Documentación de productos
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Ver PDF

Comunicaciones seguras

April 16, 2026
Contribución de: 
C

  • Para proteger la comunicación entre el servidor de Citrix Virtual Apps and Desktops y la aplicación Citrix Workspace, puedes integrar tus conexiones de la aplicación Citrix Workspace mediante una serie de tecnologías seguras, como las siguientes:

  • Citrix Gateway: Para obtener información, consulta los temas de esta sección y la documentación de Citrix Gateway y StoreFront.
  • Un firewall: Los firewalls de red pueden permitir o bloquear paquetes según la dirección de destino y el puerto.
  • Se admiten las versiones 1.2 y 1.3 de Transport Layer Security (TLS).
  • Servidor de confianza para establecer relaciones de confianza en las conexiones de la aplicación Citrix Workspace.
  • Firma de archivos ICA®
  • Protección de la Autoridad de seguridad local (LSA)
  • Servidor proxy solo para implementaciones de Citrix Virtual Apps: Un servidor proxy SOCKS o un servidor proxy seguro. Los servidores proxy ayudan a limitar el acceso a la red y desde ella. También gestionan las conexiones entre la aplicación Citrix Workspace y el servidor. La aplicación Citrix Workspace admite los protocolos SOCKS y proxy seguro.
    • Proxy de salida

Citrix Gateway

-  Citrix Gateway (anteriormente Access Gateway) protege las conexiones a los almacenes de StoreFront. Además, permite a los administradores controlar el acceso de los usuarios a los escritorios y las aplicaciones de forma detallada.

Para conectarte a escritorios y aplicaciones a través de Citrix Gateway:

-  1.  Especifica la URL de Citrix Gateway que te proporciona el administrador mediante una de las siguientes formas:

-  La primera vez que uses la interfaz de usuario de autoservicio, se te pedirá que introduzcas la URL en el cuadro de diálogo **Agregar cuenta**.
-  Cuando uses la interfaz de usuario de autoservicio más tarde, introduce la URL haciendo clic en **Preferencias** > **Cuentas** > **Agregar**.
-  Si estás estableciendo una conexión con el comando `storebrowse`, introduce la URL en la línea de comandos.

La URL especifica el gateway y, opcionalmente, un almacén específico:

  • Para conectarte al primer almacén que encuentre la aplicación Citrix Workspace, usa una URL con el siguiente formato:

  • Para conectarte a un almacén específico, usa una URL con el formato, por ejemplo: https://gateway.company.com?<storename>. Esta URL dinámica tiene un formato no estándar; no incluyas “=” (el carácter de signo “igual”) en la URL. Si estás estableciendo una conexión a un almacén específico con storebrowse, es posible que necesites comillas alrededor de la URL en el comando storebrowse.

  1. Cuando se te solicite, conéctate al almacén (a través del gateway) usando tu nombre de usuario, contraseña y token de seguridad. Para obtener más información sobre este paso, consulta la documentación de Citrix Gateway.

Cuando la autenticación se complete, se mostrarán tus escritorios y aplicaciones.

Conexión a través de firewall

  • Los firewalls de red pueden permitir o bloquear paquetes según la dirección de destino y el puerto. Si estás usando un firewall, la aplicación Citrix Workspace para Windows puede comunicarse a través del firewall tanto con el servidor web como con el servidor Citrix.

  • Puertos de comunicación comunes de Citrix

  • Origen Tipo Puerto Detalles
  • Aplicación Citrix Workspace TCP 80/443 Comunicación con StoreFront
  • ICA o HDX TCP/UDP 1494 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX con fiabilidad de sesión TCP/UDP 2598 Acceso a aplicaciones y escritorios virtuales
  • ICA o HDX a través de TLS TCP/UDP 443 Acceso a aplicaciones y escritorios virtuales
  • Para obtener más información sobre los puertos, consulta el artículo del Knowledge Center CTX101810.

Transport Layer Security

Transport Layer Security (TLS) es el reemplazo del protocolo SSL (Secure Sockets Layer). El Internet Engineering Taskforce (IETF) lo renombró TLS cuando asumió la responsabilidad del desarrollo de TLS como un estándar abierto.

TLS protege las comunicaciones de datos al proporcionar autenticación de servidor, cifrado del flujo de datos y comprobaciones de integridad de mensajes. Algunas organizaciones, incluidas las organizaciones gubernamentales de EE. UU., requieren el uso de TLS para proteger las comunicaciones de datos. Estas organizaciones también pueden requerir el uso de criptografía validada, como el Estándar Federal de Procesamiento de Información (FIPS) 140. FIPS 140 es un estándar para la criptografía.

Para usar el cifrado TLS como medio de comunicación, debes configurar el dispositivo de usuario y la aplicación Citrix Workspace. Para obtener información sobre cómo proteger las comunicaciones de StoreFront, consulta la sección Seguridad en la documentación de StoreFront. Para obtener información sobre cómo proteger VDA, consulta Transport Layer Security (TLS) en la documentación de Citrix Virtual Apps and Desktops.

Puedes usar las siguientes directivas para:

  • Forzar el uso de TLS: Te recomendamos que uses TLS para conexiones que utilicen redes no confiables, incluida Internet.
  • Forzar el uso de FIPS (Estándares Federales de Procesamiento de Información): Criptografía aprobada y seguir las recomendaciones de NIST SP 800-52. Estas opciones están deshabilitadas de forma predeterminada.
  • Forzar el uso de una versión específica de TLS y conjuntos de cifrado TLS específicos: Citrix admite el protocolo TLS 1.2 y 1.3.
  • Conectarse solo a servidores específicos.
  • Comprobar la revocación del certificado del servidor.
  • Comprobar una directiva específica de emisión de certificados de servidor.
  • Seleccionar un certificado de cliente particular, si el servidor está configurado para solicitar uno.

La aplicación Citrix Workspace para Windows admite los siguientes conjuntos de cifrado para el protocolo TLS 1.2 y 1.3:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Importante:

Los siguientes conjuntos de cifrado están obsoletos para una seguridad mejorada:

-  Conjuntos de cifrado RC4 y 3DES
-  Conjuntos de cifrado con el prefijo "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### Compatibilidad con TLS
  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.

  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red, y selecciona la directiva Configuración de TLS y modo de cumplimiento.

    • Directiva de TLS y modo de cumplimiento

      1. Selecciona Habilitado para habilitar las conexiones seguras y cifrar la comunicación en el servidor. Configura las siguientes opciones:

    Nota:

    Citrix recomienda TLS para conexiones seguras.

    1. Selecciona Requerir TLS para todas las conexiones para forzar a la aplicación Citrix Workspace a usar TLS para las conexiones a aplicaciones y escritorios publicados.

    2. En el menú Modo de cumplimiento de seguridad, selecciona la opción adecuada:

      1. Ninguno - No se aplica ningún modo de cumplimiento.
      2. SP800-52 - Selecciona SP800-52 para cumplir con NIST SP 800-52. Selecciona esta opción solo si los servidores o la puerta de enlace siguen las recomendaciones de NIST SP 800-52.

      Nota:

      -  >
-  > Si seleccionas **SP800-52**, la criptografía aprobada por FIPS se usa automáticamente, incluso si no se selecciona **Habilitar FIPS**. Además, habilita la opción de seguridad de Windows, **Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma**. De lo contrario, la aplicación Citrix Workspace podría no conectarse a las aplicaciones y escritorios publicados.

      Si seleccionas SP800-52, establece la configuración de Directiva de comprobación de revocación de certificados en Comprobación de acceso completo y CRL obligatoria.

      Cuando seleccionas SP800-52, la aplicación Citrix Workspace verifica que el certificado del servidor sigue las recomendaciones de NIST SP 800-52. Si el certificado del servidor no cumple, la aplicación Citrix Workspace podría no conectarse.

      1. Habilitar FIPS - Selecciona esta opción para forzar el uso de criptografía aprobada por FIPS. Además, habilita la opción de seguridad de Windows desde la directiva de grupo del sistema operativo, Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma. De lo contrario, la aplicación Citrix Workspace podría no conectarse a las aplicaciones y escritorios publicados.

    3. En el menú desplegable Servidores TLS permitidos, selecciona el número de puerto. Usa una lista separada por comas para asegurarte de que la aplicación Citrix Workspace se conecta solo a un servidor especificado. Puedes especificar comodines y números de puerto. Por ejemplo, *.citrix.com: 4433 permite conexiones a cualquier servidor cuyo nombre común termine en .citrix.com en el puerto 4433. El emisor del certificado afirma la exactitud de la información en un certificado de seguridad. Si Citrix Workspace no reconoce o no confía en el emisor, la conexión se rechaza.

    1. En el menú Versión de TLS, selecciona una de las siguientes opciones:

    • TLS 1.0, TLS 1.1 o TLS 1.2 - Esta es la configuración predeterminada, que se recomienda solo si existe un requisito empresarial para TLS 1.0 por motivos de compatibilidad.

    • TLS 1.1 o TLS 1.2 - Usa esta opción para asegurarte de que las conexiones usan TLS 1.1 o TLS 1.2.

    • TLS 1.2 - Esta opción se recomienda si TLS 1.2 es un requisito empresarial.

    1. Conjunto de cifrado TLS - Para forzar el uso de un conjunto de cifrado TLS específico, selecciona Gobierno (GOV), Comercial (COM) o Todo (ALL).

    2. En el menú Directiva de comprobación de revocación de certificados, selecciona una de las siguientes opciones:

    • Comprobar sin acceso a la red - Se realiza la comprobación de la lista de revocación de certificados. Solo se usan los almacenes locales de listas de revocación de certificados. Se ignoran todos los puntos de distribución. Una comprobación de la lista de revocación de certificados que verifica el certificado del servidor disponible desde el servidor de destino SSL Relay/Citrix Secure Web Gateway no es obligatoria.

    • Comprobación de acceso completo - Se realiza la comprobación de la lista de revocación de certificados. Se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. La comprobación de la lista de revocación de certificados para verificar el certificado del servidor disponible desde el servidor de destino no es crítica.

    • Comprobación de acceso completo y CRL obligatoria - Se realiza la comprobación de la lista de revocación de certificados, excepto para la autoridad de certificación raíz. Se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Comprobación de acceso completo y CRL obligatoria para todos - Se realiza la comprobación de la lista de revocación de certificados, incluida la CA raíz. Se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es fundamental para la verificación.

    • Sin comprobación - No se realiza ninguna comprobación de la lista de revocación de certificados.

    1. Usando la OID de extensión de directiva, puedes limitar la aplicación Citrix Workspace para que se conecte solo a servidores con una directiva de emisión de certificados específica. Cuando seleccionas OID de extensión de directiva, la aplicación Citrix Workspace solo acepta certificados de servidor que contienen la OID de extensión de directiva.

    2. En el menú Autenticación de cliente, selecciona una de las siguientes opciones:

    • Deshabilitado - La autenticación de cliente está deshabilitada.

    • Mostrar selector de certificados - Siempre pide al usuario que seleccione un certificado.

    • Seleccionar automáticamente si es posible - Pide al usuario solo si hay una opción de certificado para identificar.

    • No configurado - Indica que la autenticación de cliente no está configurada.

    • Usar certificado especificado - Usa el certificado de cliente tal como se establece en la opción Certificado de cliente.

    1. Usa la configuración de Certificado de cliente para especificar la huella digital del certificado de identificación y evitar solicitar al usuario innecesariamente.

    2. Haz clic en Aplicar y Aceptar para guardar la política.

Compatibilidad con la versión 1.3 del protocolo TLS

A partir de la versión 2409, la aplicación Citrix Workspace es compatible con la versión 1.3 del protocolo Transport Layer Security (TLS).

Nota:

Esta mejora requiere la versión 2303 de VDA o posterior.

Esta función está habilitada de forma predeterminada. Para deshabilitarla, haz lo siguiente:

  1. Abre el Editor del Registro ejecutando regedit en el comando Ejecutar.
  2. Ve a HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3.
  3. Crea una clave DWORD con el nombre EnableTLS1.3 y establece el valor de la clave en 0.

Limitaciones:

  • Las conexiones que usan Access Gateway o NetScaler Gateway Service intentan usar TLS 1.3. Sin embargo, estas conexiones recurren a TLS 1.2 porque Access Gateway y NetScaler Gateway Service aún no son compatibles con TLS 1.3.
    • La conexión directa a una versión de VDA que no es compatible con TLS 1.3 recurre a TLS 1.2.

Servidor de confianza

Aplicar conexiones de servidor de confianza

La política de configuración de servidor de confianza identifica y aplica las relaciones de confianza en las conexiones de la aplicación Citrix Workspace.

Con esta política, los administradores pueden controlar cómo el cliente identifica la aplicación o el escritorio publicados a los que se conecta. El cliente determina un nivel de confianza, denominado región de confianza con una conexión. La región de confianza determina entonces cómo se configura el cliente para la conexión.

Habilitar esta política evita las conexiones a servidores que no se encuentran en las regiones de confianza.

De forma predeterminada, la identificación de la región se basa en la dirección del servidor al que se conecta el cliente. Para ser miembro de la región de confianza, el servidor debe ser miembro de la zona de sitios de confianza de Windows. Puedes configurarlo mediante la configuración de la zona de Internet de Windows.

-  Alternativamente, para la compatibilidad con clientes que no son de Windows, la dirección del servidor se puede considerar de confianza específicamente mediante la configuración de **Dirección** en la política de grupo. La dirección del servidor debe ser una lista de servidores separados por comas que admitan el uso de comodines, por ejemplo, `cps*.citrix.com`.

Requisito previo:

  • Asegúrate de haber instalado la aplicación Citrix Workspace para Windows versión 2409 o posterior.

    • Establece la resolución DNS en True en el DDC cuando uses StoreFront interno y el FQDN del host en las Opciones de Internet de Windows. Para obtener más información, consulta el artículo del Centro de conocimiento CTX135250.

    • Nota:

      No se requieren cambios en el DDC si se utiliza la dirección IP en las Opciones de la zona de seguridad de Internet de Windows.

  • Copia y pega la plantilla de políticas de cliente ICA más reciente según la siguiente tabla:
Tipo de archivo Copiar de Copiar en
  • |–|–|–|
  • receiver.admx Installation Directory\ICA Client\Configuration\receiver.admx %systemroot%\policyDefinitions
    CitrixBase.admx Installation Directory\ICA Client\Configuration\CitrixBase.admx %systemroot%\policyDefinitions
    receiver.adml Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml %systemroot%\policyDefinitions[MUIculture]
    CitrixBase.adml Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml %systemroot%\policyDefinitions[MUIculture]

Nota:

  • Asegúrate de que estás usando los archivos .admx y .adml más recientes incluidos con la aplicación Citrix Workspace para Windows versión 2409 o posterior. Para obtener más detalles de configuración, consulta la documentación de política de grupo.

  • Cierra cualquier instancia de la aplicación Citrix Workspace en ejecución y sal de ella desde la bandeja del sistema.

    • Salir de la bandeja del sistema

Realiza los siguientes pasos para habilitar la configuración de servidor de confianza mediante la plantilla administrativa de objeto de política de grupo:

    1. Abre la plantilla administrativa de objeto de política de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
        1. En el nodo Configuración del equipo, ve a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Enrutamiento de red :
    • Para implementaciones x64, selecciona Configurar la configuración de servidor de confianza en máquinas x64.
    • Para implementaciones x86, selecciona Configurar la configuración de servidor de confianza en máquinas x86.

  • Configurar la configuración de servidor de confianza

      1. Habilita la política seleccionada y selecciona la casilla de verificación Aplicar configuración de servidor de confianza.

  1. En el menú desplegable Zona de Internet de Windows, selecciona De confianza.

    Zona de Internet de Windows

  • Nota:

  • Puedes omitir la selección de opciones de la lista desplegable Dirección.

  1. Haz clic en Aceptar y Aplicar.
  2. Si el mismo usuario que ha iniciado sesión tiene recursos de Citrix publicados, puedes continuar con lo siguiente o iniciar sesión con un usuario diferente.
    1. Abre las Opciones de Internet de Windows y ve a Sitios de confianza > Sitios para agregar una dirección de dominio o un FQDN de VDA.

  • Nota:

  • Puedes agregar un dominio no válido *.test.com o un FQDN de VDA específico no válido o válido para probar la función.

    Opciones de Internet de Windows

  1. Según tus preferencias, cambia a De confianza o Sitios de intranet local según la selección de zona en la Zona de Internet de Windows dentro de la política de configuración de servidor de confianza.

    Para obtener más información, consulta Modificar la configuración de Internet Explorer en la sección Autenticación.

  2. Actualiza la Directiva de grupo en el dispositivo de destino donde está instalada la aplicación Citrix Workspace mediante un símbolo del sistema de administrador o reinicia el sistema.
  3. Asegúrate de que el FQDN interno de StoreFront se agregue a la zona de intranet local o a las zonas de sitios de confianza según la selección de zona en la Zona de Internet de Windows dentro de la política de configuración de servidor de confianza. Para obtener información, consulta Modificar la configuración de Internet Explorer en la sección Autenticación. Además, asegúrate de que, en el caso de los almacenes de Gateway, la URL de Gateway se debe agregar a los sitios de confianza.
  4. Abre la aplicación Citrix Workspace o los recursos publicados y valida la función.

Nota:

Si no has configurado los pasos anteriores, el inicio de la sesión podría fallar y podrías recibir el siguiente mensaje de error:

Error de servidor de confianza

Como solución alternativa, puedes deshabilitar la política Configurar configuración de servidor de confianza en la GPO.

Confianza selectiva del cliente

Además de permitir o impedir las conexiones a los servidores, el cliente también utiliza las regiones para identificar el acceso a archivos, micrófono o cámara web, y el inicio de sesión único (SSO).

Regiones Recursos Nivel de acceso
Internet Archivo, Micrófono, Web Solicitar acceso al usuario, SSO no permitido
Intranet Micrófono, Web Solicitar acceso al usuario, SSO permitido
Sitios restringidos Todos Sin acceso y la conexión podría impedirse
De confianza Micrófono, Web Lectura o escritura, SSO permitido

Cuando el usuario ha seleccionado el valor predeterminado para una región, podría aparecer el siguiente cuadro de diálogo:

Acceso a archivos HDX

Acceso a Citrix Workspace

Acceso a micrófono y cámara web HDX

Los administradores pueden modificar este comportamiento predeterminado creando y configurando las claves de registro de Confianza selectiva del cliente ya sea mediante la Directiva de grupo o en el registro. Para obtener más información sobre cómo configurar las claves de registro de Confianza selectiva del cliente, consulta el artículo de Knowledge Center CTX133565.

Protección de la Autoridad de seguridad local (LSA)

La aplicación Citrix Workspace admite la protección de la Autoridad de seguridad local (LSA) de Windows, que mantiene información sobre todos los aspectos de la seguridad local en un sistema. Este soporte proporciona el nivel LSA de protección del sistema a los escritorios alojados.

Conexión a través de un servidor proxy

Los servidores proxy se utilizan para limitar el acceso a tu red y desde ella, y para gestionar las conexiones entre la aplicación Citrix Workspace para Windows y los servidores. La aplicación Citrix Workspace admite los protocolos SOCKS y de proxy seguro.

Al comunicarse con el servidor, la aplicación Citrix Workspace utiliza la configuración del servidor proxy que se configura de forma remota en el servidor que ejecuta Workspace para web.

Al comunicarse con el servidor web, la aplicación Citrix Workspace utiliza la configuración del servidor proxy configurada a través de la configuración de Internet del navegador web predeterminado en el dispositivo del usuario. Configura la configuración de Internet del navegador web predeterminado en el dispositivo del usuario en consecuencia.

Para aplicar la configuración del proxy a través del archivo ICA en StoreFront, consulta el artículo de Knowledge Center CTX136516.

Compatibilidad con proxy SOCKS5 para EDT

Anteriormente, la aplicación Citrix Workspace solo admitía proxies HTTP que operaban en TCP. Sin embargo, la funcionalidad de proxy SOCKS5 ya era totalmente compatible dentro del Virtual Delivery Agent (VDA). Para obtener más información sobre la compatibilidad con VDA, consulta la documentación de Rendezvous V2.

A partir de la versión 2409, la aplicación Citrix Workspace ahora es compatible con proxies SOCKS5 para Enlightened Data Transport (EDT), lo que mejora la compatibilidad con las configuraciones de red empresariales modernas.

Ventajas clave:

  • Compatibilidad de proxy ampliada: Conéctate sin problemas a través de proxies SOCKS5, ampliamente utilizados por los equipos de redes empresariales por su compatibilidad con el tráfico TCP y UDP.
  • Rendimiento EDT mejorado: Usa todos los beneficios de EDT (basado en UDP) para una transferencia de datos optimizada dentro de las sesiones de la aplicación Citrix Workspace.

Esta función está deshabilitada de forma predeterminada. Para habilitar esta función, haz lo siguiente:

  1. Abre la plantilla administrativa de GPO de la aplicación Citrix Workspace ejecutando gpedit.msc.

  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red > Proxy > Configurar la configuración del proxy del cliente y selecciona los tipos de proxy.

  3. Establece los siguientes parámetros:

    • ProxyType: SocksV5
    • ProxyHost: Especifica la dirección del servidor proxy.

Para obtener más información, consulta la Referencia de configuración de ICA y el artículo del Centro de conocimientos CTX136516.

Asistencia para proxy de salida

SmartControl permite a los administradores configurar y aplicar políticas que afectan al entorno. Por ejemplo, es posible que quieras prohibir a los usuarios asignar unidades a sus escritorios remotos. Puedes lograr esta granularidad usando la función SmartControl en Citrix Gateway.

El escenario cambia cuando la aplicación Citrix Workspace y Citrix Gateway pertenecen a cuentas empresariales separadas. En tales casos, el dominio del cliente no puede aplicar la función SmartControl porque la puerta de enlace no existe en el dominio. Entonces puedes usar el proxy ICA de salida. La función de proxy ICA de salida te permite usar la función SmartControl incluso cuando la aplicación Citrix Workspace y Citrix Gateway se implementan en diferentes organizaciones.

La aplicación Citrix Workspace admite el inicio de sesiones mediante el proxy LAN de NetScaler. Usa el complemento de proxy de salida para configurar un único proxy estático o seleccionar un servidor proxy en tiempo de ejecución.

Puedes configurar proxies de salida usando los siguientes métodos:

  • Proxy estático: El servidor proxy se configura proporcionando un nombre de host de proxy y un número de puerto.
  • Proxy dinámico: Se puede seleccionar un único servidor proxy entre uno o más servidores proxy usando el archivo DLL del complemento de proxy.

Puedes configurar el proxy de salida usando la plantilla administrativa de objeto de directiva de grupo o el editor del Registro.

Para obtener más información sobre el proxy de salida, consulta Asistencia para proxy ICA de salida en la documentación de Citrix Gateway.

Asistencia para proxy de salida - Configuración

Nota:

Si se configuran tanto el proxy estático como el dinámico, la configuración del proxy dinámico tiene prioridad.

Configurar el proxy de salida usando la plantilla administrativa de GPO:

  1. Abre la plantilla administrativa de objeto de directiva de grupo de la aplicación Citrix Workspace ejecutando gpedit.msc.
  2. En el nodo Configuración del equipo, ve a Plantillas administrativas > Citrix Workspace > Enrutamiento de red.
  3. Selecciona una de las siguientes opciones:
    • Para proxy estático: Selecciona la política Configurar el proxy LAN de NetScaler® manualmente. Selecciona Habilitado y luego proporciona el nombre de host y el número de puerto.
    • Para proxy dinámico: Selecciona la política Configurar el proxy LAN de NetScaler usando DLL. Selecciona Habilitado y luego proporciona la ruta completa al archivo DLL. Por ejemplo, C:\Workspace\Proxy\ProxyChooser.dll.
  4. Haz clic en Aplicar y Aceptar.

Configurar el proxy de salida usando el editor del Registro:

  • Para proxy estático:
    • Inicia el editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Crea las claves de valor DWORD de la siguiente manera:

      [[CODE_BLOCK_0]] [[CODE_BLOCK_1]] [[CODE_BLOCK_2]]

  • Para proxy dinámico:

    • Inicia el editor del Registro y navega hasta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Crea las claves de valor DWORD de la siguiente manera: [[CODE_BLOCK_3]] [[CODE_BLOCK_4]]

Conexiones y certificados

Conexiones

  • Almacén HTTP
  • Almacén HTTPS
  • Citrix Gateway 10.5 y versiones posteriores

Certificados

Nota:

La aplicación Citrix Workspace para Windows está firmada digitalmente. La firma digital tiene una marca de tiempo. Por lo tanto, el certificado es válido incluso después de que haya caducado.

  • Privado (autofirmado)
  • Raíz
  • Comodín
  • Intermedio

Certificados privados (autofirmados)

Si existe un certificado privado en la puerta de enlace remota, instala el certificado raíz de la autoridad de certificación de la organización en el dispositivo de usuario que accede a los recursos de Citrix.

Nota:

Si el certificado de la puerta de enlace remota no se puede verificar al establecer la conexión, aparece una advertencia de certificado no fiable. Esta advertencia aparece cuando falta el certificado raíz en el almacén de claves local. Cuando un usuario decide continuar a pesar de la advertencia, las aplicaciones se muestran, pero no se pueden iniciar.

Certificados raíz

Para los equipos unidos a un dominio, puedes usar una plantilla administrativa de objeto de directiva de grupo para distribuir y confiar en los certificados de CA.

Para los equipos no unidos a un dominio, la organización puede crear un paquete de instalación personalizado para distribuir e instalar el certificado de CA. Ponte en contacto con tu administrador de sistemas para obtener asistencia.

Certificados comodín

Los certificados comodín se utilizan en un servidor dentro del mismo dominio.

La aplicación Citrix Workspace admite certificados comodín. Usa certificados comodín siguiendo la política de seguridad de tu organización. Una alternativa a los certificados comodín es un certificado con la lista de nombres de servidor y la extensión Nombre alternativo del sujeto (SAN). Las autoridades de certificación públicas y privadas emiten estos certificados.

Certificados intermedios

Si tu cadena de certificados incluye un certificado intermedio, el certificado intermedio debe adjuntarse al certificado del servidor de Citrix Gateway. Para obtener más información, consulta Configurar certificados intermedios.

Lista de revocación de certificados

La lista de revocación de certificados (CRL) permite a la aplicación Citrix Workspace comprobar si el certificado del servidor ha sido revocado. La comprobación de certificados mejora la autenticación criptográfica del servidor y la seguridad general de la conexión TLS entre el dispositivo de usuario y un servidor.

Puedes habilitar la comprobación de CRL en varios niveles. Por ejemplo, es posible configurar la aplicación Citrix Workspace para que compruebe solo su lista de certificados local o para que compruebe las listas de certificados locales y de red. También puedes configurar la comprobación de certificados para permitir que los usuarios inicien sesión solo si se verifican todas las CRL.

Si estás configurando la comprobación de certificados en tu equipo local, sal de la aplicación Citrix Workspace. Comprueba que todos los componentes de Citrix Workspace, incluido el Centro de conexiones, estén cerrados.

Para obtener más información, consulta la sección Seguridad de la capa de transporte.

Asistencia para mitigar ataques de intermediario

La aplicación Citrix Workspace para Windows te ayuda a reducir el riesgo de un ataque de intermediario (man-in-the-middle) mediante la función Enterprise Certificate Pinning de Microsoft Windows. Un ataque de intermediario es un tipo de ciberataque en el que el atacante intercepta y retransmite mensajes en secreto entre dos partes que creen que se están comunicando directamente entre sí.

Anteriormente, cuando te ponías en contacto con el servidor de la tienda, no había forma de verificar si la respuesta recibida procedía del servidor con el que pretendías contactar o no. Con la función Enterprise Certificate Pinning de Microsoft Windows, puedes verificar la validez y la integridad del servidor anclando su certificado.

La aplicación Citrix Workspace para Windows está preconfigurada para saber qué certificado de servidor debe esperar para un dominio o sitio en particular mediante las reglas de anclaje de certificados. Si el certificado del servidor no coincide con el certificado de servidor preconfigurado, la aplicación Citrix Workspace para Windows impide que se inicie la sesión.

Para obtener información sobre cómo implementar la función Enterprise Certificate Pinning, consulta la documentación de Microsoft.

Nota:

Debes estar al tanto de la caducidad del certificado y actualizar correctamente las directivas de grupo y las listas de confianza de certificados. De lo contrario, es posible que no puedas iniciar la sesión, incluso si no hay ningún ataque.

Comunicaciones seguras
April 16, 2026
Contribución de: 
C
April 16, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.