Documentation produit
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Voir PDF

Accès à distance aux fournisseurs de stockage de clés (KSP) (Préversion)

April 28, 2026
Contributeur: 
C C

Introduction

  • Auparavant, l’accès à distance des opérations cryptographiques d’un VDA Windows vers le serveur FAS était réalisé à l’aide d’une paire de fournisseurs de services cryptographiques (CSP) exécutés sur le VDA :

  • CitrixLogonCsp.dll - pour l’authentification unique (SSO) vers le VDA

  • CitrixVirtualSmartcardCsp.dll - pour les certificats de session

  • Grâce à cette fonctionnalité, l’accès à distance des opérations cryptographiques peut également être réalisé à l’aide d’une paire de KSP :

  • CitrixLogonKsp.dll - pour l’authentification unique (SSO) vers le VDA
  • CitrixVirtualSmartcardKsp.dll - pour les certificats de session

KSP est la dernière méthode pour exposer les opérations cryptographiques aux applications Windows, ce qui offre davantage de capacités. Par exemple :

  • Les certificats avec clés ECC sont pris en charge
  • Le remplissage PSS (Probabilistic Signature Scheme) est pris en charge

Remarque :

  • Il n’est pas possible d’activer les clés ECC sur FAS.

Activer l’accès à distance KSP

L’accès à distance KSP est activé en créant la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Type : string

Valeur : on

  • Le serveur FAS et le logiciel VDA doivent exécuter le logiciel CVAD 2407.

  • L’accès à distance KSP est activé en créant une clé de registre à la fois sur le serveur FAS et sur le VDA.

  • Redémarrez le serveur FAS et le VDA pour que la modification prenne effet.

Si l’une des conditions ci-dessus n’est pas remplie, le VDA revient à l’utilisation de l’accès à distance CSP.

Vérifier si l’accès à distance KSP est activé

Sur le serveur FAS, vous pouvez vérifier si l’accès à distance KSP est activé à l’aide de PowerShell :

Accès à distance KSP activé

Pour vérifier si l’accès à distance KSP a été utilisé pour le SSO du VDA, recherchez l’événement suivant dans le journal d’applications Windows du serveur FAS :

SSO du VDA

L’opération SignHash2 indique l’utilisation de l’accès à distance KSP, tandis que SignHash indique l’accès à distance CSP.

De même, lorsqu’un certificat de session est utilisé pour la cryptographie, tel que l’authentification client TLS, recherchez l’événement suivant sur le serveur FAS :

Événement de cryptographie

Limitations connues

L’accès à distance KSP n’est pris en charge que lorsque FAS est lui-même configuré pour utiliser un KSP. Il s’agit de la configuration par défaut. Si FAS est configuré pour utiliser un CSP, l’accès à distance KSP ne fonctionnera pas.

Le paramètre pertinent est :

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> dans le fichier %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Ici, False indique que FAS est configuré avec un KSP et que, par conséquent, l’accès à distance KSP est pris en charge.

Accès à distance aux fournisseurs de stockage de clés (KSP) (Préversion)
April 28, 2026
Contributeur: 
C C
April 28, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.