvé dans l’objet de stratégie de groupe (GPO).

Confiance sélective du client

En plus d’autoriser ou d’empêcher les connexions aux serveurs, le client utilise également les régions pour identifier l’accès aux fichiers, au microphone ou à la webcam, ainsi que l’accès SSO.

Régions Ressources Niveau d’accès
Internet Fichier, microphone, web Demander l’accès à l’utilisateur, le SSO n’est pas autorisé
Intranet Microphone, web Demander l’accès à l’utilisateur, le SSO est autorisé
Sites restreints Tous Aucun accès et la connexion peut être empêchée
Approuvé Microphone, web Lecture ou écriture, le SSO est autorisé

Lorsque l’utilisateur a sélectionné la valeur par défaut pour une région, la boîte de dialogue suivante peut apparaître :

Accès aux fichiers HDX

Accès à Citrix Workspace

Accès microphone et webcam HDX

Les administrateurs peuvent modifier ce comportement par défaut en créant et en configurant les clés de registre de la Confiance sélective du client, soit via la stratégie de groupe, soit directement dans le registre. Pour plus d’informations sur la configuration des clés de registre de la Confiance sélective du client, consultez l’article du Centre de connaissances CTX133565.

Signature de fichier ICA

La signature de fichier ICA vous aide à vous protéger contre le lancement non autorisé d’applications ou de bureaux. L’application Citrix Workspace vérifie qu’une source fiable a généré le lancement de l’application ou du bureau, conformément à une stratégie administrative, et protège contre les lancements provenant de serveurs non fiables. Vous pouvez configurer la signature de fichier ICA à l’aide du modèle d’administration des objets de stratégie de groupe ou de StoreFront. La fonctionnalité de signature de fichier ICA n’est pas activée par défaut.

Pour plus d’informations sur l’activation de la signature de fichier ICA pour StoreFront, consultez Activer la signature de fichier ICA dans la documentation StoreFront.

Configurer la signature de fichier ICA

Remarque :

Si le fichier CitrixBase.admx\adml n’est pas ajouté à l’objet de stratégie de groupe (GPO) local, la stratégie Activer la signature de fichier ICA peut ne pas être présente.

  1. Ouvrez le modèle d’administration des objets de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix.
  3. Sélectionnez la stratégie Activer la signature de fichier ICA et choisissez l’une des options selon vos besoins :
    1. Activé - Indique que vous pouvez ajouter l’empreinte numérique du certificat de signature à la liste d’autorisation des empreintes numériques de certificats approuvés.
    2. Certificats de confiance - Cliquez sur Afficher pour supprimer l’empreinte numérique du certificat de signature existant de la liste d’autorisation. Vous pouvez copier et coller les empreintes numériques des certificats de signature à partir des propriétés du certificat de signature.
    3. Stratégie de sécurité - Sélectionnez l’une des options suivantes dans le menu.
      1. Autoriser uniquement les lancements signés (plus sécurisé) : Autorise uniquement les lancements d’applications et de bureaux signés à partir d’un serveur approuvé. Un avertissement de sécurité apparaît en cas de signature non valide. Le lancement de la session échoue en raison d’une non-autorisation.
      2. Demander à l’utilisateur pour les lancements non signés (moins sécurisé) : Une invite de message apparaît lorsqu’une session non signée ou signée de manière non valide est lancée. Vous pouvez choisir de poursuivre le lancement ou de l’annuler (par défaut).
  4. Cliquez sur Appliquer et OK pour enregistrer la stratégie.
  5. Redémarrez la session de l’application Citrix Workspace pour que les modifications prennent effet.

Pour sélectionner et distribuer un certificat de signature numérique :

Lors de la sélection d’un certificat de signature numérique, nous vous recommandons de choisir parmi la liste de priorités suivante :

  1. Achetez un certificat de signature de code ou un certificat de signature SSL auprès d’une autorité de certification (CA) publique.
  2. Si votre entreprise dispose d’une autorité de certification privée, créez un certificat de signature de code ou un certificat de signature SSL à l’aide de cette autorité de certification privée.
  3. Utilisez un certificat SSL existant.
  4. Créez un certificat d’autorité de certification racine et distribuez-le aux périphériques utilisateur à l’aide d’un GPO ou d’une installation manuelle.

Protection de l’autorité de sécurité locale (LSA)

L’application Citrix Workspace prend en charge la protection LSA (Windows Local Security Authority), qui gère les informations relatives à tous les aspects de la sécurité locale sur un système. Ce support offre le niveau de protection système LSA aux bureaux hébergés.

Connexion via un serveur proxy

Les serveurs proxy sont utilisés pour limiter l’accès à votre réseau et depuis celui-ci, et pour gérer les connexions entre l’application Citrix Workspace pour Windows et les serveurs. L’application Citrix Workspace prend en charge les protocoles SOCKS et de proxy sécurisé.

Lors de la communication avec le serveur, l’application Citrix Workspace utilise les paramètres de serveur proxy configurés à distance sur le serveur exécutant Workspace pour le Web.

Lors de la communication avec le serveur web, l’application Citrix Workspace utilise les paramètres de serveur proxy configurés via les paramètres Internet du navigateur web par défaut sur le périphérique utilisateur. Configurez les paramètres Internet du navigateur web par défaut sur le périphérique utilisateur en conséquence.

Pour appliquer les paramètres de proxy via le fichier ICA sur StoreFront, consultez l’article du centre de connaissances CTX136516.

Prise en charge du proxy sortant

SmartControl permet aux administrateurs de configurer et d’appliquer des stratégies qui affectent l’environnement. Par exemple, vous pouvez vouloir interdire aux utilisateurs de mapper des lecteurs à leurs bureaux distants. Vous pouvez atteindre cette granularité en utilisant la fonctionnalité SmartControl sur Citrix Gateway.

Le scénario change lorsque l’application Citrix Workspace et Citrix Gateway appartiennent à des comptes d’entreprise distincts. Dans de tels cas, le domaine client ne peut pas appliquer la fonctionnalité SmartControl car la passerelle n’existe pas sur le domaine. Vous pouvez alors utiliser le proxy ICA sortant. La fonctionnalité de proxy ICA sortant vous permet d’utiliser la fonctionnalité SmartControl même lorsque l’application Citrix Workspace et Citrix Gateway sont déployées dans des organisations différentes.

L’application Citrix Workspace prend en charge les lancements de session à l’aide du proxy LAN NetScaler. Utilisez le plug-in de proxy sortant pour configurer un proxy statique unique ou sélectionner un serveur proxy au moment de l’exécution.

Vous pouvez configurer les proxys sortants à l’aide des méthodes suivantes :

  • Proxy statique : Le serveur proxy est configuré en fournissant un nom d’hôte de proxy et un numéro de port.
  • Proxy dynamique : Un seul serveur proxy peut être sélectionné parmi un ou plusieurs serveurs proxy à l’aide de la DLL du plug-in de proxy.

Vous pouvez configurer le proxy sortant à l’aide du modèle d’administration d’objet de stratégie de groupe ou de l’éditeur de registre.

Pour plus d’informations sur le proxy sortant, consultez Prise en charge du proxy ICA sortant dans la documentation Citrix Gateway.

Prise en charge du proxy sortant - Configuration

Remarque :

Si les proxys statiques et dynamiques sont configurés, la configuration du proxy dynamique est prioritaire.

Configuration du proxy sortant à l’aide du modèle d’administration GPO :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau.
  3. Sélectionnez l’une des options suivantes :
    • Pour le proxy statique : Sélectionnez la stratégie Configurer manuellement le proxy LAN NetScaler®. Sélectionnez Activé, puis fournissez le nom d’hôte et le numéro de port.
    • Pour le proxy dynamique : Sélectionnez la stratégie Configurer le proxy LAN NetScaler à l’aide d’une DLL. Sélectionnez Activé, puis fournissez le chemin complet du fichier DLL. Par exemple, C:\Workspace\Proxy\ProxyChooser.dll.
  4. Cliquez sur Appliquer et OK.

Configuration du proxy sortant à l’aide de l’éditeur de registre :

  • Pour le proxy statique :
    • Lancez l’éditeur de registre et accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Créez les clés de valeur DWORD comme suit :

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • Pour le proxy dynamique :

    • Lancez l’éditeur de registre et accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Créez les clés de valeur DWORD comme suit : "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Connexions et certificats

Connexions

  • Magasin HTTP
  • Magasin HTTPS
  • Citrix Gateway 10.5 et versions ultérieures

Certificats

Remarque :

Citrix Workspace app pour Windows est signée numériquement. La signature numérique est horodatée. Ainsi, le certificat reste valide même après son expiration.

  • Privé (auto-signé)
  • Racine
  • Générique
  • Intermédiaire

Certificats privés (auto-signés)

Si un certificat privé existe sur la passerelle distante, installez le certificat racine de l’autorité de certification de l’organisation sur le périphérique utilisateur qui accède aux ressources Citrix.

Remarque :

Si le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion, un avertissement de certificat non approuvé s’affiche. Cet avertissement apparaît lorsque le certificat racine est manquant dans le Keystore local. Lorsqu’un utilisateur choisit de continuer malgré l’avertissement, les applications sont affichées mais ne peuvent pas être lancées.

Certificats racines

Pour les ordinateurs joints à un domaine, vous pouvez utiliser un modèle d’administration d’objet de stratégie de groupe pour distribuer et approuver les certificats d’autorité de certification.

Pour les ordinateurs non joints à un domaine, l’organisation peut créer un package d’installation personnalisé pour distribuer et installer le certificat d’autorité de certification. Contactez votre administrateur système pour obtenir de l’aide.

Certificats génériques

Les certificats génériques sont utilisés sur un serveur au sein du même domaine.

Citrix Workspace app prend en charge les certificats génériques. Utilisez les certificats génériques en suivant la politique de sécurité de votre organisation. Une alternative aux certificats génériques est un certificat avec la liste des noms de serveurs et l’extension Subject Alternative Name (SAN). Les autorités de certification privées et publiques émettent ces certificats.

Certificats intermédiaires

Si votre chaîne de certificats inclut un certificat intermédiaire, le certificat intermédiaire doit être ajouté au certificat de serveur Citrix Gateway. Pour plus d’informations, consultez Configuration des certificats intermédiaires.

Liste de révocation de certificats

La liste de révocation de certificats (CRL) permet à Citrix Workspace app de vérifier si le certificat du serveur est révoqué. La vérification du certificat améliore l’authentification cryptographique du serveur et la sécurité globale de la connexion TLS entre le périphérique utilisateur et un serveur.

Vous pouvez activer la vérification CRL à plusieurs niveaux. Par exemple, il est possible de configurer Citrix Workspace app pour qu’elle vérifie uniquement sa liste de certificats locale ou qu’elle vérifie les listes de certificats locales et réseau. Vous pouvez également configurer la vérification des certificats pour permettre aux utilisateurs de se connecter uniquement si toutes les CRL sont vérifiées.

Si vous configurez la vérification des certificats sur votre ordinateur local, quittez Citrix Workspace app. Vérifiez que tous les composants de Citrix Workspace, y compris le Centre de connexion, sont fermés.

Pour plus d’informations, consultez la section Transport Layer Security.

Prise en charge pour atténuer les attaques de l’homme du milieu

Citrix Workspace app pour Windows vous aide à réduire le risque d’une attaque de l’homme du milieu grâce à la fonctionnalité Épinglage de certificat d’entreprise de Microsoft Windows. Une attaque de l’homme du milieu est un type de cyberattaque où l’attaquant intercepte et relaie secrètement des messages entre deux parties qui croient communiquer directement l’une avec l’autre.

Auparavant, lorsque vous contactiez le serveur de magasin, il n’y avait aucun moyen de vérifier si la réponse reçue provenait bien du serveur que vous aviez l’intention de contacter. Grâce à la fonctionnalité Épinglage de certificat d’entreprise de Microsoft Windows, vous pouvez vérifier la validité et l’intégrité du serveur en épinglant son certificat.

Citrix Workspace app pour Windows est préconfigurée pour savoir quel certificat de serveur elle doit attendre pour un domaine ou un site particulier en utilisant les règles d’épinglage de certificat. Si le certificat de serveur ne correspond pas au certificat de serveur préconfiguré, Citrix Workspace app pour Windows empêche le démarrage de la session.

Pour plus d’informations sur la façon de déployer la fonctionnalité Épinglage de certificat d’entreprise, consultez la documentation Microsoft.

Remarque :

Vous devez être conscient de l’expiration du certificat et mettre à jour correctement les stratégies de groupe et les listes de confiance des certificats. Dans le cas contraire, vous risquez de ne pas pouvoir démarrer la session, même en l’absence d’attaque.

Communications sécurisées
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.