Signature de fichier ICA
StoreFront permet de signer numériquement les fichiers ICA afin que les versions de l’application Citrix Workspace qui prennent en charge cette fonctionnalité puissent vérifier que le fichier provient d’une source approuvée. Lorsque la signature des fichiers est activée dans StoreFront, le fichier ICA généré quand un utilisateur lance une application est signé à l’aide d’un certificat provenant du magasin de certificats personnels du serveur StoreFront. Les fichiers ICA peuvent être signés en utilisant n’importe quel algorithme de hachage pris en charge par le système d’exploitation exécuté sur le serveur StoreFront. La signature numérique est ignorée par les clients qui ne prennent pas en charge cette fonctionnalité ou qui ne sont pas configurés pour la signature de fichier ICA. Si la procédure de signature échoue, le fichier ICA est généré sans signature numérique puis envoyé à l’application Citrix Workspace, dont la configuration détermine si le fichier non signé sera accepté ou non.
Pour pouvoir être utilisés pour la signature de fichier ICA avec StoreFront, les certificats doivent inclure la clé privée et se situer dans la période de validité autorisée. Si le certificat contient une extension d’utilisation de la clé, celle-ci doit permettre l’utilisation de la clé pour les signatures numériques. Si une extension d’utilisation de la clé prolongée est incluse, elle doit être définie sur la signature de code ou l’authentification de serveur.
Pour la signature de fichier ICA, Citrix vous recommande d’utiliser un certificat de signature de code ou SSL que vous pouvez vous procurer auprès d’une autorité de certification publique ou de l’autorité de certification publique de votre organisation. Si vous ne parvenez pas à obtenir un certificat approprié auprès d’une autorité de certification, vous pouvez utiliser un certificat SSL existant, par exemple un certificat de serveur ou créer un nouveau certificat racine d’autorité de certification et le distribuer sur les périphériques des utilisateurs.
La signature de fichier ICA est désactivée par défaut. Pour activer la signature de fichier ICA, vous devez installer un certificat et configurer le magasin de façon à utiliser ce certificat. La signature de fichier ICA n’a aucun effet, sauf si vous configurez également l’application Citrix Workspace pour Windows de manière à exiger un certificat. Pour plus d’informations, consultez la section Signature de fichier ICA.
Remarque :
Les consoles StoreFront et PowerShell ne peuvent pas être ouvertes en même temps. Fermez toujours la console d’administration StoreFront avant d’utiliser la console PowerShell pour administrer votre configuration StoreFront. De même, fermez toutes les instances de PowerShell avant d’ouvrir la console StoreFront.
-
Sur votre serveur StoreFront, ouvrez Gérer les certificats informatiques.
-
Ajoutez votre certificat au magasin de certificats Citrix Delivery Services.
-
Ouvrez le certificat, accédez à l’onglet Détails et enregistrez l’empreinte numérique.
-
Activez la signature pour un magasin à l’aide de l’applet de commande PowerShell Set-STFStoreService :
$storeService = Get-STFStoreService Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint] $certificate = Get-DSCertificate "[certificatethumbprint]" Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” <!--NeedCopy-->
Où [certificatethumbprint] est le condensé (ou empreinte numérique) des données de certificat produites par l’algorithme de hachage.
Si vous souhaitez utiliser un algorithme de hachage autre que SHA-1, ajoutez un paramètre -IcaFileSigningHashAlgorithm défini sur sha256, sha384 ou sha512, selon les besoins.