Documentation produit
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Voir PDF

Communications sécurisées

April 16, 2026
Contributeur: 
C C

  • Pour sécuriser la communication entre le serveur Citrix Virtual Apps and Desktops et l’application Citrix Workspace, vous pouvez intégrer vos connexions d’application Citrix Workspace à l’aide d’une gamme de technologies sécurisées, telles que les suivantes :

  • Citrix Gateway : Pour plus d’informations, consultez les rubriques de cette section ainsi que la documentation de Citrix Gateway et de StoreFront.
  • Un pare-feu : Les pare-feu réseau peuvent autoriser ou bloquer les paquets en fonction de l’adresse de destination et du port.
  • Les versions 1.2 et 1.3 de Transport Layer Security (TLS) sont prises en charge.
  • Serveur approuvé pour établir des relations de confiance dans les connexions de l’application Citrix Workspace.
  • Signature de fichier ICA®
  • Protection de l’autorité de sécurité locale (LSA)
  • Serveur proxy pour les déploiements Citrix Virtual Apps uniquement : Un serveur proxy SOCKS ou un serveur proxy sécurisé. Les serveurs proxy aident à limiter l’accès au réseau et depuis le réseau. Ils gèrent également les connexions entre l’application Citrix Workspace et le serveur. L’application Citrix Workspace prend en charge les protocoles proxy SOCKS et sécurisés.
    • Proxy sortant

Citrix Gateway

-  Citrix Gateway (anciennement Access Gateway) sécurise les connexions aux magasins StoreFront. Il permet également aux administrateurs de contrôler l'accès des utilisateurs aux bureaux et aux applications de manière détaillée.

Pour vous connecter aux bureaux et aux applications via Citrix Gateway :

-  1.  Spécifiez l'URL de Citrix Gateway fournie par votre administrateur en utilisant l'une des méthodes suivantes :

-  La première fois que vous utilisez l'interface utilisateur en libre-service, vous êtes invité à saisir l'URL dans la boîte de dialogue **Ajouter un compte**.
-  Lorsque vous utilisez ultérieurement l'interface utilisateur en libre-service, saisissez l'URL en cliquant sur **Préférences** > **Comptes** > **Ajouter**.
-  Si vous établissez une connexion avec la commande storebrowse, saisissez l'URL sur la ligne de commande.

L’URL spécifie la passerelle et, éventuellement, un magasin spécifique :

  • Pour vous connecter au premier magasin trouvé par l’application Citrix Workspace, utilisez une URL au format suivant :

  • Pour vous connecter à un magasin spécifique, utilisez une URL de la forme, par exemple : https://gateway.company.com?<storename>. Cette URL dynamique est d’une forme non standard ; n’incluez pas le signe « = » (le caractère « égal ») dans l’URL. Si vous établissez une connexion à un magasin spécifique avec storebrowse, vous devrez peut-être mettre l’URL entre guillemets dans la commande storebrowse.

  1. Lorsque vous y êtes invité, connectez-vous au magasin (via la passerelle) à l’aide de votre nom d’utilisateur, de votre mot de passe et de votre jeton de sécurité. Pour plus d’informations sur cette étape, consultez la documentation de Citrix Gateway.

Une fois l’authentification terminée, vos bureaux et applications s’affichent.

Connexion via un pare-feu

  • Les pare-feu réseau peuvent autoriser ou bloquer les paquets en fonction de l’adresse de destination et du port. Si vous utilisez un pare-feu, l’application Citrix Workspace pour Windows peut communiquer via le pare-feu avec le serveur Web et le serveur Citrix.

  • Ports de communication Citrix courants

  • Source Type Port Détails
  • Application Citrix Workspace TCP 80/443 Communication avec StoreFront
  • ICA ou HDX TCP/UDP 1494 Accès aux applications et aux bureaux virtuels
  • ICA ou HDX avec fiabilité de session TCP/UDP 2598 Accès aux applications et aux bureaux virtuels
  • ICA ou HDX sur TLS TCP/UDP 443 Accès aux applications et aux bureaux virtuels
  • Pour plus d’informations sur les ports, consultez l’article du Knowledge Center CTX101810.

Transport Layer Security

Transport Layer Security (TLS) remplace le protocole SSL (Secure Sockets Layer). L’Internet Engineering Taskforce (IETF) l’a renommé TLS lorsqu’elle a pris la responsabilité du développement de TLS en tant que norme ouverte.

TLS sécurise les communications de données en fournissant l’authentification du serveur, le chiffrement du flux de données et les vérifications d’intégrité des messages. Certaines organisations, y compris les organisations gouvernementales américaines, exigent l’utilisation de TLS pour sécuriser les communications de données. Ces organisations peuvent également exiger l’utilisation d’une cryptographie validée, telle que la norme FIPS (Federal Information Processing Standard) 140. FIPS 140 est une norme pour la cryptographie.

Pour utiliser le chiffrement TLS comme moyen de communication, vous devez configurer le périphérique utilisateur et l’application Citrix Workspace. Pour plus d’informations sur la sécurisation des communications StoreFront, consultez la section Sécuriser dans la documentation StoreFront. Pour plus d’informations sur la sécurisation des VDA, consultez Transport Layer Security (TLS) dans la documentation Citrix Virtual Apps and Desktops.

Vous pouvez utiliser les stratégies suivantes pour :

  • Appliquer l’utilisation de TLS : Nous vous recommandons d’utiliser TLS pour les connexions utilisant des réseaux non fiables, y compris Internet.
  • Appliquer l’utilisation de FIPS (Federal Information Processing Standards) : Cryptographie approuvée et suivre les recommandations de la publication NIST SP 800-52. Ces options sont désactivées par défaut.
  • Appliquer l’utilisation d’une version spécifique de TLS et de suites de chiffrement TLS spécifiques : Citrix prend en charge les protocoles TLS 1.2 et 1.3.
  • Se connecter uniquement à des serveurs spécifiques.
  • Vérifier la révocation du certificat de serveur.
  • Vérifier une politique d’émission de certificat de serveur spécifique.
  • Sélectionner un certificat client particulier, si le serveur est configuré pour en demander un.

L’application Citrix Workspace pour Windows prend en charge les suites de chiffrement suivantes pour les protocoles TLS 1.2 et 1.3 :

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Important :

Les suites de chiffrement suivantes sont obsolètes pour une sécurité renforcée :

-  Suites de chiffrement RC4 et 3DES
-  Suites de chiffrement avec le préfixe « TLS_RSA_* »

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### Prise en charge de TLS
  1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.

  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau, puis sélectionnez la stratégie Configuration du mode de conformité et TLS.

    • Stratégie de mode de conformité et TLS

      1. Sélectionnez Activé pour activer les connexions sécurisées et chiffrer la communication sur le serveur. Définissez les options suivantes :

    Remarque :

    Citrix recommande TLS pour les connexions sécurisées.

    1. Sélectionnez Exiger TLS pour toutes les connexions pour forcer l’application Citrix Workspace à utiliser TLS pour les connexions aux applications et bureaux publiés.

    2. Dans le menu Mode de conformité de sécurité, sélectionnez l’option appropriée :

      1. Aucun - Aucun mode de conformité n’est appliqué.
      2. SP800-52 - Sélectionnez SP800-52 pour la conformité avec NIST SP 800-52. Sélectionnez cette option uniquement si les serveurs ou la passerelle suivent les recommandations NIST SP 800-52.

      Remarque :

      -  >
-  > Si vous sélectionnez **SP800-52**, la cryptographie approuvée par FIPS est automatiquement utilisée, même si **Activer FIPS** n'est pas sélectionné. Activez également l'option de sécurité Windows, **Cryptographie système : utiliser des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature**. Dans le cas contraire, l'application Citrix Workspace risque de ne pas pouvoir se connecter aux applications et bureaux publiés.

      Si vous sélectionnez SP800-52, définissez le paramètre Stratégie de vérification de la révocation de certificat sur Vérification d’accès complet et CRL requise.

      Lorsque vous sélectionnez SP800-52, l’application Citrix Workspace vérifie que le certificat de serveur suit les recommandations de NIST SP 800-52. Si le certificat de serveur n’est pas conforme, l’application Citrix Workspace risque de ne pas pouvoir se connecter.

      1. Activer FIPS - Sélectionnez cette option pour imposer l’utilisation de la cryptographie approuvée par FIPS. Activez également l’option de sécurité Windows de la stratégie de groupe du système d’exploitation, Cryptographie système : utiliser des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature. Dans le cas contraire, l’application Citrix Workspace risque de ne pas pouvoir se connecter aux applications et bureaux publiés.

    3. Dans le menu déroulant Serveurs TLS autorisés, sélectionnez le numéro de port. Utilisez une liste séparée par des virgules pour vous assurer que l’application Citrix Workspace se connecte uniquement à un serveur spécifié. Vous pouvez spécifier des caractères génériques et des numéros de port. Par exemple, *.citrix.com: 4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L’émetteur du certificat atteste de l’exactitude des informations contenues dans un certificat de sécurité. Si Citrix Workspace ne reconnaît pas ou ne fait pas confiance à l’émetteur, la connexion est rejetée.

    1. Dans le menu Version TLS, sélectionnez l’une des options suivantes :

    • TLS 1.0, TLS 1.1 ou TLS 1.2 - Il s’agit du paramètre par défaut, recommandé uniquement s’il existe une exigence métier pour TLS 1.0 à des fins de compatibilité.

    • TLS 1.1 ou TLS 1.2 - Utilisez cette option pour vous assurer que les connexions utilisent TLS 1.1 ou TLS 1.2.

    • TLS 1.2 - Cette option est recommandée si TLS 1.2 est une exigence métier.

    1. Jeu de chiffrements TLS - Pour imposer l’utilisation d’un jeu de chiffrements TLS spécifique, sélectionnez Gouvernement (GOV), Commercial (COM) ou Tout (ALL).

    2. Dans le menu Stratégie de vérification de la révocation de certificat, sélectionnez l’une des options suivantes :

    • Vérifier sans accès réseau - La vérification de la liste de révocation de certificats est effectuée. Seuls les magasins de listes de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. Une vérification de la liste de révocation de certificats qui vérifie le certificat de serveur disponible auprès du serveur SSL Relay/Citrix Secure Web Gateway cible n’est pas obligatoire.

    • Vérification d’accès complet - La vérification de la liste de révocation de certificats est effectuée. Les magasins de listes de révocation de certificats locaux et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La vérification de la liste de révocation de certificats pour vérifier le certificat de serveur disponible auprès du serveur cible n’est pas critique.

    • Vérification d’accès complet et CRL requise - La vérification de la liste de révocation de certificats est effectuée, à l’exception de l’autorité de certification racine. Les magasins de listes de révocation de certificats locaux et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La recherche de toutes les listes de révocation de certificats requises est essentielle pour la vérification.

    • Vérification d’accès complet et toutes les CRL requises - La vérification de la liste de révocation de certificats est effectuée, y compris l’AC racine. Les magasins de listes de révocation de certificats locaux et tous les points de distribution sont utilisés. Si des informations de révocation pour un certificat sont trouvées, la connexion est rejetée. La recherche de toutes les listes de révocation de certificats requises est essentielle pour la vérification.

    • Aucune vérification - Aucune vérification de la liste de révocation de certificats n’est effectuée.

    1. À l’aide de l’OID d’extension de stratégie, vous pouvez limiter l’application Citrix Workspace à se connecter uniquement aux serveurs dotés d’une stratégie d’émission de certificat spécifique. Lorsque vous sélectionnez OID d’extension de stratégie, l’application Citrix Workspace accepte uniquement les certificats de serveur qui contiennent l’OID d’extension de stratégie.

    2. Dans le menu Authentification client, sélectionnez l’une des options suivantes :

    • Désactivé - L’authentification client est désactivée.

    • Afficher le sélecteur de certificat - Invitez toujours l’utilisateur à sélectionner un certificat.

    • Sélectionner automatiquement si possible - Invitez l’utilisateur uniquement s’il y a un choix de certificat à identifier.

    • Non configuré - Indique que l’authentification client n’est pas configurée.

    • Utiliser le certificat spécifié – Utilisez le certificat client tel que défini dans l’option Certificat client.

    1. Utilisez le paramètre Certificat client pour spécifier l’empreinte numérique du certificat d’identification afin d’éviter d’inviter l’utilisateur inutilement.

    2. Cliquez sur Appliquer et OK pour enregistrer la stratégie.

Prise en charge du protocole TLS version 1.3

À partir de la version 2409, l’application Citrix Workspace prend en charge le protocole Transport Layer Security (TLS) version 1.3.

Remarque :

Cette amélioration nécessite VDA version 2303 ou ultérieure.

Cette fonctionnalité est activée par défaut. Pour la désactiver, procédez comme suit :

  1. Ouvrez l’Éditeur du Registre à l’aide de regedit dans la commande Exécuter.
  2. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3.
  3. Créez une clé DWORD nommée EnableTLS1.3 et définissez la valeur de la clé sur 0.

Limitations :

  • Les connexions utilisant Access Gateway ou NetScaler Gateway Service tentent d’utiliser TLS 1.3. Cependant, ces connexions reviennent à TLS 1.2 car Access Gateway et NetScaler Gateway Service ne prennent pas encore en charge TLS 1.3.
    • Une connexion directe à une version de VDA qui ne prend pas en charge TLS 1.3 revient à TLS 1.2.

Serveur approuvé

Appliquer les connexions de serveur approuvé

La stratégie de configuration du serveur approuvé identifie et applique les relations de confiance dans les connexions de l’application Citrix Workspace.

À l’aide de cette stratégie, les administrateurs peuvent contrôler la manière dont le client identifie l’application ou le bureau publié auquel il se connecte. Le client détermine un niveau de confiance, appelé région de confiance, avec une connexion. La région de confiance détermine ensuite la configuration du client pour la connexion.

L’activation de cette stratégie empêche les connexions aux serveurs qui ne se trouvent pas dans les régions approuvées.

Par défaut, l’identification de la région est basée sur l’adresse du serveur auquel le client se connecte. Pour être membre de la région approuvée, le serveur doit être membre de la zone Sites de confiance de Windows. Vous pouvez configurer cela à l’aide du paramètre Zone Internet de Windows.

-  Alternativement, pour la compatibilité avec les clients non-Windows, l'adresse du serveur peut être spécifiquement approuvée à l'aide du paramètre **Adresse** dans la stratégie de groupe. L'adresse du serveur doit être une liste de serveurs séparés par des virgules prenant en charge l'utilisation de caractères génériques, par exemple, `cps*.citrix.com`.

Prérequis :

  • Assurez-vous d’avoir installé l’application Citrix Workspace pour Windows version 2409 ou ultérieure.

    • Définissez la résolution DNS sur True sur le DDC lors de l’utilisation d’un StoreFront interne et d’un FQDN d’hôte dans les options Internet de Windows. Pour plus d’informations, consultez l’article du Centre de connaissances CTX135250.

    • Remarque :

      Aucune modification sur le DDC n’est requise si l’adresse IP est utilisée dans les options de zone de sécurité Internet de Windows.

  • Copiez et collez le dernier modèle de stratégies client ICA selon le tableau suivant :
Type de fichier Copier depuis Copier vers
  • |—–|—-|—-|
  • receiver.admx Répertoire d’installation\ICA Client\Configuration\receiver.admx %systemroot%\policyDefinitions
    CitrixBase.admx Répertoire d’installation\ICA Client\Configuration\CitrixBase.admx %systemroot%\policyDefinitions
    receiver.adml Répertoire d’installation\ICA Client\Configuration[MUIculture]receiver.adml %systemroot%\policyDefinitions[MUIculture]
    CitrixBase.adml Répertoire d’installation\ICA Client\Configuration[MUIculture]\CitrixBase.adml %systemroot%\policyDefinitions[MUIculture]

Remarque :

  • Assurez-vous d’utiliser les derniers fichiers .admx et .adml inclus avec l’application Citrix Workspace pour Windows version 2409 ou ultérieure. Pour plus de détails sur la configuration, consultez la documentation sur la stratégie de groupe.

  • Fermez toute instance en cours d’exécution de l’application Citrix Workspace et quittez-la depuis la barre d’état système.

    • Quitter depuis la barre d'état système

Effectuez les étapes suivantes pour activer la configuration du serveur approuvé à l’aide du modèle d’administration d’objet de stratégie de groupe :

    1. Ouvrez le modèle d’administration d’objectif de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
        1. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Routage réseau :
    • Pour les déploiements x64, sélectionnez Configurer la configuration du serveur approuvé sur les machines x64.
    • Pour les déploiements x86, sélectionnez Configurer la configuration du serveur approuvé sur les machines x86.

  • Configurer la configuration du serveur approuvé

      1. Activez la stratégie sélectionnée et cochez la case Appliquer la configuration de serveur approuvé.

  1. Dans le menu déroulant Zone Internet Windows, sélectionnez Approuvé.

    Zone Internet Windows

  • Remarque :

  • Vous pouvez ignorer la sélection d’options dans la liste déroulante Adresse.

  1. Cliquez sur OK et Appliquer.
  2. Si le même utilisateur connecté a publié des ressources Citrix, vous pouvez poursuivre avec les étapes suivantes ou vous connecter avec un autre utilisateur.
    1. Ouvrez les Options Internet de Windows et accédez à Sites de confiance > Sites pour y ajouter une adresse de domaine ou un FQDN VDA.

  • Remarque :

  • Vous pouvez ajouter un domaine non valide *.test.com ou un FQDN VDA spécifique non valide ou valide pour tester la fonctionnalité.

    Options Internet de Windows

  1. Selon vos préférences, passez à Sites de confiance ou Sites intranet locaux en fonction de la sélection de zone dans la Zone Internet Windows au sein de la stratégie de configuration de serveur approuvé.

    Pour plus d’informations, consultez Modifier les paramètres d’Internet Explorer dans la section Authentification.

  2. Mettez à jour la stratégie de groupe sur le périphérique cible où l’application Citrix Workspace est installée à l’aide d’une invite de commande d’administrateur ou redémarrez le système.
  3. Assurez-vous que le FQDN StoreFront interne est ajouté à la zone Intranet local ou aux zones Sites de confiance en fonction de la sélection de zone dans la Zone Internet Windows au sein de la stratégie Configurer la configuration de serveur approuvé. Pour plus d’informations, consultez Modifier les paramètres d’Internet Explorer dans la section Authentification. Assurez-vous également que, dans le cas des magasins Gateway, l’URL de la passerelle doit être ajoutée aux sites de confiance.
  4. Ouvrez l’application Citrix Workspace ou les ressources publiées et validez la fonctionnalité.

Remarque :

Si vous n’avez pas configuré les étapes précédentes, le lancement de la session peut échouer et vous pouvez recevoir le message d’erreur suivant :

Erreur de serveur approuvé

Comme solution de contournement, vous pouvez désactiver la stratégie Configurer la configuration de serveur approuvé dans l’objet de stratégie de groupe (GPO).

Confiance sélective du client

En plus d’autoriser ou d’empêcher les connexions aux serveurs, le client utilise également les régions pour identifier l’accès aux fichiers, au microphone ou à la webcam, et l’accès SSO.

Régions Ressources Niveau d’accès
Internet Fichier, Microphone, Web Demander l’accès à l’utilisateur, le SSO n’est pas autorisé
Intranet Microphone, Web Demander l’accès à l’utilisateur, le SSO est autorisé
Sites restreints Tous Aucun accès et la connexion peut être empêchée
Approuvé Microphone, Web Lecture ou écriture, le SSO est autorisé

Lorsque l’utilisateur a sélectionné la valeur par défaut pour une région, la boîte de dialogue suivante peut apparaître :

Accès aux fichiers HDX

Accès à Citrix Workspace

Accès microphone et webcam HDX

Les administrateurs peuvent modifier ce comportement par défaut en créant et en configurant les clés de registre de la Confiance sélective du client soit à l’aide de la stratégie de groupe, soit directement dans le registre. Pour plus d’informations sur la configuration des clés de registre de la Confiance sélective du client, consultez l’article du centre de connaissances CTX133565.

Protection de l’autorité de sécurité locale (LSA)

L’application Citrix Workspace prend en charge la protection de l’autorité de sécurité locale (LSA) de Windows, qui gère les informations sur tous les aspects de la sécurité locale sur un système. Cette prise en charge offre le niveau de protection système LSA aux bureaux hébergés.

Connexion via un serveur proxy

Les serveurs proxy sont utilisés pour limiter l’accès à votre réseau et depuis celui-ci, et pour gérer les connexions entre l’application Citrix Workspace pour Windows et les serveurs. L’application Citrix Workspace prend en charge les protocoles SOCKS et les protocoles proxy sécurisés.

Lors de la communication avec le serveur, l’application Citrix Workspace utilise les paramètres du serveur proxy configurés à distance sur le serveur exécutant Workspace pour le Web.

Lors de la communication avec le serveur Web, l’application Citrix Workspace utilise les paramètres du serveur proxy configurés via les paramètres Internet du navigateur Web par défaut sur le périphérique utilisateur. Configurez les paramètres Internet du navigateur Web par défaut sur le périphérique utilisateur en conséquence.

Pour appliquer les paramètres proxy via le fichier ICA sur StoreFront, consultez l’article du centre de connaissances CTX136516.

Prise en charge du proxy SOCKS5 pour EDT

Auparavant, l’application Citrix Workspace ne prenait en charge que les proxys HTTP fonctionnant sur TCP. Cependant, la fonctionnalité de proxy SOCKS5 était déjà entièrement prise en charge au sein du Virtual Delivery Agent (VDA). Pour plus d’informations sur la prise en charge du VDA, consultez la documentation Rendezvous V2.

À partir de la version 2409, l’application Citrix Workspace prend désormais en charge les proxys SOCKS5 pour Enlightened Data Transport (EDT), améliorant la compatibilité avec les configurations réseau d’entreprise modernes.

Avantages clés :

  • Compatibilité proxy étendue : Connectez-vous en toute transparence via les proxys SOCKS5, largement utilisés par les équipes réseau d’entreprise pour leur prise en charge du trafic TCP et UDP.
  • Performances EDT améliorées : Profitez pleinement des avantages d’EDT (basé sur UDP) pour un transfert de données optimisé au sein des sessions de l’application Citrix Workspace.

Cette fonctionnalité est désactivée par défaut. Pour l’activer, procédez comme suit :

  1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.

  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau > Proxy > Configurer les paramètres du proxy client et sélectionnez les types de proxy.

  3. Définissez les paramètres suivants :

    • ProxyType : SocksV5
    • ProxyHost : Spécifiez l’adresse du serveur proxy.

Pour plus d’informations, consultez la Référence des paramètres ICA et l’article du Centre de connaissances CTX136516.

Prise en charge du proxy sortant

SmartControl permet aux administrateurs de configurer et d’appliquer des stratégies qui affectent l’environnement. Par exemple, vous pouvez interdire aux utilisateurs de mapper des lecteurs à leurs bureaux à distance. Vous pouvez atteindre cette granularité à l’aide de la fonctionnalité SmartControl sur Citrix Gateway.

Le scénario change lorsque l’application Citrix Workspace et Citrix Gateway appartiennent à des comptes d’entreprise distincts. Dans de tels cas, le domaine client ne peut pas appliquer la fonctionnalité SmartControl car la passerelle n’existe pas sur le domaine. Vous pouvez alors utiliser le proxy ICA sortant. La fonctionnalité de proxy ICA sortant vous permet d’utiliser la fonctionnalité SmartControl même lorsque l’application Citrix Workspace et Citrix Gateway sont déployés dans des organisations différentes.

L’application Citrix Workspace prend en charge les lancements de session à l’aide du proxy LAN NetScaler. Utilisez le plug-in de proxy sortant pour configurer un proxy statique unique ou sélectionner un serveur proxy au moment de l’exécution.

Vous pouvez configurer les proxys sortants à l’aide des méthodes suivantes :

  • Proxy statique : Le serveur proxy est configuré en fournissant un nom d’hôte de proxy et un numéro de port.
  • Proxy dynamique : Un seul serveur proxy peut être sélectionné parmi un ou plusieurs serveurs proxy à l’aide de la DLL du plug-in de proxy.

Vous pouvez configurer le proxy sortant à l’aide du modèle d’administration d’objet de stratégie de groupe ou de l’éditeur de Registre.

Pour plus d’informations sur le proxy sortant, consultez la section Prise en charge du proxy ICA sortant dans la documentation de Citrix Gateway.

Prise en charge du proxy sortant - Configuration

Remarque :

Si les proxys statiques et dynamiques sont configurés, la configuration du proxy dynamique est prioritaire.

Configuration du proxy sortant à l’aide du modèle d’administration GPO :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau.
  3. Sélectionnez l’une des options suivantes :
    • Pour le proxy statique : Sélectionnez la stratégie Configurer le proxy LAN NetScaler® manuellement. Sélectionnez Activé, puis indiquez le nom d’hôte et le numéro de port.
    • Pour le proxy dynamique : Sélectionnez la stratégie Configurer le proxy LAN NetScaler à l’aide d’une DLL. Sélectionnez Activé, puis indiquez le chemin d’accès complet au fichier DLL. Par exemple, C:\Workspace\Proxy\ProxyChooser.dll.
  4. Cliquez sur Appliquer et OK.

Configuration du proxy sortant à l’aide de l’éditeur de Registre :

  • Pour le proxy statique :
    • Lancez l’éditeur de Registre et accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Créez les clés de valeur DWORD comme suit :

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • Pour le proxy dynamique :

    • Lancez l’éditeur de Registre et accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Créez les clés de valeur DWORD comme suit : "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Connexions et certificats

Connexions

  • Magasin HTTP
  • Magasin HTTPS
  • Citrix Gateway 10.5 et versions ultérieures

Certificats

Remarque :

Citrix Workspace app pour Windows est signée numériquement. La signature numérique est horodatée. Ainsi, le certificat reste valide même après son expiration.

  • Privés (auto-signés)
  • Racine
  • Génériques
  • Intermédiaires

Certificats privés (auto-signés)

Si un certificat privé existe sur la passerelle distante, installez le certificat racine de l’autorité de certification de l’organisation sur le périphérique utilisateur qui accède aux ressources Citrix.

Remarque :

Si le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion, un avertissement de certificat non approuvé s’affiche. Cet avertissement s’affiche lorsque le certificat racine est manquant dans le magasin de clés local. Lorsqu’un utilisateur choisit de continuer malgré l’avertissement, les applications s’affichent mais ne peuvent pas être lancées.

Certificats racine

Pour les ordinateurs joints à un domaine, vous pouvez utiliser un modèle d’administration d’objet de stratégie de groupe pour distribuer et approuver les certificats d’autorité de certification.

Pour les ordinateurs non joints à un domaine, l’organisation peut créer un package d’installation personnalisé pour distribuer et installer le certificat d’autorité de certification. Contactez votre administrateur système pour obtenir de l’aide.

Certificats génériques

Les certificats génériques sont utilisés sur un serveur au sein du même domaine.

Citrix Workspace app prend en charge les certificats génériques. Utilisez les certificats génériques en suivant la politique de sécurité de votre organisation. Une alternative aux certificats génériques est un certificat avec la liste des noms de serveurs et l’extension Nom alternatif du sujet (SAN). Les autorités de certification privées et publiques émettent ces certificats.

Certificats intermédiaires

Si votre chaîne de certificats inclut un certificat intermédiaire, le certificat intermédiaire doit être ajouté au certificat de serveur Citrix Gateway. Pour plus d’informations, consultez Configuration des certificats intermédiaires.

Liste de révocation de certificats

La liste de révocation de certificats (CRL) permet à Citrix Workspace app de vérifier si le certificat du serveur est révoqué. La vérification du certificat améliore l’authentification cryptographique du serveur et la sécurité globale de la connexion TLS entre le périphérique utilisateur et un serveur.

Vous pouvez activer la vérification CRL à plusieurs niveaux. Par exemple, il est possible de configurer Citrix Workspace app pour qu’elle vérifie uniquement sa liste de certificats locale ou qu’elle vérifie les listes de certificats locales et réseau. Vous pouvez également configurer la vérification des certificats pour permettre aux utilisateurs de se connecter uniquement si toutes les CRL sont vérifiées.

Si vous configurez la vérification des certificats sur votre ordinateur local, quittez Citrix Workspace app. Vérifiez que tous les composants de Citrix Workspace, y compris le Centre de connexion, sont fermés.

Pour plus d’informations, consultez la section Sécurité de la couche de transport.

Prise en charge pour atténuer les attaques de l’homme du milieu

Citrix Workspace app pour Windows vous aide à réduire le risque d’une attaque de l’homme du milieu en utilisant la fonctionnalité Épinglage de certificat d’entreprise de Microsoft Windows. Une attaque de l’homme du milieu est un type de cyberattaque où l’attaquant intercepte et relaie secrètement des messages entre deux parties qui croient communiquer directement l’une avec l’autre.

Auparavant, lorsque vous contactiez le serveur de magasin, il n’y avait aucun moyen de vérifier si la réponse reçue provenait bien du serveur que vous aviez l’intention de contacter. En utilisant la fonctionnalité Épinglage de certificat d’entreprise de Microsoft Windows, vous pouvez vérifier la validité et l’intégrité du serveur en épinglant son certificat.

Citrix Workspace app pour Windows est préconfigurée pour savoir quel certificat de serveur elle doit attendre pour un domaine ou un site particulier en utilisant les règles d’épinglage de certificat. Si le certificat du serveur ne correspond pas au certificat de serveur préconfiguré, Citrix Workspace app pour Windows empêche le démarrage de la session.

Pour plus d’informations sur le déploiement de la fonctionnalité Épinglage de certificat d’entreprise, consultez la documentation Microsoft.

Remarque :

Vous devez être conscient de l’expiration du certificat et mettre à jour correctement les stratégies de groupe et les listes de confiance des certificats. Dans le cas contraire, vous risquez de ne pas pouvoir démarrer la session, même en l’absence d’attaque.

Communications sécurisées
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.