ICA File Signing
StoreFront ofrece la opción de firmar digitalmente los archivos ICA para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Cuando la firma de archivos está habilitada en StoreFront, el archivo ICA que se genera cuando un usuario inicia una aplicación se firma mediante un certificado procedente del almacén de certificados personales del servidor de StoreFront. Los archivos ICA pueden firmarse con cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor de StoreFront. Los clientes que no admiten la función o que no están configurados para ICA File Signing ignoran la firma digital. Si el proceso de firma falla, el archivo ICA se genera sin firma digital y se envía a la aplicación Citrix Workspace, cuya configuración determina si se acepta el archivo sin firmar.
Los certificados deben incluir la clave privada y encontrarse en el período de validez para que puedan utilizarse con ICA File Signing en StoreFront. Si el certificado contiene una extensión de uso de clave, esto debe permitir que la clave se use para firmas digitales. Cuando se incluye una extensión de uso mejorado de clave, se debe configurar con firma de código o autenticación del servidor.
Para utilizar la función ICA File Signing, Citrix recomienda el uso de un certificado de firma de código o firma SSL obtenido de una entidad de certificación pública o de la entidad de certificados privada de su organización. Si no puede obtener un certificado adecuado de una entidad de certificación, puede utilizar un certificado SSL existente, como un certificado de servidor, o crear un nuevo certificado de entidad de certificación raíz y distribuirlo a los dispositivos de los usuarios.
De forma predeterminada, la función ICA File Signing está inhabilitada. Para habilitar la función ICA File Signing, debe instalar un certificado y configurar el almacén para usar ese certificado. La firma del archivo ICA no tiene ningún efecto a menos que también configure la aplicación Citrix Workspace para Windows para que requiera un certificado. Para obtener más información, consulte ICA File Signing.
Nota:
Las consolas de StoreFront y PowerShell no pueden estar abiertas a la vez. Cierre siempre la consola de administración de StoreFront antes de usar la consola de PowerShell para administrar la configuración de StoreFront. Asimismo, cierre todas las instancias de PowerShell antes de abrir la consola de StoreFront.
-
En el servidor StoreFront, abra Administrar certificados de equipo.
-
Agregue su certificado al almacén de certificados de Citrix Delivery Services.
-
Abra el certificado, vaya a la ficha Detalles y registre la huella digital.
-
Habilite la firma para un almacén mediante el cmdlet Set-STFStoreService de PowerShell:
$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] $certificate = Get-DSCertificate "[certificatethumbprint]" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” <!--NeedCopy-->
Donde [certificatethumbprint] es el resultado (o huella digital) de los datos del certificado generado por el algoritmo hash.
Si quiere utilizar un algoritmo hash que no sea SHA-1, agregue el parámetro -IcaFileSigningHashAlgorithm establecido en sha256, sha384 o sha512, según sea necesario.