Documentation produit
Citrix DaaS
Voir PDF

Gérer les clés de sécurité

September 27, 2024
Contributeur: 
C

Remarque :

  • Vous devez utiliser cette fonctionnalité en conjonction avec StoreFront 1912 LTSR CU2 ou version ultérieure.

  • La fonctionnalité Secure XML n’est prise en charge que sur Citrix ADC et Citrix Gateway version 12.1 et versions ultérieures.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec des Citrix Delivery Controller. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Affichez les paramètres de la clé de sécurité dans Studio. (Utilisez le SDK Remote PowerShell)

  2. Configurez les paramètres de votre déploiement. (Utilisez Studio ou Remote PowerShell SDK).

  3. Configurez les paramètres dans StoreFront. (Utilisez PowerShell).

  4. Configurez les paramètres dans Citrix ADC.

Afficher les paramètres de la clé de sécurité dans Studio

Par défaut, les paramètres des clés de sécurité sont masqués dans Studio. Pour les afficher dans cette interface, utilisez le SDK Remote PowerShell. Pour plus d’informations sur le SDK Remote PowerShell, reportez-vous à la section SDK et API.

Les étapes détaillées sont les suivantes :

  1. Exécutez le SDK Remote PowerShell.
  2. Dans une fenêtre de commandes, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurer les paramètres de votre déploiement

Vous pouvez configurer les paramètres de votre déploiement à l’aide de Studio ou de PowerShell.

Utiliser Studio

Après avoir activé la fonctionnalité, accédez à Paramètres > Gérer la clé de sécurité, puis cliquez sur Modifier. Le panneau Gérer la clé de sécurité s’affiche. Cliquez sur Enregistrer pour appliquer vos modifications et quitter le panneau.

Assistant Gérer la clé de sécurité

Important :

  • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée est utilisée uniquement pour la rotation de la clé.
  • Ne cliquez pas sur l’icône Actualiser pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article Centre de connaissances CTX127945.

Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article Centre de connaissances CTX101988.

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter le panneau Gérer la clé de sécurité.

Utiliser le SDK Remote PowerShell

Voici les étapes PowerShell équivalentes aux opérations effectuées dans Studio.

  1. Exécutez le SDK Remote PowerShell.

  2. Dans une fenêtre de commandes, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez l’une des commandes suivantes ou les deux pour activer l’utilisation d’une clé dans l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir défini les paramètres de votre déploiement, vous devez configurer les paramètres requis dans StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

Pour configurer la clé nécessaire aux communications via le port XML, utilisez la commande Set-STFStoreFarm. Par exemple :

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Entrez les valeurs appropriées pour les paramètres suivants :

  • Path to store
  • Resource feed name
  • secret

Pour configurer la clé des communications via le port STA, utilisez les commandes New-STFSecureTicketAuthority et Set-STFRoamingGateway. Par exemple :

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Entrez les valeurs appropriées pour les paramètres suivants :

  • Gateway name
  • STA URL
  • Secret

Consultez l’aide de la commande PowerShell pour plus d’informations et la syntaxe.

Configurer les paramètres dans Citrix ADC

Remarque :

La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise sauf si vous utilisez Citrix ADC comme passerelle. If you use Citrix ADC, follow the steps below.

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP associées à Citrix ADC suivantes sont configurées.
      • Adresse IP Citrix ADC Management (NSIP) permettant d’accéder à la console Citrix ADC. Pour plus d’informations, consultez la section Configuration de l’adresse NSIP.

      Adresse IP de gestion ADC

      • Adresse IP de sous-réseau (SNIP) permettant la communication entre l’appliance Citrix ADC et les serveurs principaux. Pour plus d’informations, consultez la section Configuration des adresses IP de sous-réseau.
      • Adresse IP virtuelle Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC pour le lancement de session. Pour plus d’informations, consultez la section Créer un serveur virtuel.

      Adresse IP du sous-réseau

    • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
      • Pour activer les modes, dans l’interface graphique Citrix ADC, accédez à Système > Paramètres > Configurer mode.
      • Pour activer les fonctionnalités, dans l’interface graphique Citrix ADC, accédez à Système > Paramètres > Configurer fonctionnalités de base.
    • Les configurations liées aux certificats sont terminées.
      • La demande de signature de certificat (CSR) est créée. Pour plus d’informations, consultez la section Créer un certificat.

      Créer un certificat CSR

      • Les certificats du serveur et de l’autorité de certification ainsi que les certificats racine sont installés. Pour plus d’informations, consultez la section Installer, lier et mettre à jour.

      Installer le certificat du serveur

      Installer un certificat CA

      • Un composant Citrix Gateway a été créé pour Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service). Testez la connectivité en cliquant sur le bouton Tester STA pour vérifier que les serveurs virtuels sont en ligne. Pour plus d’informations, consultez la section Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops.

      Passerelle pour bureaux virtuels

  2. Ajoutez une action de réécriture. Pour plus d’informations, consultez la section Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Réécrire > Actions.
    2. Cliquez sur Add pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Header Name, entrez X-Citrix-XmlServiceKey.
    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 à partir de votre configuration Desktop Delivery Controller.

    Valeur de clé de service XML

  3. Ajoutez une stratégie de réécriture. Pour plus d’informations, consultez la section Configuration d’une stratégie de réécriture.

    1. Accédez à AppExpert > Réécrire > Stratégies.

    2. Cliquez sur Add pour ajouter une nouvelle stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.

  4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne parviennent pas à se lancer.

    Pour plus d’informations, consultez la section Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs.
      • Dans la page Virtual Servers, cliquez sur Add.

      Ajouter un serveur d'équilibrage de charge

      • Dans Protocol, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et sélectionnez 80 dans Port.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Gestion du trafic > Équilibrage de charge > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Existing Server, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocol, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis cliquez sur Done.
    3. Liez le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Services and Service Groups, cliquez sur No Load Balancing Virtual Server Service Binding.

      Lier le service à un serveur virtuel

      • Dans Service Binding, sélectionnez l’instance Citrix DaaS créée précédemment.
      • Cliquez sur Bind.
    4. Liez la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Policies, puis dans la section Policies, cliquez sur +.

      Lier une stratégie de réécriture

      • Dans Choose Policy, sélectionnez Rewrite et, dans Choose Type, sélectionnez Request.
      • Cliquez sur Continuer.
      • Dans Select Policy, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Bind.
      • Cliquez sur Terminé.
    5. Configurez la persistance du serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment, puis cliquez sur Edit.
      • Dans Advanced Settings, cliquez sur Persistence.

      Définir la persistance

      • Sélectionnez Others comme type de persistance.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (adresse IP de destination).
      • Dans IPv4 Netmask, ajoutez un masque de réseau identique à celui du DDC.
      • Cliquez sur OK.
    6. Répétez également ces étapes pour l’autre serveur virtuel.

Modification de la configuration si l’appliance Citrix ADC est déjà configurée avec Citrix DaaS

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix DaaS, pour utiliser la fonctionnalité Secure XML, vous devez apporter les modifications de configuration suivantes.

  • Avant le lancement de la session, modifiez l’URL Security Ticket Authority de la passerelle pour utiliser les noms de domaine complets des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Toutefois, si le client a déjà configuré Citrix ADC pour Citrix DaaS, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique Citrix ADC, accédez à Configuration > Intégrer aux produits Citrix, puis cliquez sur XenApp et XenDesktop.

  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL Secure Ticket Authority.
    • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STAT

Gérer les clés de sécurité
September 27, 2024
Contributeur: 
C
September 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.