Conditions préalables à l’installation
Configuration système requise et compatibilité
Configuration requise par l’appareil
L’application Citrix Workspace prend en charge les versions Android 12 et ultérieures.
Pour garantir des résultats optimaux, mettez à jour vos appareils Android vers la dernière version du système d’exploitation.
Vous pouvez démarrer des sessions d’application Citrix Workspace à partir de Workspace pour Web lorsque le navigateur Web est compatible avec Workspace pour Web. Si vous ne parvenez pas à démarrer la session, configurez directement votre compte via l’application Citrix Workspace.
Important :
Si une version Technical Preview de l’application Citrix Workspace pour Android est installée, désinstallez-la avant d’installer la nouvelle version.
Éléments requis sur les serveurs
StoreFront :
-
StoreFront 2.6 ou version ultérieure
Permet d’accéder directement aux magasins StoreFront. L’application Citrix Workspace pour Android prend également en charge les versions antérieures de StoreFront.
-
StoreFront configuré avec un site Workspace pour Web
Permet d’accéder aux magasins StoreFront à partir d’un navigateur Web. Pour prendre connaissance des limitations de ce déploiement, consultez la documentation de StoreFront.
Activez les stratégies de réécriture fournies par Citrix Gateway.
Citrix Virtual Apps and Desktops (l’un des produits suivants) :
- Citrix Virtual Apps 7.5 ou version ultérieure
- Citrix Virtual Apps and Desktops 7.x ou version ultérieure
Connexions et certificats
L’application Citrix Workspace prend en charge les connexions HTTP, HTTPS et ICA-over-TLS à un serveur Citrix Virtual Apps par le biais des configurations suivantes.
Pour les connexions LAN :
- StoreFront 2.6 ou version ultérieure
- Site XenApp Services (anciennement Program Neighborhood Agent).
Pour les connexions à distance sécurisées (l’un des produits suivants) :
Certificats TLS
Lorsque vous sécurisez les connexions distantes à l’aide du protocole TLS, l’appareil mobile effectue les opérations suivantes :
- Authentifie le certificat TLS de la passerelle distante par rapport à un magasin local d’autorités de certification racine approuvées.
- Reconnaît automatiquement les certificats délivrés par des sociétés de distribution (telles que Verisign et Thawte) à condition que le certificat racine de l’autorité de certification existe dans le magasin de clés local.
Certificats privés (auto-signés)
Si vous installez un certificat privé sur la passerelle distante, assurez-vous que le certificat racine de l’autorité de certification de l’organisation est installé sur l’appareil mobile. Cette configuration vous permet d’accéder correctement aux ressources Citrix à l’aide de l’application Citrix Workspace pour Android.
Remarque :
Lorsque vous ne pouvez pas vérifier le certificat de la passerelle lors de la connexion (car le certificat racine n’est pas inclus dans le magasin de clés), un avertissement relatif à un certificat non approuvé s’affiche. Si un utilisateur choisit d’ignorer l’avertissement, une liste des applications s’affiche. Toutefois, les applications ne démarrent pas.
Certificats génériques
Les certificats génériques remplacent les certificats de serveur individuel pour n’importe quel serveur situé dans le même domaine. L’application Citrix Workspace pour Android prend en charge les certificats génériques.
Certificats intermédiaires et Citrix Gateway
Si votre chaîne de certificat contient un certificat intermédiaire, ce dernier doit être ajouté au certificat serveur de Citrix Gateway. Consultez l’article du centre de connaissances qui correspond à votre édition de Citrix Gateway : CTX114146 et CTX124937
Stratégie de validation des certificats de serveur
La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Android est plus stricte.
Important :
Avant d’installer l’application Citrix Workspace pour Android, vérifiez que les certificats sur le serveur ou Citrix Gateway sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :
- la configuration du serveur ou de Citrix Gateway inclut un certificat racine incorrect ;
- la configuration du serveur ou de Citrix Gateway n’inclut pas tous les certificats intermédiaires ;
- la configuration du serveur ou de Citrix Gateway inclut un certificat intermédiaire expiré ou non valide ;
- la configuration du serveur ou de Citrix Gateway inclut un certificat intermédiaire avec signature croisée.
Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Android utilise tous les certificats fournis par le serveur (ou Citrix Gateway). Elle vérifie ensuite également si les certificats sont fiables. Si les certificats ne sont pas tous approuvés, la connexion échoue.
Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.
Le serveur (ou Citrix Gateway) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion à l’application Citrix Workspace pour Android.
Supposons qu’un Citrix Gateway soit configuré avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte. Ils peuvent appliquer une validation plus stricte en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Android :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
- « Certificat racine exemple »
L’application Citrix Workspace pour Android vérifie ensuite si tous ces certificats sont valides. L’application Citrix Workspace pour Android vérifie également qu’elle fait déjà confiance à « Certificat racine exemple ». Si l’application Citrix Workspace pour Android ne fait pas confiance à « Certificat racine exemple », la connexion échoue.
Important
Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur.
Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul le certificat « DigiCert Baltimore Root »/« Baltimore CyberTrust Root » est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions à l’application Citrix Workspace pour Android sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine peut être utilisé. Notez également que les certificats racine finissent par expirer, comme tous les certificats.
Remarque :
Certains serveurs et Citrix Gateway n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.
Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, sans certificat racine, est généralement recommandée :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
L’application Citrix Workspace pour Android utilise ces deux certificats. Elle recherche ensuite un certificat racine sur la machine utilisateur. Si elle en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Android a besoin, mais permet également à l’application Citrix Workspace pour Android de choisir un quelconque certificat racine valide et approuvé.
Supposons maintenant qu’un Citrix Gateway soit configuré avec ces certificats :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
- « Certificat racine incorrect »
L’application Citrix Workspace pour Android lit le mauvais certificat racine et la connexion échoue.
Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, le Citrix Gateway est généralement configuré avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple 1 »
- « Certificat intermédiaire exemple 2 »
Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée. Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent. Dans ce cas, il y a au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée Verisign Class 3 Public Primary Certification Authority - G5 correspondant.
Toutefois, un certificat racine antérieur « Verisign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.
Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Délivré à). Cependant le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Délivré par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).
Cette configuration, sans certificat racine et sans certificat intermédiaire avec signature croisée, est généralement recommandée :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
Évitez de configurer le Citrix Gateway de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraîne la sélection du certificat racine antérieur :
- « Certificat de serveur exemple »
- « Certificat intermédiaire exemple »
- « Certificat intermédiaire croisé exemple » [non recommandé]
Il n’est pas recommandé de configurer Citrix Gateway avec le certificat de serveur uniquement :
- « Certificat de serveur exemple »
Lorsque l’application Citrix Workspace pour Android ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.