Comunicación remota con proveedores de almacenamiento de claves (KSP) (Technical Preview)
Introducción
Anteriormente, la comunicación remota para las operaciones criptográficas desde un VDA de Windows al servidor de FAS se realizaba mediante un par de proveedores de servicios criptográficos (CSP) que se ejecutaban en el VDA:
-
CitrixLogonCsp.dll
: Para el inicio de sesión único (SSO) en el VDA -
CitrixVirtualSmartcardCsp.dll
: Para certificados de sesión
Con esta función, la operación criptográfica remota también se puede lograr mediante un par de KSP:
-
CitrixLogonKsp.dll
: Para SSO en el VDA -
CitrixVirtualSmartcardKsp.dll
: Para certificados de sesión
KSP es la forma más reciente de exponer las operaciones criptográficas a las aplicaciones de Windows, lo que ofrece una mayor funcionalidad. Por ejemplo:
- Se admiten certificados con claves ECC
- Se admite el relleno del esquema de firma probabilística (PSS)
Nota:
No hay forma de habilitar las claves ECC en FAS.
Habilitar la comunicación remota con KSP
La comunicación remota con KSP se habilita mediante la creación de la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature
Tipo: string
Valor: on
-
Tanto el servidor de FAS como el software del VDA deben ejecutar el software CVAD 2407.
-
La comunicación remota de KSP se habilita mediante la creación de una clave de registro tanto en el servidor de FAS como en el VDA.
-
Reinicie el servidor de FAS y el VDA para que el cambio surta efecto.
Si no se cumple alguna de las condiciones anteriores, el VDA recurre a la comunicación remota con CSP.
Verificar si la comunicación remota con KSP está activada
En el servidor de FAS, puede comprobar si la comunicación remota con KSP está activada mediante PowerShell:
Para comprobar si se ha usado la comunicación remota con KSP para SSO en el VDA, busque el siguiente evento en el registro de aplicaciones de Windows del servidor de FAS:
La operación SignHash2
indica el uso de la comunicación remota con KSP, mientras que SignHash
indica la comunicación remota con CSP.
Del mismo modo, cuando se usa un certificado de sesión para la criptografía, como la autenticación de un cliente TLS, busque el siguiente evento en el servidor de FAS:
Limitaciones conocidas
La comunicación remota con KSP solo se admite cuando el propio FAS está configurado para usar un KSP. Esta es la configuración predeterminada. Si FAS está configurado para usar un CSP, la comunicación remota con KSP no funcionará.
El parámetro relevante es:
<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" />
en el archivo %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config
Aquí, False
indica que FAS está configurado con un KSP y, por lo tanto, se admite la comunicación remota con KSP.