Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Comunicaciones seguras

April 16, 2026
Contribución de: 
C C

  • Para proteger la comunicación entre el servidor de Citrix Virtual Apps and Desktops y la aplicación Citrix Workspace, puedes integrar tus conexiones de la aplicación Citrix Workspace utilizando una serie de tecnologías seguras, como las siguientes:

  • Citrix Gateway: Para obtener más información, consulta los temas de esta sección y la documentación de Citrix Gateway y StoreFront.
  • Un firewall: Los firewalls de red pueden permitir o bloquear paquetes basándose en la dirección de destino y el puerto.
  • Se admiten las versiones 1.0 a 1.2 de Transport Layer Security (TLS).
  • Servidor de confianza para establecer relaciones de confianza en las conexiones de la aplicación Citrix Workspace.
  • Firma de archivos ICA®
  • Protección de la Autoridad de seguridad local (LSA)
  • Servidor proxy solo para implementaciones de Citrix Virtual Apps: Un servidor proxy SOCKS o un servidor proxy seguro. Los servidores proxy ayudan a limitar el acceso a la red y desde ella. También gestionan las conexiones entre la aplicación Citrix Workspace y el servidor. La aplicación Citrix Workspace admite los protocolos proxy SOCKS y seguros.
    • Proxy de salida

Citrix Gateway

-  Citrix Gateway (anteriormente Access Gateway) protege las conexiones a los almacenes de StoreFront. Además, permite a los administradores controlar el acceso de los usuarios a los escritorios y las aplicaciones de forma detallada.

Para conectarte a escritorios y aplicaciones a través de Citrix Gateway:

-  1.  Especifica la URL de Citrix Gateway que te proporciona el administrador utilizando una de las siguientes formas:

-  La primera vez que uses la interfaz de usuario de autoservicio, se te pedirá que introduzcas la URL en el cuadro de diálogo **Agregar cuenta**.
-  Cuando uses la interfaz de usuario de autoservicio más tarde, introduce la URL haciendo clic en **Preferencias** > **Cuentas** > **Agregar**.
-  Si estás estableciendo una conexión con el comando storebrowse, introduce la URL en la línea de comandos

La URL especifica el gateway y, opcionalmente, un almacén específico:

  • Para conectarte al primer almacén que encuentre la aplicación Citrix Workspace, usa una URL con el siguiente formato:

  • Para conectarte a un almacén específico, usa una URL con el formato, por ejemplo: https://gateway.company.com?<storename>. Esta URL dinámica tiene un formato no estándar; no incluyas “=” (el carácter de signo “igual”) en la URL. Si estás estableciendo una conexión a un almacén específico con storebrowse, es posible que necesites comillas alrededor de la URL en el comando storebrowse.

  1. Cuando se te solicite, conéctate al almacén (a través del gateway) usando tu nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulta la documentación de Citrix Gateway.

Cuando la autenticación se haya completado, se mostrarán tus escritorios y aplicaciones.

Conexión a través de un firewall

  • Los firewalls de red pueden permitir o bloquear paquetes basándose en la dirección de destino y el puerto. Si usas un firewall, la aplicación Citrix Workspace para Windows puede comunicarse a través del firewall tanto con el servidor web como con el servidor Citrix.

  • Puertos de comunicación comunes de Citrix

  • Origen Tipo Puerto Detalles
  • Aplicación Citrix Workspace TCP 80/443 Comunicación con StoreFront
  • ICA o HDX TCP/UDP 1494 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX con fiabilidad de sesión TCP/UDP 2598 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX a través de TLS TCP/UDP 443 Acceso a aplicaciones y escritorios virtuales

Para obtener más información sobre los puertos, consulta el artículo del Knowledge Center CTX101810.

Transport Layer Security

Transport Layer Security (TLS) es el reemplazo del protocolo SSL (Secure Sockets Layer). El Grupo de Trabajo de Ingeniería de Internet (IETF) lo renombró TLS cuando asumió la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos al proporcionar autenticación de servidor, cifrado del flujo de datos y comprobaciones de integridad de mensajes. Algunas organizaciones, incluidas las organizaciones gubernamentales de EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también podrían requerir el uso de criptografía validada, como el Estándar Federal de Procesamiento de Información (FIPS) 140. FIPS 140 es un estándar para la criptografía.

Para usar el cifrado TLS como medio de comunicación, debes configurar el dispositivo de usuario y la aplicación Citrix Workspace. Para obtener información sobre cómo proteger las comunicaciones de StoreFront, consulta la sección Secure en la documentación de StoreFront. Para obtener información sobre cómo proteger VDA, consulta Transport Layer Security (TLS) en la documentación de Citrix Virtual Apps and Desktops.

Puedes usar las siguientes directivas para:

  • Forzar el uso de TLS: Te recomendamos que uses TLS para las conexiones que utilizan redes no confiables, incluida Internet.
  • Forzar el uso de FIPS (Estándares Federales de Procesamiento de Información): Criptografía aprobada y seguir las recomendaciones de NIST SP 800-52. Estas opciones están deshabilitadas de forma predeterminada.
  • Forzar el uso de una versión específica de TLS y conjuntos de cifrado TLS específicos: Citrix admite los protocolos TLS 1.0, TLS 1.1 y TLS 1.2.
  • Conectarte solo a servidores específicos.
  • Comprobar la revocación del certificado del servidor.
  • Comprobar una directiva de emisión de certificados de servidor específica.
  • Seleccionar un certificado de cliente particular, si el servidor está configurado para solicitar uno.

La aplicación Citrix Workspace para Windows admite los siguientes conjuntos de cifrado para el protocolo TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Importante:

Los siguientes conjuntos de cifrado están en desuso para mejorar la seguridad:

-  Conjuntos de cifrado RC4 y 3DES
-  Conjuntos de cifrado con el prefijo "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### Compatibilidad con TLS
  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.

  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red y selecciona la directiva Configuración del modo de cumplimiento y TLS.

    • Directiva de TLS y modo de cumplimiento

      1. Selecciona Habilitado para habilitar las conexiones seguras y cifrar la comunicación en el servidor. Configura las siguientes opciones:

    Nota:

    Citrix recomienda TLS para las conexiones seguras.

    1. Selecciona Requerir TLS para todas las conexiones para forzar a la aplicación Citrix Workspace a usar TLS para las conexiones a aplicaciones y escritorios publicados.

    2. En el menú Modo de cumplimiento de seguridad, selecciona la opción adecuada:

      1. Ninguno - No se aplica ningún modo de cumplimiento.
      2. SP800-52 - Selecciona SP800-52 para cumplir con NIST SP 800-52. Selecciona esta opción solo si los servidores o la puerta de enlace siguen las recomendaciones de NIST SP 800-52.

      Nota:

      Si seleccionas SP800-52, la criptografía aprobada por FIPS se usa automáticamente, incluso si Habilitar FIPS no está seleccionado. Además, habilita la opción de seguridad de Windows, Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma. De lo contrario, la aplicación Citrix Workspace podría no conectarse a las aplicaciones y escritorios publicados.

      Si seleccionas SP800-52, configura la opción Directiva de comprobación de revocación de certificados en Comprobación de acceso completo y CRL obligatoria.

      Cuando seleccionas SP800-52, la aplicación Citrix Workspace verifica que el certificado del servidor sigue las recomendaciones de NIST SP 800-52. Si el certificado del servidor no cumple, la aplicación Citrix Workspace podría no conectarse.

      1. Habilitar FIPS - Selecciona esta opción para forzar el uso de criptografía aprobada por FIPS. Además, habilita la opción de seguridad de Windows de la directiva de grupo del sistema operativo, Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma. De lo contrario, la aplicación Citrix Workspace podría no conectarse a las aplicaciones y escritorios publicados.

    3. En el menú desplegable Servidores TLS permitidos, selecciona el número de puerto. Usa una lista separada por comas para asegurarte de que la aplicación Citrix Workspace se conecte solo a un servidor especificado. Puedes especificar comodines y números de puerto. Por ejemplo, *.citrix.com: 4433 permite conexiones a cualquier servidor cuyo nombre común termine en .citrix.com en el puerto 4433. El emisor del certificado afirma la exactitud de la información en un certificado de seguridad. Si Citrix Workspace no reconoce o no confía en el emisor, la conexión se rechaza.

    4. En el menú Versión de TLS, selecciona una de las siguientes opciones:

    • TLS 1.0, TLS 1.1 o TLS 1.2 - Esta es la configuración predeterminada. Esta opción se recomienda solo si existe un requisito empresarial para TLS 1.0 por motivos de compatibilidad.

    • TLS 1.1 o TLS 1.2 - Usa esta opción para asegurarte de que las conexiones usen TLS 1.1 o TLS 1.2.

    • TLS 1.2 - Esta opción se recomienda si TLS 1.2 es un requisito empresarial.

    1. Conjunto de cifrado TLS - Para forzar el uso de un conjunto de cifrado TLS específico, selecciona Gobierno (GOV), Comercial (COM) o Todo (ALL).

    2. En el menú Directiva de comprobación de revocación de certificados, selecciona cualquiera de las siguientes opciones:

    • Comprobar sin acceso a la red - Se realiza la comprobación de la lista de revocación de certificados. Solo se usan los almacenes locales de la lista de revocación de certificados. Se ignoran todos los puntos de distribución. Una comprobación de la lista de revocación de certificados que verifique el certificado del servidor disponible desde el servidor de retransmisión SSL/Citrix Secure Web Gateway de destino no es obligatoria.

    • Comprobación de acceso completo - Se realiza la comprobación de la lista de revocación de certificados. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. La comprobación de la lista de revocación de certificados para verificar el certificado del servidor disponible desde el servidor de destino no es crítica.

    • Comprobación de acceso completo y CRL obligatoria - Se realiza la comprobación de la lista de revocación de certificados, excepto para la autoridad de certificación raíz. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Comprobación de acceso completo y CRL obligatoria (todo) - Se realiza la comprobación de la lista de revocación de certificados, incluida la CA raíz. Se usan los almacenes locales de la lista de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Sin comprobación - No se realiza ninguna comprobación de la lista de revocación de certificados.

    1. Al usar la OID de extensión de política, puedes limitar que la aplicación Citrix Workspace se conecte solo a servidores con una política de emisión de certificados específica. Cuando seleccionas la OID de extensión de política, la aplicación Citrix Workspace solo acepta certificados de servidor que contengan la OID de extensión de política.

    2. En el menú Autenticación de cliente, selecciona una de las siguientes opciones:

    • Deshabilitada - La autenticación de cliente está deshabilitada.

    • Mostrar selector de certificados - Solicita siempre al usuario que seleccione un certificado.

    • Seleccionar automáticamente si es posible - Solicita al usuario solo si hay una opción del certificado para identificar.

    • No configurado - Indica que la autenticación de cliente no está configurada.

    • Usar certificado especificado - Usa el certificado de cliente tal como se establece en la opción Certificado de cliente.

    1. Usa la configuración Certificado de cliente para especificar la huella digital del certificado de identificación y evitar solicitar al usuario innecesariamente.

    2. Haz clic en Aplicar y Aceptar para guardar la política.

Servidor de confianza

La configuración del servidor de confianza identifica y aplica relaciones de confianza en las conexiones de la aplicación Citrix Workspace.

  • Cuando habilitas el servidor de confianza, la aplicación Citrix Workspace especifica los requisitos y decide si la conexión al servidor es de confianza. Por ejemplo, una aplicación Citrix Workspace que se conecta a una dirección determinada, como https://\*.citrix.com con un tipo de conexión específico (como TLS), se dirige a una zona de confianza en el servidor.

    • Cuando habilitas esta función, el servidor conectado está en la zona de sitios de confianza de Windows. Para obtener instrucciones sobre cómo agregar servidores a la zona de sitios de confianza de Windows, consulta la ayuda en línea de Internet Explorer.

Para habilitar la configuración del servidor de confianza mediante la plantilla administrativa de objeto de directiva de grupo

  • Requisito previo:

    • Sal de los componentes de la aplicación Citrix Workspace, incluido el Centro de conexiones.
  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Enrutamiento de red > Configurar la configuración del servidor de confianza.
  3. Selecciona Habilitado para forzar la aplicación Citrix Workspace para la identificación de la región.
  4. Selecciona Aplicar configuración de servidor de confianza. Esta opción obliga al cliente a realizar la identificación mediante un servidor de confianza.
  5. En el menú desplegable Zona de Internet de Windows, selecciona la dirección cliente-servidor. Esta configuración solo se aplica a la zona de sitios de confianza de Windows.
  6. En el campo Dirección, establece la dirección cliente-servidor para la zona de sitios de confianza que no sea la de Windows. Puedes usar una lista separada por comas.
  7. Haz clic en Aceptar y Aplicar.

Firma de archivos ICA

La firma de archivos ICA te ayuda a protegerte de un inicio de aplicación o escritorio no autorizado. La aplicación Citrix Workspace verifica que una fuente de confianza haya generado el inicio de la aplicación o el escritorio según una política administrativa y protege contra inicios desde servidores que no son de confianza. Puedes configurar la firma de archivos ICA mediante la plantilla administrativa de objetos de directiva de grupo o StoreFront. La función de firma de archivos ICA no está habilitada de forma predeterminada.

Para obtener información sobre cómo habilitar la firma de archivos ICA para StoreFront, consulta Habilitar la firma de archivos ICA en la documentación de StoreFront.

Configurar la firma de archivos ICA

Nota:

Si CitrixBase.admx\adml no se agrega al GPO local, es posible que la política Habilitar firma de archivos ICA no esté presente.

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix.
  3. Selecciona la política Habilitar firma de archivos ICA y selecciona una de las opciones según sea necesario:
    1. Habilitado - Indica que puedes agregar la huella digital del certificado de firma a la lista de permitidos de huellas digitales de certificados de confianza.
    2. Certificados de confianza - Haz clic en Mostrar para quitar la huella digital del certificado de firma existente de la lista de permitidos. Puedes copiar y pegar las huellas digitales del certificado de firma de las propiedades del certificado de firma.
    3. Política de seguridad - Selecciona una de las siguientes opciones del menú.
      1. Solo permitir inicios firmados (más seguro): Permite solo inicios de aplicaciones y escritorios firmados desde un servidor de confianza. Aparece una advertencia de seguridad cuando hay una firma no válida. El inicio de la sesión falla debido a la falta de autorización.
      2. Solicitar al usuario en inicios sin firmar (menos seguro) - Aparece un mensaje cuando se inicia una sesión sin firmar o con una firma no válida. Puedes elegir continuar el inicio o cancelarlo (predeterminado).
  4. Haz clic en Aplicar y Aceptar para guardar la política.
  5. Reinicia la sesión de la aplicación Citrix Workspace para que los cambios surtan efecto.

Para seleccionar y distribuir un certificado de firma digital:

Al seleccionar un certificado de firma digital, te recomendamos que elijas de la siguiente lista de prioridades:

  1. Compra un certificado de firma de código o un certificado de firma SSL de una entidad de certificación (CA) pública.
  2. Si tu empresa tiene una CA privada, crea un certificado de firma de código o un certificado de firma SSL mediante la CA privada.
  3. Usa un certificado SSL existente.
  4. Crea un certificado de CA raíz y distribúyelo a los dispositivos de los usuarios mediante GPO o instalación manual.

Protección de la Autoridad de seguridad local (LSA)

La aplicación Citrix Workspace es compatible con la protección de la Autoridad de seguridad local (LSA) de Windows, que mantiene información sobre todos los aspectos de la seguridad local en un sistema. Esta compatibilidad proporciona el nivel de protección de sistema LSA a los escritorios alojados.

Conexión a través de un servidor proxy

Los servidores proxy se utilizan para limitar el acceso a la red y desde ella, y para gestionar las conexiones entre la aplicación Citrix Workspace para Windows y los servidores. La aplicación Citrix Workspace es compatible con los protocolos SOCKS y de proxy seguro.

Al comunicarse con el servidor, la aplicación Citrix Workspace utiliza la configuración del servidor proxy que se configura de forma remota en el servidor que ejecuta Workspace para Web.

Al comunicarse con el servidor web, la aplicación Citrix Workspace utiliza la configuración del servidor proxy configurada a través de la configuración de Internet del explorador web predeterminado del dispositivo del usuario. Configura la configuración de Internet del explorador web predeterminado del dispositivo del usuario según corresponda.

Para aplicar la configuración de proxy a través del archivo ICA en StoreFront, consulta el artículo CTX136516 del Centro de conocimientos de Citrix.

Compatibilidad con proxy saliente

SmartControl permite a los administradores configurar y aplicar directivas que afectan al entorno. Por ejemplo, es posible que quieras prohibir a los usuarios asignar unidades a sus escritorios remotos. Puedes lograr esta granularidad utilizando la función SmartControl en Citrix Gateway.

El escenario cambia cuando la aplicación Citrix Workspace y Citrix Gateway pertenecen a cuentas empresariales separadas. En tales casos, el dominio del cliente no puede aplicar la función SmartControl porque el gateway no existe en el dominio. Entonces puedes usar el proxy ICA saliente. La función de proxy ICA saliente te permite usar la función SmartControl incluso cuando la aplicación Citrix Workspace y Citrix Gateway se implementan en diferentes organizaciones.

La aplicación Citrix Workspace admite el inicio de sesiones mediante el proxy LAN de NetScaler. Utiliza el complemento de proxy saliente para configurar un único proxy estático o seleccionar un servidor proxy en tiempo de ejecución.

Puedes configurar los proxies salientes mediante los siguientes métodos:

  • Proxy estático: El servidor proxy se configura proporcionando un nombre de host de proxy y un número de puerto.
  • Proxy dinámico: Se puede seleccionar un único servidor proxy entre uno o varios servidores proxy mediante el archivo DLL del complemento de proxy.

Puedes configurar el proxy saliente mediante la plantilla administrativa de objeto de directiva de grupo o el Editor del Registro.

Para obtener más información sobre el proxy saliente, consulta Compatibilidad con proxy ICA saliente en la documentación de Citrix Gateway.

Compatibilidad con proxy saliente - Configuración

Nota:

Si se configuran tanto el proxy estático como los proxies dinámicos, la configuración del proxy dinámico tiene prioridad.

Configurar el proxy saliente mediante la plantilla administrativa de GPO:

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red.
  3. Selecciona una de las siguientes opciones:
    • Para proxy estático: Selecciona la directiva Configurar el proxy LAN de NetScaler® manualmente. Selecciona Habilitado y, a continuación, proporciona el nombre de host y el número de puerto.
    • Para proxy dinámico: Selecciona la directiva Configurar el proxy LAN de NetScaler mediante DLL. Selecciona Habilitado y, a continuación, proporciona la ruta completa al archivo DLL. Por ejemplo, C:\Workspace\Proxy\ProxyChooser.dll.
  4. Haz clic en Aplicar y Aceptar.

Configurar el proxy saliente mediante el Editor del Registro:

  • Para proxy estático:
    • Inicia el Editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Crea las claves de valor DWORD de la siguiente manera:

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • Para proxy dinámico:

    • Inicia el Editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Crea las claves de valor DWORD de la siguiente manera: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"
Comunicaciones seguras
April 16, 2026
Contribución de: 
C C
April 16, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.