Citrix Virtual Apps and Desktops Service

Verwalten von Sicherheitsschlüsseln

Hinweis:

Sie müssen dieses Feature in Kombination mit StoreFront 1912 LTSR CU2 oder höher verwenden.

Mit diesem Feature können nur genehmigte StoreFront- und Citrix Gateway-Maschinen mit Citrix Cloud kommunizieren. Nachdem Sie das Feature aktiviert haben, werden alle Anforderungen ohne Schlüssel blockiert. Verwenden Sie diese Funktion, um eine zusätzliche Sicherheitsebene zum Schutz vor Angriffen aus dem internen Netzwerk hinzuzufügen.

Ein allgemeiner Workflow zur Verwendung des Features ist folgender:

  1. Aktivieren Sie das Feature in Studio per PowerShell-SDK.

  2. Konfigurieren Sie die Einstellungen in Studio. (Verwenden Sie die Studio-Konsole oder PowerShell.)

  3. Konfigurieren Sie die Einstellungen in StoreFront. (Verwenden Sie die StoreFront-Konsole oder PowerShell.)

Aktivieren Sie das Sicherheitsschlüsselfeature

Standardmäßig ist das Feature deaktiviert. Verwenden Sie das Remote PowerShell SDK, um das Feature zu aktivieren. Weitere Informationen zum Remote PowerShell SDK finden Sie unter SDKs und APIs.

Führen Sie folgende Schritte aus, um das Feature zu aktivieren:

  1. Führen Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK aus.
  2. Führen Sie in einem Befehlsfenster die folgenden Befehle aus:
    • Add-PSSnapIn Citrix*. Mit diesem Befehl werden die Citrix Snap-Ins hinzugefügt.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Konfigurieren von Einstellungen in Studio

Sie können Einstellungen in Studio über die Studio-Konsole oder PowerShell konfigurieren.

Verwenden der Studio-Konsole

Wenn Sie das Feature aktiviert haben, navigieren Sie zu Studio > Konfiguration > Sicherheitsschlüssel verwalten. Möglicherweise müssen Sie auf Aktualisieren klicken, damit die Option Sicherheitsschlüssel verwalten angezeigt wird.

Nachdem Sie auf Sicherheitsschlüssel verwaltengeklickt haben, wird das Fenster Sicherheitsschlüssel verwalten angezeigt.

Assistent "Sicherheitsschlüssel verwalten"

Wichtig:

  • Es stehen zwei Schlüssel zur Verfügung. Sie können für die Kommunikation über den XML- und den STA-Port denselben oder verschiedene Schlüssel verwenden. Wir empfehlen, dass Sie jeweils nur einen Schlüssel verwenden. Der nicht verwendete Schlüssel dient nur zur Schlüsselrotation.
  • Klicken Sie nicht auf das Aktualisierungssymbol, um den bereits verwendeten Schlüssel zu aktualisieren. Dies führt zu einer Dienstunterbrechung.

Klicken Sie auf das Aktualisierungssymbol, um neue Schlüssel zu generieren

Schlüssel für Kommunikation über XML-Port erforderlich (nur StoreFront). Ist diese Option aktiviert, dann ist ein Schlüssel erforderlich, um die Kommunikation über den XML-Port zu authentifizieren. StoreFront kommuniziert über diesen Port mit dem Delivery Controller. Informationen zum Ändern des XML-Ports finden Sie im Knowledge Center-Artikel CTX127945.

Schlüssel für die Kommunikation über den STA-Port erforderlich. Ist diese Option aktiviert, dann ist ein Schlüssel erforderlich, um die Kommunikation über den STA-Port zu authentifizieren. Citrix Gateway kommuniziert über diesen Port mit dem Delivery Controller. Informationen zum Ändern des STA-Ports finden Sie im Knowledge Center-Artikel CTX101988.

Nachdem Sie die Änderungen übernommen haben, klicken Sie auf Schließen, um das Fenster Sicherheitsschlüssel verwalten zu schließen.

Verwenden von PowerShell

Nachfolgend sind die den Studio-Vorgängen entsprechenden PowerShell-Schritte aufgeführt.

  1. Führen Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK aus.

  2. Führen Sie in einem Befehlsfenster folgenden Befehl aus:
    • Add-PSSnapIn Citrix*
  3. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key1 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key2 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Führen Sie einen oder beide der folgenden Befehle aus, um die Verwendung eines Schlüssels bei der Authentifizierung der Kommunikationen zu aktivieren:
    • Zum Authentifizieren der Kommunikation über den XML-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Zum Authentifizieren der Kommunikation über den STA-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Anleitungen und Informationen zur Syntax finden Sie in der Hilfe zu PowerShell-Befehlen.

Konfigurieren von Einstellungen in StoreFront

Nach Abschluss der Konfiguration in Studio müssen Sie relevante Einstellungen in StoreFront konfigurieren. Sie können dies über die StoreFront-Konsole oder PowerShell tun.

Verwenden der StoreFront-Konsole

Verwendung des Schlüssels zum Authentifizieren der Kommunikation über den XML-Port:

  1. Kopieren Sie den Schlüssel, den Sie in Studio generiert haben.

  2. Wählen Sie XML-Dienstendpunkt überprüfen, wenn Sie den Delivery Controller zum Store hinzufügen.

    XML-Dienstendpunkt überprüfen

  3. Fügen Sie den Schlüssel in das Feld Gemeinsamer geheimer Schlüssel ein.

Verwendung des Schlüssels zum Authentifizieren der Kommunikation über den STA-Port:

  1. Kopieren Sie den Schlüssel, den Sie in Studio generiert haben.

  2. Wählen Sie STA-Endpunktvalidierung aktivieren, wenn Sie die Secure Ticket Authority hinzufügen.

    STA-Endpunktvalidierung aktivieren

  3. Fügen Sie den Schlüssel in das Feld Gemeinsamer geheimer Schlüssel ein.

Weitere Informationen zur XML- und STA-Authentifizierung finden Sie unter StoreFront-Dokumentation.

Verwenden von PowerShell

Führen Sie auf dem StoreFront-Server die folgenden PowerShell-Befehle aus:

  • Um den Schlüssel für die Kommunikation über den XML-Port zu konfigurieren, verwenden Sie die Befehle Get-STFStoreServie und Set-STFStoreService. Beispiel:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Um den Schlüssel für die Kommunikation über den STA-Port zu konfigurieren, verwenden Sie den Befehl New-STFSecureTicketAuthority. Beispiel:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Anleitungen und Informationen zur Syntax finden Sie in der Hilfe zu PowerShell-Befehlen.

Verwalten von Sicherheitsschlüsseln