Accès à distance aux fournisseurs de stockage de clés (KSP) (Technical Preview)

Introduction

Auparavant, l’exécution à distance des opérations cryptographiques à partir d’un VDA Windows vers le serveur FAS était réalisée à l’aide d’une paire de fournisseurs de services cryptographiques (CSP) exécutés sur le VDA :

• CitrixLogonCsp.dll : pour l’authentification unique (SSO) sur le VDA
• CitrixVirtualSmartcardCsp.dll : pour les certificats en session

Grâce à cette fonctionnalité, l’exécution à distance des opérations cryptographiques peut également être réalisée à l’aide d’une paire de KSP :

• CitrixLogonKsp.dll : pour l’authentification unique sur le VDA
• CitrixVirtualSmartcardKsp.dll : pour les certificats en session

L’utilisation de fournisseurs de stockage de clés pour exposer les opérations cryptographiques aux applications Windows est la méthode la plus récente, et elle offre davantage de fonctionnalités. Par exemple :

• Prise en charge des certificats de clés ECC
• Prise en charge du remplissage du schéma de signature probabiliste (PSS)

  Remarque:

  Il n’y a aucun moyen d’activer les clés ECC sur le FAS.

Activer la communication à distance avec le KSP

La communication à distance avec le KSP est activée en créant la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Type : chaîne

Valeur : activé

• Le serveur FAS et le logiciel VDA doivent tous deux exécuter le logiciel CVAD 2407.

• La communication à distance avec le KSP est activée en créant une clé de registre sur le serveur FAS et sur le VDA.

• Redémarrez le serveur FAS et le VDA pour que la modification prenne effet.

Si l’une des conditions ci-dessus n’est pas remplie, le VDA recourt alors à la communication à distance avec le CSP.

Vérifier si la communication à distance avec le KSP est activée

Sur le serveur FAS, vous pouvez vérifier si la communication à distance avec le KSP est activée à l’aide de Powershell :

Pour vérifier si la communication à distance avec le KSP a été utilisée pour l’authentification unique sur le VDA. Recherchez l’événement suivant dans le journal des applications Windows du serveur FAS :

L’opération SignHash2 indique l’utilisation de la communication à distance avec le KSP, tandis que SignHash indique la communication à distance avec le CSP.

De même, lorsqu’un certificat en session est utilisé pour la cryptographie, lors de l’authentification du client TLS, par exemple, recherchez l’événement suivant sur le serveur FAS :

Limitations connues

La communication à distance avec le KSP n’est possible que lorsque le FAS lui-même est configuré pour utiliser un KSP. Il s’agit de la configuration par défaut. Si le FAS est configuré pour utiliser un CSP, la communication à distance au KSP ne fonctionne pas.

Le paramètre pertinent est :

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> dans le fichier %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Ici, False indique que le FAS est configuré avec un KSP et que, par conséquent, la communication à distance avec le KSP est prise en charge.