Documentation produit
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Gestion des certificats

May 31, 2026
Contributeur: 
C

Présentation

Les connexions directes HDX™ sont sécurisées par un chiffrement au niveau du réseau. Pour ce faire, chaque hôte de session dispose d’un certificat d’autorité de certification racine auto-signé unique et d’un certificat de serveur correspondant, qui est signé par le certificat d’autorité de certification racine auto-signé.

Cette solution offre les avantages suivants :

  • Sécurité simplifiée : Les connexions directes HDX sont sécurisées sans la surcharge administrative liée à la gestion des certificats au sein de l’environnement.
  • Surface d’attaque réduite : La surface d’attaque est limitée à un seul hôte, car chaque hôte dispose d’un ensemble unique de clés et de certificats.
  • Sécurité améliorée pour les environnements non persistants : Dans les environnements avec des hôtes de session non persistants, la sécurité est encore améliorée, car de nouvelles clés et de nouveaux certificats sont générés au redémarrage.

Hôte de session

Le service Citrix ClxMtp et le service Citrix Certificate Manager sont les deux services responsables de la gestion des certificats sur chaque hôte de session. Le service ClxMtp gère la génération et la rotation des clés, tandis que le service Certificate Manager génère et gère les certificats.

Deux certificats sont créés : une autorité de certification racine auto-signée et un certificat de serveur. Les deux sont émis avec une période de validité de deux ans ; cependant, ils sont remplacés lorsque les clés sont renouvelées. De plus, de nouveaux certificats sont générés chaque fois que les machines non persistantes redémarrent.

Les détails de chaque certificat sont les suivants :

  • Autorité de certification racine auto-signée
    • Émis à : CA-Citrix-Certificate-Manager
    • Émis par : CA-Citrix-Certificate-Manager
    • Détails de l’émetteur : L’organisation est Citrix Systems, Inc.
  • Certificat de serveur
    • Émis à : <FQDN de l’hôte> (Par exemple, FTLW11-001.ctxlab.net)
    • Émis par : CA-Citrix-Certificate-Manager
    • Détails de l’émetteur : L’organisation est Citrix Systems, Inc.

REMARQUE :

Le service Citrix Certificate Manager génère des certificats RSA qui utilisent des clés de 2048 bits.

S’il existe un certificat machine créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au FQDN de la machine, un nouveau certificat est généré.

Rotation des clés

Le service Citrix ClxMtp fait pivoter automatiquement les clés tous les six mois. Cependant, vous pouvez déclencher une rotation de clé manuellement en augmentant le compteur de rotation dans le registre de l’hôte de session.

Pour faire pivoter les clés, mettez à jour la valeur suivante :

  • Clé : SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
  • Type de valeur : DWORD
  • Nom de la valeur : ClxMtpRotateRequestCounter
  • Données : entier (Décimal)

REMARQUE :

Pour la première rotation de clé :

  1. Créez la clé ClxMtpConnectorSvcRotateKeyPairs.
  2. Créez et définissez la valeur ClxMtpRotateRequestCounter sur 1.

Pour les rotations de clé ultérieures, augmentez la valeur ClxMtpRotateRequestCounter de 1.

Une fois la valeur mise à jour, le service Citrix ClxMtp fera automatiquement pivoter les clés sans nécessiter de redémarrage. Le service Citrix Certificate Manager générera ensuite automatiquement de nouveaux certificats dès qu’il détectera de nouvelles clés.

Appareil client

Le certificat d’autorité de certification racine est envoyé au client par Workspace ou Storefront™ via le chemin de connexion sécurisé et approuvé déjà établi. Cela élimine la nécessité de distribuer les certificats d’autorité de certification aux magasins de certificats des appareils clients, et garantit que le client fait confiance aux certificats utilisés pour sécuriser la connexion HDX Direct.

Utilisation de certificats personnalisés

HDX Direct prend en charge l’utilisation de certificats émis et gérés par votre propre PKI. Les étapes suivantes décrivent comment installer votre certificat, configurer les autorisations nécessaires, le lier au service de gestionnaire de session et activer les écouteurs TLS requis.

  1. Passez à l’étape 2 si HDX Direct est désactivé sur la machine. Si HDX Direct est activé, suivez les étapes ci-dessous :
    1. Ouvrez l’éditeur de registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    2. Définissez la valeur SSLEnabled sur 0.
    3. Accédez à HKLM\Software\Citrix\HDX-Direct.
    4. Définissez la valeur HdxDirectCaInTls sur 0.

  2. Installez le certificat approprié émis par votre PKI dans le magasin de certificats de la machine.

  3. Accorder au service du gestionnaire de session un accès en lecture aux clés privées du certificat.
    1. Lancez la console de gestion Microsoft (MMC) : Démarrer > Exécuter > mmc.exe.
    2. Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable.
    3. Sélectionnez Certificats, puis cliquez sur Ajouter.
    4. Choisissez Compte d’ordinateur et cliquez sur Suivant.
    5. Sélectionnez Ordinateur local et cliquez sur Terminer.
    6. Accédez à Certificats (ordinateur local) > Personnel > Certificats.
    7. Cliquez avec le bouton droit sur le certificat approprié et sélectionnez Toutes les tâches > Gérer les clés privées.
    8. Ajoutez l’un des services suivants et accordez-lui un accès en lecture :
      • Pour les VDA à session unique : NT SERVICE\PorticaService
      • Pour les VDA à sessions multiples : NT SERVICE\TermService
    9. Cliquez sur Appliquer, puis sur OK.
  4. Lie le certificat au service du gestionnaire de session.
    1. Récupérez l’empreinte numérique du certificat (double-cliquez sur le certificat > Détails > Empreinte numérique).
    2. Ouvrez l’éditeur du Registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    3. Modifiez la valeur SSLThumbprint et collez l’empreinte numérique du certificat.
  5. Activez les écouteurs TLS Citrix.
    1. Au même emplacement de registre, définissez la valeur SSLEnabled sur 1.
  6. Activez HDX Direct (dans la stratégie Citrix).

Le support d’installation de Citrix Virtual Apps and Desktops inclut un script PowerShell (Enable-VdaSSL.ps1) qui automatise plusieurs de ces tâches :

  • Définition des autorisations pour les clés du certificat
  • Liaison du certificat au service du gestionnaire de session
  • Activation des écouteurs TLS Citrix

Ce script se trouve dans le répertoire Support > Tools > SslSupport. Pour plus de détails, consultez Configurer TLS sur un VDA à l’aide du script PowerShell.

REMARQUE :

Les appareils se connectant aux hôtes de session doivent avoir les certificats d’autorité de certification racine et d’autorité de certification intermédiaire corrects installés si vous utilisez vos propres certificats.

Gestion des certificats
May 31, 2026
Contributeur: 
C
May 31, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.