StoreFront

ICA 文件签名

StoreFront 提供了对 ICA 文件进行数字签名的选项,以便支持此功能的 Citrix Workspace 应用程序版本能够验证文件是否来自可信来源。在 StoreFront 中启用文件签名功能后,系统将使用来自 StoreFront 服务器个人证书存储的证书对用户启动应用程序时生成的 ICA 文件进行签名。可以使用 StoreFront 服务器上运行的操作系统支持的任何哈希算法对 ICA 文件进行签名。不支持 ICA 文件签名服务功能或未配置为支持此功能的客户端将忽略数字签名。如果签名过程失败,生成的 ICA 文件将不带数字签名,并发送到 Citrix Workspace 应用程序,由 Citrix Workspace 应用程序的配置决定是否接受未签名的文件。

要通过 StoreFront 将证书用于 ICA 文件签名服务,该证书中必须包含私钥且处于允许的有效期内。如果证书中包含密钥用法扩展,则此扩展必须允许将密钥用于数字签名。如果包含经过扩展的密钥用法扩展,则必须将其设置为支持代码签名或服务器身份验证。

对于 ICA 文件签名服务,Citrix 建议使用从公共证书颁发机构或贵组织的私有证书颁发机构获得的代码签名或 SSL 签名证书。如果无法从证书颁发机构获得恰当的证书,则可以使用现有 SSL 证书(例如服务器证书),或者创建一个新的根证书颁发机构证书并将其分发给用户设备。

ICA 文件签名服务默认情况下被禁用。要启用 ICA 文件签名服务,必须安装一个证书并将应用商店配置为使用该证书。除非您还将适用于 Windows 的 Citrix Workspace 应用程序配置为需要证书,否则对 ICA 文件进行签名没有任何效果。有关详细信息,请参阅 ICA 文件签名服务

注意:

StoreFront 和 PowerShell 控制台不能同时打开。使用 PowerShell 控制台管理 StoreFront 配置之前,请始终关闭 StoreFront 管理控制台。同样,打开 StoreFront 控制台之前,请关闭 PowerShell 的所有实例。

  1. 在您的 StoreFront 服务器上,打开管理计算机证书

  2. 将您的证书添加到 Citrix 交付服务证书存储。

  3. 打开该证书,转到详细信息选项卡并录入指纹。

  4. 使用 Set-STFStoreService PowerShell cmdlet 为应用商店启用签名:

    $storeService = Get-STFStoreService
    Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint]
    $certificate = Get-DSCertificate "[certificatethumbprint]"
    Add-DSCertificateKeyReadAccess -certificate $certificate[0] -accountName IIS APPPOOL\Citrix Delivery Services Resources
    <!--NeedCopy-->
    

    其中 [certificatethumbprint] 是通过哈希算法生成的证书数据的摘要(或指纹)。

    如果您想使用 SHA-1 以外的哈希算法,请根据需要添加一个设置为 sha256、sha384 或 sha512 的参数 IcaFileSigningHashAlgorithm

ICA 文件签名

在本文中