Communication à distance avec les fournisseurs de stockage de clés (KSP) (version Technical Preview)
Introduction
Auparavant, la transmission à distance des opérations cryptographiques d’un VDA Windows vers le serveur FAS était réalisée à l’aide de deux fournisseurs de services cryptographiques (CSP) exécutés sur le VDA :
-
CitrixLogonCsp.dll- pour l’authentification unique (SSO) au VDA -
CitrixVirtualSmartcardCsp.dll- pour l’application des certificats en cours de session
Grâce à cette fonctionnalité, la transmission à distance des opérations cryptographiques peut également être réalisée à l’aide d’une paire de KSP :
-
CitrixLogonKsp.dll- pour l’authentification unique au VDA -
CitrixVirtualSmartcardKsp.dll- pour l’application des certificats en cours de session
Le recours aux KSP, la méthode la plus récente pour exposer les opérations cryptographiques aux applications Windows, offre davantage de fonctionnalités. Par exemple :
- Prise en charge des certificats avec clés ECC
- Prise en charge du remplissage du schéma de signature probabiliste (PSS)
Remarque :
Il n’existe aucun moyen d’activer les clés ECC sur le FAS.
Activer la communication à distance avec les KSP
La communication à distance avec les KSP est activée en créant la clé de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature
Type : string
Valeur : on
-
Le serveur FAS et le logiciel VDA doivent exécuter le logiciel CVAD 2407.
-
La communication à distance avec les KSP est activée en créant une clé de registre à la fois sur le serveur FAS et sur le VDA.
-
Pour que la modification prenne effet, redémarrez le serveur FAS et le VDA.
Si l’une des conditions ci-dessus n’est pas remplie, le VDA revient à l’utilisation de la communication à distance avec les CSP.
Vérifier si la communication à distance avec les KSP est activée
Sur le serveur FAS, vous pouvez vérifier si la communication à distance avec les KSP est activée à l’aide de Powershell :
Pour vérifier si la communication à distance avec les KSP a été utilisée pour l’authentification unique auprès du VDA, recherchez l’événement suivant dans le journal des applications Windows du serveur FAS :
L’opération SignHash2 indique l’utilisation de la communication à distance avec les KSP, tandis que SignHash indique la communication à distance avec le CSP.
De même, lorsqu’un certificat de session est utilisé pour la cryptographie, comme l’authentification du client TLS, recherchez l’événement suivant sur le serveur FAS
Limitations connues
La communication à distance avec les KSP n’est prise en charge que lorsque le FAS lui-même est configuré pour utiliser un KSP. Il s’agit de la configuration par défaut. Si le FAS est configuré pour utiliser un CSP, la communication à distance avec le KSP ne fonctionnera pas.
Le paramètre pertinent est le suivant :
<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> dans le dossier %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config
Ici, False indique que le FAS est configuré avec un KSP et, par conséquent, que la communication à distance avec le KSP est prise en charge.