Produktdokumentation
Citrix DaaS™
PDF anzeigen

Sicherheitsschlüssel verwalten

April 6, 2026
Beitrag von: 
C C

Hinweis:

  • Sie müssen diese Funktion in Kombination mit StoreFront™ 1912 LTSR CU2 oder höher verwenden.

  • Die Secure XML-Funktion wird nur auf Citrix ADC und Citrix Gateway Release 12.1 und höher unterstützt.

Mit dieser Funktion können Sie zulassen, dass nur genehmigte StoreFront- und Citrix Gateway-Maschinen mit Citrix Delivery Controllern kommunizieren. Nachdem Sie diese Funktion aktiviert haben, werden alle Anfragen blockiert, die den Schlüssel nicht enthalten. Verwenden Sie diese Funktion, um eine zusätzliche Sicherheitsebene zum Schutz vor Angriffen aus dem internen Netzwerk hinzuzufügen.

Ein allgemeiner Workflow zur Verwendung dieser Funktion ist wie folgt:

  1. Sicherheitsschlüsseleinstellungen in Studio anzeigen. (Verwenden Sie das Remote PowerShell SDK)

  2. Einstellungen für Ihre Bereitstellung konfigurieren. (Verwenden Sie Studio oder das Remote PowerShell SDK).

  3. Einstellungen in StoreFront konfigurieren. (Verwenden Sie PowerShell).

  4. Einstellungen in Citrix ADC konfigurieren.

Einstellungen für Ihre Bereitstellung konfigurieren

Sie können die Einstellungen für Ihre Bereitstellung mithilfe von Studio oder PowerShell konfigurieren.

Studio verwenden

Nachdem Sie die Funktion aktiviert haben, navigieren Sie zu Einstellungen > Site-Einstellungen > Sicherheitsschlüssel verwalten und klicken Sie auf Bearbeiten. Das Blade Sicherheitsschlüssel verwalten wird angezeigt. Klicken Sie auf Speichern, um Ihre Änderungen zu übernehmen und das Blade zu verlassen.

Assistent zum Verwalten von Sicherheitsschlüsseln

Wichtig: - > - > - Es stehen zwei Schlüssel zur Verfügung. Sie können denselben Schlüssel oder verschiedene Schlüssel für die Kommunikation über die XML- und STA-Ports verwenden. Wir empfehlen, jeweils nur einen Schlüssel zu verwenden. Der ungenutzte Schlüssel wird nur für die Schlüsselrotation verwendet.

  • Klicken Sie nicht auf das Aktualisierungssymbol, um den bereits verwendeten Schlüssel zu aktualisieren. Andernfalls kommt es zu einer Dienstunterbrechung.
-  Klicken Sie auf das Aktualisierungssymbol, um neue Schlüssel zu generieren.

-  **Schlüssel für die Kommunikation über den XML-Port erforderlich (nur StoreFront)**. Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den XML-Port erforderlich. StoreFront kommuniziert über diesen Port mit Citrix Cloud. Informationen zum Ändern des XML-Ports finden Sie im Knowledge Center-Artikel [CTX127945](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX127945).

-  **Schlüssel für die Kommunikation über den STA-Port erforderlich**. Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den STA-Port erforderlich. Citrix Gateway und StoreFront kommunizieren über diesen Port mit Citrix Cloud. Informationen zum Ändern des STA-Ports finden Sie im Knowledge Center-Artikel [CTX101988](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX101988).

Nachdem Sie Ihre Änderungen angewendet haben, klicken Sie auf Schließen, um das Blade Sicherheitsschlüssel verwalten zu verlassen.

Remote PowerShell SDK verwenden

Die folgenden PowerShell-Schritte entsprechen den in Studio ausgeführten Operationen.

  1. Führen Sie das Remote PowerShell SDK aus.

  2. Führen Sie in einem Befehlsfenster den folgenden Befehl aus:

    • Add-PSSnapIn Citrix*

      1. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key1 einzurichten:
        • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <der von Ihnen generierte Schlüssel>
  3. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key2 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <der von Ihnen generierte Schlüssel>
  4. Führen Sie einen oder beide der folgenden Befehle aus, um die Verwendung eines Schlüssels zur Authentifizierung der Kommunikation zu aktivieren:
    • Zur Authentifizierung der Kommunikation über den XML-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Zur Authentifizierung der Kommunikation über den STA-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Informationen zur Anleitung und Syntax finden Sie in der PowerShell-Befehlshilfe.

Einstellungen in StoreFront konfigurieren

Nachdem Sie die Einstellungen für Ihre Bereitstellung abgeschlossen haben, müssen Sie die relevanten Einstellungen in StoreFront mithilfe von PowerShell konfigurieren.

-  Führen Sie auf dem StoreFront-Server die folgenden PowerShell-Befehle aus:

Um den Schlüssel für die Kommunikation über den XML-Port zu konfigurieren, verwenden Sie den Befehl Set-STFStoreFarm. Zum Beispiel:

    -  ``` $store = Get-STFStoreService -VirtualPath [Path to store]
    -  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
    -  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
    -  <!--NeedCopy--> ```

    -  Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

    -  `Path to store`
    -  `Resource feed name`
-  `secret`

Um den Schlüssel für die Kommunikation über den STA-Port zu konfigurieren, verwenden Sie die Befehle New-STFSecureTicketAuthority und Set-STFRoamingGateway. Zum Beispiel:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

    -  `Gateway name`
    -  `STA URL`
    -  `Secret`

Informationen zur Anleitung und Syntax finden Sie in der PowerShell-Befehlshilfe.

Einstellungen in Citrix ADC konfigurieren

    -  > **Hinweis:**
    -  > > Die Konfiguration dieser Funktion in Citrix ADC ist nicht erforderlich, es sei denn, Sie verwenden Citrix ADC als Ihr Gateway. Wenn Sie Citrix ADC verwenden, befolgen Sie die nachstehenden Schritte.

    -  1.  Stellen Sie sicher, dass die folgende Voraussetzungskonfiguration bereits vorhanden ist:

    -  Die folgenden Citrix ADC-bezogenen IP-Adressen sind konfiguriert.
    -  Citrix ADC Management-IP-Adresse (NSIP) für den Zugriff auf die Citrix ADC-Konsole. Weitere Informationen finden Sie unter [Konfigurieren der NSIP-Adresse](/de-de/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-citrix-adc-ip-address.html).

    -  ![ADC-Verwaltungs-IP-Adresse](/en-us/citrix-daas/media/adc-management-ip.png)

    -  Subnetz-IP-Adresse (SNIP) zur Ermöglichung der Kommunikation zwischen der Citrix ADC Appliance und den Back-End-Servern. Weitere Informationen finden Sie unter [Konfigurieren von Subnetz-IP-Adressen](/de-de/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-subnet-ip-addresses-snips.html).
    -  Virtuelle IP-Adresse des Citrix Gateways und virtuelle IP-Adresse des Lastausgleichs, um sich bei der ADC Appliance für den Sitzungsstart anzumelden. Weitere Informationen finden Sie unter [Einen virtuellen Server erstellen](/de-de/citrix-adc/current-release/load-balancing/load-balancing-setup.html#creating-a-virtual-server).

    -  ![Subnetz-IP-Adresse](/en-us/citrix-daas/media/adc-subnetip-address.png)

    -  Die erforderlichen Modi und Funktionen in der Citrix ADC Appliance sind aktiviert.
    -  Um die Modi zu aktivieren, navigieren Sie in der Citrix ADC GUI zu **System > Settings > Configure Mode**.
    -  Um die Funktionen zu aktivieren, navigieren Sie in der Citrix ADC GUI zu **System > Settings > Configure Basic Features**.

    -  Zertifikatsbezogene Konfigurationen sind abgeschlossen.
    -  Die Zertifikatsignieranforderung (CSR) ist erstellt. Weitere Informationen finden Sie unter [Ein Zertifikat erstellen](/de-de/citrix-adc/current-release/ssl/ssl-certificates/obtain-cert-frm-cert-auth.html).

    -  ![Ein CSR-Zertifikat erstellen](/en-us/citrix-daas/media/adc-create-rsa-key.png)

    -  Die Server- und CA-Zertifikate sowie Stammzertifikate sind installiert. Weitere Informationen finden Sie unter [Installieren, verknüpfen und aktualisieren](/de-de/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html).

    ![Serverzertifikat installieren](/en-us/citrix-daas/media/adc-install-server-certificate.png)

    -  ![CA-Zertifikat installieren](/en-us/citrix-daas/media/adc-install-ca-certificate.png)

    -  Ein Citrix Gateway wurde für Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) erstellt. Testen Sie die Konnektivität, indem Sie auf die Schaltfläche **Test STA Connectivity** klicken, um zu bestätigen, dass die virtuellen Server online sind. Weitere Informationen finden Sie unter [Einrichten von Citrix ADC für Citrix Virtual Apps and Desktops](/de-de/citrix-adc/current-release/solutions/deploy-xa-xd.html).

    -  ![Gateway für virtuelle Desktops](/en-us/citrix-daas/media/xenapp-xendesktop-wizard.gif)

  1. Eine Rewrite-Aktion hinzufügen. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Aktion.

    1. Navigieren Sie zu AppExpert > Rewrite > Actions.
        1. Klicken Sie auf Add, um eine neue Rewrite-Aktion hinzuzufügen. Sie können die Aktion als „set Type to INSERT_HTTP_HEADER“ benennen.

    Rewrite-Aktion hinzufügen

    1. Wählen Sie unter Type die Option INSERT_HTTP_HEADER aus.
    2. Geben Sie unter Header Name den Wert X-Citrix-XmlServiceKey ein.

    3. Fügen Sie unter Expression den Wert <XmlServiceKey1 value> mit den Anführungszeichen hinzu. Sie können den XmlServiceKey1-Wert aus Ihrer Desktop Delivery Controller™-Konfiguration kopieren.

      • XML-Dienstschlüsselwert
  2. Eine Rewrite-Richtlinie hinzufügen. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Richtlinie.

    1. Navigieren Sie zu AppExpert > Rewrite > Policies.

    2. Klicken Sie auf Add, um eine neue Richtlinie hinzuzufügen.

    Rewrite-Richtlinie hinzufügen

    1. Wählen Sie unter Action die im vorherigen Schritt erstellte Aktion aus.
    2. Fügen Sie unter Expression den Wert HTTP.REQ.IS_VALID hinzu.
    3. Klicken Sie auf OK.

  3. Lastausgleich einrichten. Sie müssen einen virtuellen Lastausgleichsserver pro STA-Server konfigurieren. Andernfalls können die Sitzungen nicht gestartet werden.

    Weitere Informationen finden Sie unter Grundlegenden Lastausgleich einrichten.

    1. Einen virtuellen Lastausgleichsserver erstellen.
      • Navigieren Sie zu Traffic Management > Load Balancing > Servers.
      • Klicken Sie auf der Seite Virtual Servers auf Add.

      Einen Lastausgleichsserver hinzufügen

      • Wählen Sie unter Protocol die Option HTTP aus.
      • Fügen Sie die virtuelle IP-Adresse des Lastausgleichs hinzu und wählen Sie unter Port die Option 80 aus.
      • Klicken Sie auf OK.
    2. Einen Lastausgleichsdienst erstellen.
      • Navigieren Sie zu Traffic Management > Load Balancing > Services.

      Einen Lastausgleichsdienst hinzufügen

      • Wählen Sie unter Existing Server den im vorherigen Schritt erstellten virtuellen Server aus.
      • Wählen Sie unter Protocol die Option HTTP und unter Port die Option 80 aus.
      • Klicken Sie auf OK und dann auf Done.
    3. Den Dienst an den virtuellen Server binden.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Services and Service Groups auf No Load Balancing Virtual Server Service Binding.

      Dienst an einen virtuellen Server binden

      • Wählen Sie unter Service Binding das zuvor erstellte Citrix DaaS™ aus.
      • Klicken Sie auf Bind.
    4. Die zuvor erstellte Rewrite-Richtlinie an den virtuellen Server binden.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Advanced Settings auf Policies und dann im Abschnitt Policies auf +.

      Rewrite-Richtlinie binden

      • Wählen Sie unter Choose Policy die Option Rewrite und unter Choose Type die Option Request aus.
      • Klicken Sie auf Continue.
      • Wählen Sie unter Select Policy die zuvor erstellte Rewrite-Richtlinie aus.
      • Klicken Sie auf Bind.
      • Klicken Sie auf Done.
    5. Richten Sie bei Bedarf die Persistenz für den virtuellen Server ein.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Advanced Settings auf Persistence.

      Persistenz einstellen

      • Wählen Sie als Persistenztyp Others aus.
      • Wählen Sie DESTIP aus, um Persistenzsitzungen basierend auf der IP-Adresse des vom virtuellen Server ausgewählten Dienstes (der Ziel-IP-Adresse) zu erstellen.
      • Fügen Sie unter IPv4 Netmask eine Netzwerkmaske hinzu, die der des DDC entspricht.
      • Klicken Sie auf OK.
    6. Wiederholen Sie diese Schritte auch für den anderen virtuellen Server.

Konfigurationsänderungen, wenn die Citrix ADC Appliance bereits mit Citrix DaaS konfiguriert ist

Wenn Sie die Citrix ADC Appliance bereits mit Citrix DaaS konfiguriert haben, müssen Sie die folgenden Konfigurationsänderungen vornehmen, um die Secure XML-Funktion zu verwenden.

  • Ändern Sie vor dem Sitzungsstart die Security Ticket Authority URL des Gateways, um die FQDNs der virtuellen Lastausgleichsserver zu verwenden.
  • Stellen Sie sicher, dass der Parameter TrustRequestsSentToTheXmlServicePort auf False gesetzt ist. Standardmäßig ist der Parameter TrustRequestsSentToTheXmlServicePort auf False gesetzt. Wenn der Kunde die Citrix ADC jedoch bereits für Citrix DaaS konfiguriert hat, ist TrustRequestsSentToTheXmlServicePort auf True gesetzt.
  1. Navigieren Sie in der Citrix ADC GUI zu Configuration > Integrate with Citrix Products und klicken Sie auf XenApp and XenDesktop®.

  2. Wählen Sie die Gateway-Instanz aus und klicken Sie auf das Bearbeitungssymbol.

    Bestehende Gateway-Konfiguration bearbeiten

  3. Klicken Sie im StoreFront-Bereich auf das Bearbeitungssymbol.

    StoreFront-Details bearbeiten

  4. Fügen Sie die Secure Ticket Authority URL hinzu.
    • Wenn die Secure XML-Funktion aktiviert ist, muss die STA-URL die URL des Lastausgleichsdienstes sein.
    • Wenn die Secure XML-Funktion deaktiviert ist, muss die STA-URL die URL der STA (Adresse des DDC) sein und der Parameter TrustRequestsSentToTheXmlServicePort auf dem DDC muss auf True gesetzt sein.

    STA-URLs hinzufügen

Sicherheitsschlüssel verwalten
April 6, 2026
Beitrag von: 
C C
April 6, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.