Product Documentation

Sécuriser les sessions utilisateur en utilisant DTLS

Feb 26, 2018

Avec cette version, Citrix introduit DTLS sur toutes les plates-formes Linux prises en charge en tant que fonctionnalité expérimentale. Cette fonction est désactivée par défaut.

XenApp et XenDesktop prennent en charge le protocole TLS (Transport Layer Security) pour les connexions TCP entre composants. XenApp et XenDesktop prennent également en charge le protocole DTLS (Datagram Transport Layer Security) pour les connexions ICA/HDX basées sur UDP, en utilisant le transport adaptatif. Pour plus d'informations, voir Transport Layer Security.

Activer le chiffrement DTLS

Activer le chiffrement SSL sur le VDA Linux

Sur le VDA Linux, utilisez l'outil enable_vdassl.sh pour activer (ou désactiver) le chiffrement SSL. L'outil se trouve dans /opt/Citrix/VDA/sbin. Pour plus d’informations sur les options disponibles dans l’outil, exécutez la commande /opt/Citrix/VDA/sbin/enable_vdassl.sh –h

Remarque

Actuellement, les Citrix Receiver prennent en charge DTLS 1.0 uniquement. Définissez SSLMinVersion sur TLS_1.0 et SSLCipherSuite sur COM ou ALL à l'aide de l'outil enable_vdassl.sh.

Vérifier que le transport adaptatif est activé

Dans Citrix Studio, vérifiez que la stratégie HDX Adaptive Transport est définie sur le mode Préféré ou Diagnostic.

Activer le chiffrement DTLS sur le VDA Linux

Pour activer le chiffrement DTLS, exécutez la commande suivante en tant qu'utilisateur root sur le VDA.

Commande Copier

sudo /opt/Citrix/VDA/bin/ctxreg update -k  "HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\icawd\Tds\udp"   -v  "fDTLSEnabled" -d "0x00000001"

Définir des règles de pare-feu pour autoriser le trafic DTLS

RHEL 7/CentOS 7

Exécutez la commande suivante en tant qu'utilisateur racine.

Commande Copier

firewall-cmd --permanent --zone=public --add-port=443/udp

RHEL 6/CentOS 6

1. Ajoutez la ligne suivante au fichier ctxhdx dans /etc/xdl/firewall.

-I INPUT 1 -p udp -m udp --dport 443 -j ACCEPT

2. Exécutez la commande suivante en tant qu'utilisateur racine.

Commande Copier

lokkit --custom-rules=ipv4:filter:/etc/xdl/firewall/ctxhdx

SUSE 12

1. Ajoutez la ligne suivante au fichier ctxhdx dans /etc/sysconfig/SuSEfirewall2.d/services/.

UDP="443"

2. Exécutez la commande suivante en tant qu'utilisateur racine.

Commande Copier

yast2 firewall services add zone=EXT service=service:ctxhdx

Ubuntu 16

Exécutez la commande suivante en tant qu'utilisateur racine.

Commande Copier

ufw allow proto udp from any to any port 443

Remarque

Le chiffrement DTLS utilise le même port (443 par défaut) que le chiffrement SSL. Pour configurer un port différent pour le chiffrement DTLS, définissez les règles de pare-feu en conséquence. Après avoir activé le chiffrement DTLS, redémarrez le service VDA et le service HDX, dans cet ordre, pour que vos paramètres prennent effet.