Documentation produit
XenApp and XenDesktop
7.15 LTSR
Voir PDF

Gérer les clés de sécurité

May 20, 2026
Contributeur: 
C C

Remarque :

Vous devez utiliser cette fonctionnalité en combinaison avec StoreFront™ 1912 LTSR CU2 ou version ultérieure.

Cette fonctionnalité vous permet d’autoriser uniquement les machines StoreFront et Citrix Gateway approuvées à communiquer avec les contrôleurs de livraison Citrix. Une fois cette fonctionnalité activée, toutes les requêtes qui ne contiennent pas la clé sont bloquées. Utilisez cette fonctionnalité pour ajouter une couche de sécurité supplémentaire afin de vous protéger contre les attaques provenant du réseau interne.

Voici un flux de travail général pour utiliser cette fonctionnalité :

  1. Activez la fonctionnalité dans Studio à l’aide du SDK PowerShell.

  2. Configurez les paramètres dans Studio. (Utilisez la console Studio ou PowerShell).

  3. Configurez les paramètres dans StoreFront. (Utilisez PowerShell).

Activer la fonctionnalité de clé de sécurité

Par défaut, la fonctionnalité est désactivée. Pour l’activer, utilisez le SDK PowerShell distant. Pour plus d’informations sur le SDK PowerShell distant, consultez SDK et API.

Pour activer la fonctionnalité, suivez ces étapes :

  1. Exécutez le SDK PowerShell distant de XenApp et XenDesktop®.
  2. Dans une fenêtre de commande, exécutez les commandes suivantes :
    • Add-PSSnapIn Citrix*. Cette commande ajoute les composants logiciels enfichables Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurer les paramètres dans Studio

Vous pouvez configurer les paramètres dans Studio en utilisant la console Studio ou PowerShell.

Utiliser la console Studio

Après avoir activé la fonctionnalité, accédez à Studio > Configuration > Gérer la clé de sécurité. Vous devrez peut-être cliquer sur Actualiser pour que l’option Gérer la clé de sécurité apparaisse.

La fenêtre Gérer la clé de sécurité apparaît après avoir cliqué sur Gérer la clé de sécurité.

Assistant Gérer la clé de sécurité

Important :

  • Deux clés sont disponibles. Vous pouvez utiliser la même clé ou des clés différentes pour les communications via les ports XML et STA. Nous vous recommandons d’utiliser une seule clé à la fois. La clé inutilisée sert uniquement à la rotation des clés.
  • Ne cliquez pas sur l’icône d’actualisation pour mettre à jour la clé déjà utilisée. Si vous le faites, une interruption de service se produira.

Cliquez sur l’icône d’actualisation pour générer de nouvelles clés.

Exiger une clé pour les communications via le port XML (StoreFront uniquement). Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port XML. StoreFront communique avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port XML, consultez l’article du centre de connaissances CTX127945.

Exiger une clé pour les communications via le port STA. Si cette option est sélectionnée, une clé est requise pour authentifier les communications via le port STA. Citrix Gateway et StoreFront communiquent avec Citrix Cloud via ce port. Pour plus d’informations sur la modification du port STA, consultez l’article du centre de connaissances CTX101988.

Après avoir appliqué vos modifications, cliquez sur Fermer pour quitter la fenêtre Gérer la clé de sécurité.

Utiliser PowerShell

Voici les étapes PowerShell équivalentes aux opérations Studio.

  1. Exécutez le SDK PowerShell distant de XenApp® et XenDesktop.

  2. Dans une fenêtre de commande, exécutez la commande suivante :
    • Add-PSSnapIn Citrix*
  3. Exécutez les commandes suivantes pour générer une clé et configurer Key1 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Exécutez les commandes suivantes pour générer une clé et configurer Key2 :
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Exécutez une ou les deux commandes suivantes pour activer l’utilisation d’une clé lors de l’authentification des communications :
    • Pour authentifier les communications via le port XML :
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Pour authentifier les communications via le port STA :
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans StoreFront

Après avoir terminé la configuration dans Studio, vous devez configurer les paramètres pertinents dans StoreFront à l’aide de PowerShell.

Sur le serveur StoreFront, exécutez les commandes PowerShell suivantes :

  • Pour configurer la clé pour les communications via le port XML, utilisez les commandes Get-STFStoreServie et Set-STFStoreService. Par exemple :
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Pour configurer la clé pour les communications via le port STA, utilisez la commande New-STFSecureTicketAuthority. Par exemple :
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Consultez l’aide de la commande PowerShell pour obtenir des conseils et la syntaxe.

Configurer les paramètres dans Citrix ADC

Remarque :

La configuration de cette fonctionnalité dans Citrix ADC n’est pas requise, sauf si vous utilisez Citrix ADC comme passerelle. Si vous utilisez Citrix ADC, suivez les étapes ci-dessous.

  1. Assurez-vous que la configuration préalable suivante est déjà en place :

    • Les adresses IP suivantes liées à Citrix ADC sont configurées.

      Adresse IP de gestion ADC

      • Adresse IP de sous-réseau (SNIP) pour permettre la communication entre l’appliance Citrix ADC et les serveurs back-end. Pour plus de détails, consultez Configuration des adresses IP de sous-réseau.
      • Adresse IP virtuelle de Citrix Gateway et adresse IP virtuelle de l’équilibreur de charge pour se connecter à l’appliance ADC afin de lancer une session. Pour plus de détails, consultez Créer un serveur virtuel.

      Adresse IP de sous-réseau

    • Les modes et fonctionnalités requis dans l’appliance Citrix ADC sont activés.
      • Pour activer les modes, dans l’interface graphique de Citrix ADC, accédez à System > Settings > Configure Mode.
      • Pour activer les fonctionnalités, dans l’interface graphique de Citrix ADC, accédez à System > Settings > Configure Basic Features.
    • Les configurations liées aux certificats sont terminées.
      • La demande de signature de certificat (CSR) est créée. Pour plus de détails, consultez Créer un certificat.

      Créer un certificat CSR

      • Les certificats de serveur, les certificats d’autorité de certification (CA) et les certificats racine sont installés. Pour plus de détails, consultez Installer, lier et mettre à jour.

      Installer le certificat de serveur

      Installer le certificat CA

      Passerelle pour les postes de travail virtuels

  2. Ajoutez une action de réécriture. Pour plus de détails, consultez Configuration d’une action de réécriture.

    1. Accédez à AppExpert > Réécriture > Actions.
    2. Cliquez sur Ajouter pour ajouter une nouvelle action de réécriture. Vous pouvez nommer l’action « set Type to INSERT_HTTP_HEADER ».

    Ajouter une action de réécriture

    1. Dans Type, sélectionnez INSERT_HTTP_HEADER.
    2. Dans Nom d’en-tête, entrez X-Citrix-XmlServiceKey.
    3. Dans Expression, ajoutez <XmlServiceKey1 value> avec les guillemets. Vous pouvez copier la valeur XmlServiceKey1 de la configuration de votre Desktop Delivery Controller™.

    Valeur de la clé de service XML

  3. Ajoutez une stratégie de réécriture. Pour plus de détails, consultez Configuration d’une stratégie de réécriture.

    1. Accédez à AppExpert > Réécriture > Stratégies.

    2. Cliquez sur Ajouter pour ajouter une nouvelle stratégie.

    Ajouter une stratégie de réécriture

    1. Dans Action, sélectionnez l’action créée à l’étape précédente.
    2. Dans Expression, ajoutez HTTP.REQ.IS_VALID.
    3. Cliquez sur OK.

  4. Configurez l’équilibrage de charge. Vous devez configurer un serveur virtuel d’équilibrage de charge par serveur STA. Sinon, les sessions ne se lanceront pas.

    Pour plus de détails, consultez Configurer l’équilibrage de charge de base.

    1. Créez un serveur virtuel d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Servers.
      • Dans la page Virtual Servers, cliquez sur Add.

      Ajouter un serveur d'équilibrage de charge

      • Dans Protocol, sélectionnez HTTP.
      • Ajoutez l’adresse IP virtuelle d’équilibrage de charge et, dans Port, sélectionnez 80.
      • Cliquez sur OK.
    2. Créez un service d’équilibrage de charge.
      • Accédez à Traffic Management > Load Balancing > Services.

      Ajouter un service d'équilibrage de charge

      • Dans Existing Server, sélectionnez le serveur virtuel créé à l’étape précédente.
      • Dans Protocol, sélectionnez HTTP et dans Port, sélectionnez 80.
      • Cliquez sur OK, puis sur Done.
    3. Lie le service au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Services et groupes de services, cliquez sur Aucune liaison de service de serveur virtuel d’équilibrage de charge.

      Lier un service à un serveur virtuel

      • Dans Liaison de service, sélectionnez le service créé précédemment.
      • Cliquez sur Lier.
    4. Liez la stratégie de réécriture créée précédemment au serveur virtuel.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Stratégies, puis dans la section Stratégies, cliquez sur +.

      Lier la stratégie de réécriture

      • Dans Choisir une stratégie, sélectionnez Réécriture et dans Choisir le type, sélectionnez Requête.
      • Cliquez sur Continuer.
      • Dans Sélectionner une stratégie, sélectionnez la stratégie de réécriture créée précédemment.
      • Cliquez sur Lier.
      • Cliquez sur Terminé.
    5. Configurez la persistance pour le serveur virtuel, si nécessaire.
      • Sélectionnez le serveur virtuel créé précédemment et cliquez sur Modifier.
      • Dans Paramètres avancés, cliquez sur Persistance.

      Définir la persistance

      • Sélectionnez le type de persistance comme Autres.
      • Sélectionnez DESTIP pour créer des sessions de persistance basées sur l’adresse IP du service sélectionné par le serveur virtuel (l’adresse IP de destination)
      • Dans Masque de sous-réseau IPv4, ajoutez le masque de sous-réseau identique à celui du DDC.
      • Cliquez sur OK.
    6. Répétez ces étapes également pour l’autre serveur virtuel.

Modifications de configuration si l’appliance Citrix ADC est déjà configurée avec Citrix Virtual Desktops™

Si vous avez déjà configuré l’appliance Citrix ADC avec Citrix Virtual Desktops, vous devez apporter les modifications de configuration suivantes pour utiliser la fonctionnalité Secure XML.

  • Avant le lancement de la session, modifiez l’URL de l’autorité de ticket de sécurité de la passerelle pour utiliser les FQDN des serveurs virtuels d’équilibrage de charge.
  • Assurez-vous que le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Par défaut, le paramètre TrustRequestsSentToTheXmlServicePort est défini sur False. Cependant, si le client a déjà configuré le Citrix ADC pour Citrix Virtual Desktops, alors TrustRequestsSentToTheXmlServicePort est défini sur True.
  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Intégrer avec les produits Citrix et cliquez sur XenApp et XenDesktop.

  2. Sélectionnez l’instance de passerelle et cliquez sur l’icône de modification.

    Modifier la configuration de la passerelle existante

  3. Dans le volet StoreFront, cliquez sur l’icône de modification.

    Modifier les détails de StoreFront

  4. Ajoutez l’URL de l’autorité de ticket sécurisé.
    • Si la fonctionnalité Secure XML est activée, l’URL STA doit être l’URL du service d’équilibrage de charge.
    • Si la fonctionnalité Secure XML est désactivée, l’URL STA doit être l’URL de STA (adresse du DDC) et le paramètre TrustRequestsSentToTheXmlServicePort sur le DDC doit être défini sur True.

    Ajouter des URL STA

Gérer les clés de sécurité
May 20, 2026
Contributeur: 
C C
May 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.