Product Documentation

Configurer StoreFront à l'aide des fichiers de configuration

Dec 08, 2016

Activer la signature de fichier ICA

StoreFront permet de signer numériquement les fichiers ICA afin que les versions de Citrix Receiver qui prennent en charge cette fonctionnalité puissent vérifier que le fichier provient d'une source approuvée. Lorsque la signature des fichiers est activée dans StoreFront, le fichier ICA généré quand un utilisateur lance une application est signé à l'aide d'un certificat provenant du magasin de certificats personnels du serveur StoreFront. Les fichiers ICA peuvent être signés en utilisant n'importe quel algorithme de hachage pris en charge par le système d'exploitation exécuté sur le serveur StoreFront. La signature numérique est ignorée par les clients qui ne prennent pas en charge cette fonctionnalité ou qui ne sont pas configurés pour la signature de fichier ICA. Si la procédure de signature échoue, le fichier ICA est généré sans signature numérique puis envoyé à Citrix Receiver, dont la configuration détermine si le fichier non signé sera accepté ou non.

Pour pouvoir être utilisés pour la signature de fichier ICA avec StoreFront, les certificats doivent inclure la clé privée et se situer dans la période de validité autorisée. Si le certificat contient une extension d'utilisation de la clé, cela doit permettre à la clé d'être utilisée pour les signatures numériques. Si une extension d'utilisation de la clé prolongée est incluse, elle doit être définie sur la signature de code ou l'authentification de serveur.

Pour la signature de fichier ICA, Citrix vous recommande d'utiliser un certificat de signature de code ou SSL que vous pouvez vous procurer auprès d'une autorité de certification publique ou de l'autorité de certification publique de votre organisation. Si vous ne parvenez pas à obtenir un certificat approprié auprès d'une autorité de certification, vous pouvez utiliser un certificat SSL existant, par exemple un certificat de serveur ou créer un nouveau certificat racine d'autorité de certification et le distribuer sur les périphériques des utilisateurs.

La signature de fichier ICA est désactivée par défaut dans les magasins. Pour activer la signature de fichier ICA, modifiez le fichier de configuration du magasin et exécutez les commandes Windows PowerShell. Pour plus d'informations sur l'activation de la signature de fichier ICA dans Citrix Receiver, reportez-vous à Signature de fichier ICA pour se protéger contre le lancement d'applications ou de bureaux provenant de serveurs non approuvés.

Remarque : les consoles StoreFront et PowerShell ne peuvent pas être ouvertes en même temps. Fermez toujours la console d'administration StoreFront avant d'utiliser la console PowerShell pour administrer votre configuration StoreFront. De même, fermez toutes les instances de PowerShell avant d'ouvrir la console StoreFront.
Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Assurez-vous que le certificat que vous souhaitez utiliser pour signer des fichiers ICA est disponible dans le magasin de certificats Citrix Delivery Services sur le serveur StoreFront et non pas dans le magasin de certificat de l'utilisateur courant.
  2. Utilisez un éditeur de texte pour ouvrir le fichier web.config du magasin, qui se trouve en général dans le répertoire c:\inetpub\wwwroot\Citrix\nommagasin\, où nommagasin désigne le nom attribué au magasin au moment de sa création.
  3. Recherchez la section suivante dans le fichier.
    <certificateManager>   <certificates>     <clear />     <add ... />     ...   </certificates> </certificateManager> 
  4. Indiquez les détails relatifs au certificat que vous souhaitez utiliser pour la signature, comme illustré ci-dessous.
    <certificateManager>   <certificates>     <clear />     <add id="certificateid" thumb="certificatethumbprint" />     <add ... />     ...   </certificates> </certificateManager> 

    Où idcertificat correspond à la valeur qui vous permet d'identifier le certificat dans le fichier de configuration du magasin et empreintecertificat correspond au résumé (ou à l'empreinte numérique) des données du certificat produites par l'algorithme de hachage.

  5. Recherchez l'élément suivant dans le fichier.
    <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" /> 
  6. Modifiez la valeur de l'attribut enabled sur True afin d'activer la signature de fichier ICA pour le magasin. Définissez la valeur de l'attribut certificateId sur l'ID que vous avez utilisé pour identifier le certificat, c'est-à-dire idcertificat à l'étape 4.
  7. Si vous souhaitez utiliser un algorithme de hachage autre que SHA-1, définissez la valeur de l'attribut hashAgorithm sur sha256, sha384 ou sha512.
  8. À l'aide d'un compte possédant des permissions d'administrateur local, démarrez Windows PowerShell et, à l'invite de commande, tapez les commandes suivantes pour permettre au magasin d'accéder à la clé privée.
    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands   $certificate = Get-DSCertificate "certificatethumbprint"  Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” 

    Où empreintecertificat est le condensé des données de certificat produites par l'algorithme de hachage.

Désactiver l'association de type de fichier

Par défaut, l'association de type de fichier est activée dans les magasins, afin que le contenu soit redirigé en toute transparence vers les applications auxquelles les utilisateurs se sont abonnés lorsqu'ils ouvrent des fichiers locaux des types appropriés. Pour désactiver l'association de type de fichier, modifiez le fichier de configuration du magasin.

Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Utilisez un éditeur de texte pour ouvrir le fichier web.config du magasin, qui se trouve en général dans le répertoire c:\inetpub\wwwroot\Citrix\nommagasin\, où nommagasin désigne le nom attribué au magasin au moment de sa création.
  2. Recherchez l'élément suivant dans le fichier.
    <farmset ... enableFileTypeAssociation="on" ... >
  3. Modifiez la valeur de l'attribut enableFileTypeAssociation sur off afin de désactiver l'association des types de fichier pour le magasin.

Personnaliser la boîte de dialogue d'ouverture de session de Citrix Receiver

Lorsque les utilisateurs de Citrix Receiver ouvrent une session sur un magasin, aucun texte de titre n'est affiché sur la boîte de dialogue d'ouverture de session, par défaut. Vous pouvez afficher le texte par défaut « Please log on » ou composer votre propre message personnalisé. Pour afficher et personnaliser le texte de titre sur la boîte de dialogue d'ouverture de session de Citrix Receiver, modifiez les fichiers du service d'authentification.

Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Utilisez un éditeur de texte pour ouvrir le fichier UsernamePassword.tfrm du serveur d'authentification, qui est généralement situé dans le répertoire C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\.
  2. Recherchez les lignes suivantes dans le fichier.
    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
  3. Annulez le placement en commentaire de la ligne en supprimant les @* en début et fin de ligne et les *@ en fin de ligne, comme indiqué ci-dessous.
    @Heading("ExplicitAuth:AuthenticateHeadingText") 

    Les utilisateurs Citrix Receiver voient le texte de titre par défaut s'afficher « Please log on », ou la version localisée appropriée de ce texte (Veuillez ouvrir une session), lorsqu'ils ouvrent une session sur les magasins qui utilisent ce service d'authentification.

  4. Pour modifier le texte du titre, utilisez un éditeur de texte pour ouvrir le fichier ExplicitAuth.resx du service d'authentification, qui est généralement situé dans le répertoire C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\.
  5. Recherchez les éléments suivants dans le fichier. Modifiez le texte compris entre l'élément <value> pour modifier le texte de titre que les utilisateurs verront sur la boîte de dialogue d'ouverture de session de Citrix Receiver lorsqu'ils accèdent aux magasins qui utilisent ce service d'authentification.
    <data name="AuthenticateHeadingText" xml:space="preserve">   <value>My Company Name</value> </data>

    Pour modifier le texte de titre de la boîte de dialogue d'ouverture de session de Citrix Receiver pour les utilisateurs se trouvant dans d'autres régions, modifiez les versions localisées du fichier ExplicitAuth.codedelangue.resx, où codedelangue est l'identificateur de paramètres régionaux.

Empêcher Citrix Receiver pour Windows de mettre les mots de passe et les noms d'utilisateur en cache

Par défaut, Citrix Receiver pour Windows stocke les mots de passe des utilisateurs lorsqu'ils se connectent à des magasins StoreFront. Pour empêcher Citrix Receiver pour Windows, mais pas Citrix Receiver pour Windows Enterprise, de mettre en cache les mots de passe des utilisateurs, modifiez les fichiers du service d'authentification.

Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Utilisez un éditeur de texte pour ouvrir le fichier inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrm.
  2. Recherchez la ligne suivante dans le fichier.
    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
  3. Ajoutez un commentaire à l'instruction comme indiqué ci-dessous.
    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->

    Les utilisateurs de Citrix Receiver pour Windows doivent entrer leur mot de passe chaque fois qu'ils se connectent à des magasins utilisant ce service d'authentification. Ce paramètre ne s'applique pas à Citrix Receiver pour Windows Enterprise.

Avertissement

Une utilisation incorrecte de l’Éditeur du Registre peut occasionner de sérieux problèmes qui pourraient nécessiter l'installation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Utilisez l’Éditeur du Registre à vos risques. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.

Par défaut, Citrix Receiver pour Windows renseignait automatiquement le dernier nom d'utilisateur entré. Pour éviter que le champ de nom d'utilisateur ne soit renseigné, modifiez le registre sur la machine utilisateur :

  1. Créez une valeur HKLM\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Définissez sa valeur sur « false ».