Signature de fichier ICA
StoreFront permet de signer numériquement les fichiers ICA afin que les versions de l’application Citrix Workspace qui prennent en charge cette fonctionnalité puissent vérifier que le fichier provient d’une source approuvée. Lorsque la signature des fichiers est activée dans StoreFront, le fichier ICA généré quand un utilisateur lance une application est signé à l’aide d’un certificat provenant du magasin de certificats personnels du serveur StoreFront. Les fichiers ICA peuvent être signés en utilisant n’importe quel algorithme de hachage pris en charge par le système d’exploitation exécuté sur le serveur StoreFront. La signature numérique est ignorée par les clients qui ne prennent pas en charge cette fonctionnalité ou qui ne sont pas configurés pour la signature de fichier ICA. Si la procédure de signature échoue, le fichier ICA est généré sans signature numérique puis envoyé à l’application Citrix Workspace, dont la configuration détermine si le fichier non signé sera accepté ou non.
Pour pouvoir être utilisés pour la signature de fichier ICA avec StoreFront, les certificats doivent inclure la clé privée et se situer dans la période de validité autorisée. Si le certificat contient une extension d’utilisation de la clé, celle-ci doit permettre l’utilisation de la clé pour les signatures numériques. Si une extension d’utilisation de la clé prolongée est incluse, elle doit être définie sur la signature de code ou l’authentification de serveur.
Pour la signature de fichier ICA, Citrix vous recommande d’utiliser un certificat de signature de code ou SSL que vous pouvez vous procurer auprès d’une autorité de certification publique ou de l’autorité de certification publique de votre organisation. Si vous ne parvenez pas à obtenir un certificat approprié auprès d’une autorité de certification, vous pouvez utiliser un certificat SSL existant, par exemple un certificat de serveur ou créer un nouveau certificat racine d’autorité de certification et le distribuer sur les périphériques des utilisateurs.
La signature de fichier ICA est désactivée par défaut dans les magasins. Pour activer la signature de fichier ICA, modifiez le fichier de configuration du magasin et exécutez les commandes Windows PowerShell. Pour plus d’informations sur l’activation de la signature de fichier ICA dans l’application Citrix Workspace pour Windows, consultez la section Signature de fichier ICA.
Remarque :
Les consoles StoreFront et PowerShell ne peuvent pas être ouvertes en même temps. Fermez toujours la console d’administration StoreFront avant d’utiliser la console PowerShell pour administrer votre configuration StoreFront. De même, fermez toutes les instances de PowerShell avant d’ouvrir la console StoreFront.
-
Assurez-vous que le certificat que vous souhaitez utiliser pour signer les fichiers ICA est disponible dans le magasin de certificats Citrix Delivery Services du serveur StoreFront et non dans le magasin de certificats de l’utilisateur actuel.
-
Activez la signature à l’aide de l’applet de commande PowerShell
Set-STFStoreService:$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] <!--NeedCopy-->Où [certificatethumbprint] est le condensé (ou empreinte numérique) des données de certificat produites par l’algorithme de hachage.
Si vous souhaitez utiliser un algorithme de hachage autre que SHA-1, ajoutez un paramètre -IcaFileSigningHashAlgorithm défini sur sha256, sha384 ou sha512, selon les besoins.