Installer, configurer et mettre à disposition des applications avec Citrix XenApp 7.6

7. Sécurisation de StoreFront (HTTPS)

Pour le moment, StoreFront fonctionne en HTTP (non sécurisé) au lieu de HTTPS (sécurisé).
Pour sécuriser StoreFront, il suffit de sécuriser le serveur web IIS avec un certificat valide.
Ce qui implique 4 conditions :

  1. le certificat ne doit pas être autosigné
  2. le certificat doit être signé par une autorité de certification reconnue par l'ordinateur client
  3. les listes de révocation de certificats doivent être accessibles.
  4. le certificat ne doit pas être révoqué (c'est logique)

Si vous souhaitez créer une autorité de certification racine sur votre réseau local, suivez ceci : Windows Server 2012 / 2012 R2 - Créer une autorité de certification racine d'entreprise (Root CA)
Si vous utilisez votre propre autorité de certification racine pour signer votre certificat, vous devrez importer le certificat de votre autorité, dans les autorités de certification racine de confiance des ordinateurs clients.
Pour cela, vous avez 2 possibilités :
- le faire manuellement : Importer un certificat (d'une autorité de certification racine) dans les certificats de confiance de Windows
- lier l'ordinateur client à l'Active Directory pour le faire automatiquement via les GPO : Distribuer le certificat de l'autorité aux clients de l'Active Directory

Si vous utilisez un certificat signé par Symantec SSL, GeoTrust ou une autre autorité de certification reconnue par tout le monde, vous n'aurez aucun problème de certificat.

Pour demander un certificat à votre autorité de certification, commencez par lancer le "Gestionnaire des services Internet (IIS)".
Cliquez sur le nom de votre serveur et allez dans "Certificats de serveur".

Cliquez sur "Créer une demande de certificat" dans la colonne de droite.

L'information qui sera vérifiée pour ce certificat est le nom commun. Dans ce cas-ci, il s'agit du nom de domaine du serveur où vous avez installé StoreFront.
Pour les autres informations, indiquez, de préférence, les informations réelles.

Si vous envoyez cette demande à une autorité de certification officiellement reconnue, vous devrez utiliser obligatoirement les vraies informations.

Choisissez la bonne taille pour la clé de chiffrement. Par défaut, IIS sélectionne la longueur 1024 bits.
Néanmoins, notre autorité de certification racine que nous avons créée, demande une clé de 2048 bits.

Enregistrer cette demande dans un fichier ".txt".

Si vous ouvrez ce fichier, vous verrez que votre demande de certificat a été encodée en base 64.

Allez sur le site de l'autorité de certification que vous souhaitez, et collez cette demande sur leur site.

Dans notre cas, nous allons nous connecter à l'interface web de notre autorité de certification.
Nous utilisons le compte Administrateur de notre domaine.

Sur cette page, cliquez sur "Demander un certificat".

Puis : demande de certificat avancée.

Et enfin, cliquez sur le dernier lien (Soumettez une demande en utilisant un fichier PKCS #7 codé en base 64).

Collez la demande dans la case et sélectionnez le modèle à utiliser. Dans notre cas, nous avions dupliqué le modèle "Serveur Web" en "Serveur Web IW".

Internet Explorer vous avertira que ce site web tente d'effectuer une opération numérique en votre nom. Cliquez sur "Oui".

Et enfin, téléchargez le certificat.
Note : La chaine de certificats servirait si vous aviez créé une autorité de certification secondaire.

Si vous ouvrez ce certificat, vous verrez qu'il a été délivré à "nom commun indiqué lors de la demande" et délivré par "Autorité qui a signé votre certificat".

Retournez dans le gestionnaire des services Internet (IIS) et cliquez sur "Terminer la demande de certificat".

Sélection le certificat que vous venez de créer (ou de recevoir de la part d'une autorité de certification).
Indiquez un nom (peu importe lequel) et sélectionnez Hébergement Web (ce choix n'influence pas le fonctionnement du certificat).

Votre certificat apparaitra dans la liste des certificats du serveur.

Maintenant, sélectionnez le "Default Web Site" et cliquez sur "Liaisons" dans la colonne de droite.

Cliquez sur "Ajouter".

Sélectionnez "Type : https" et sélectionnez votre certificat SSL dans la liste.

Redémarrez le serveur IIS.

N'oubliez pas de changer l'url de base de StoreFront en allant dans "Citrix StoreFront -> Groupe de serveurs -> Changer l'URL de base".
Ajoutez un "s" pour que l'url commence par "https://".

Notes :
- Si vous ne changez pas le protocole "http" en "https", l'interface web indiquera l'url en "http" dans le fichier de configuration. Et Citrix Receiver considèrera le certificat SSL comme invalide (c'est normal, puisque le protocole http n'utilise pas de certificat).
- Citrix Receiver requiert le protocole "https" pour fonctionner.

Maintenant, Citrix Studio vous affiche que StoreFront utilise le protocole HTTPS.

8. Installation et test du client : Citrix Receiver

Pour télécharger et installer Citrix Receiver :
- soit, vous le téléchargez depuis le site de Citrix
- soit, vous le téléchargez depuis le serveur StoreFront (utilisez l'adresse terminant par "StoreWeb" et non par "Store").
Par défaut : https://xenapp.informatiweb.lan/Citrix/StoreWeb

Sur la page de StoreFront, cochez la case et cliquez sur "Installer".

Note : si votre navigateur web affiche une erreur concernant le certificat SSL du serveur, vérifiez que :
- le certificat SSL utilisé émane bien d'une autorité de certification reconnue
- ou le certificat de votre autorité de certification se trouve bien dans les autorités de certification de confiance de Windows, si vous utilisez un certificat SSL de votre autorité de certification.

IMPORTANT : si votre navigateur web affiche une erreur concernant le certificat SSL du serveur, l'accès aux applications et aux bureaux virtuels depuis Citrix Receiver ne fonctionnera pas.

Comme vous pouvez le voir, le programme est téléchargé depuis votre serveur.

Installez Citrix Receiver.

Cliquez sur "Ajouter un compte".

Puis, indiquez l'adresse "https" de votre serveur StoreFront.

Connectez-vous avec un utilisateur de l'Active Directory.
De préférence, un utilisateur autorisé à utiliser les applications et / ou bureaux publiés.

Cliquez sur "Oui".

Citrix Receiver est configuré.

Pour accéder aux applications publiées (celles que vous pouvez utiliser), cliquez sur le +.

Cliquez sur les applications et / ou bureaux pour ajouter des raccourcis dans Citrix Receiver.

Et tentez de lancer des applications.

Si vous allez dans le gestionnaire des tâches du serveur où vous avez installé le Virtual Delivery Agent, vous verrez qu'une session (avec votre nom d'utilisateur Active Directory) est ouverte et qu'elle utilise les applications que vous avez lancées.
Cela vous prouve que ces applications tournent sur le serveur et non sur le client.

9. Test du multi-sessions sur une machine Windows Server

Si vous avez installé le Virtual Delivery Agent sur une machine sous Windows Server, vous pourrez ouvrir plusieurs sessions en même temps.
Pour cela, nous avons lancé le "Bloc-notes" et "Paint" avec l'utilisateur "InformatiUser".

Ainsi que les applications "WordPad" et "Bloc-notes" avec le compte "Lionel".

En retournant sur le serveur, nous voyons que ces 2 sessions sont ouvertes sur le même serveur et que chaque utilise des applications de ce serveur.

Note : L'utilisateur "Administrateur" est connecté localement pour vous montrer cette information. Cela dit, inutile de vous connecter localement pour que le serveur fonctionne correctement.

A voir également

Commentaires

Afficher le commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.