Produktdokumentation
Citrix Virtual Apps and Desktops 7 2203 LTSR
PDF anzeigen

Transport Layer Security (TLS) auf dem Universal Print Server

June 5, 2026
Beitrag von: 
C

Das Transport Layer Security (TLS)-Protokoll wird für TCP-basierte Verbindungen zwischen dem Virtual Delivery Agent (VDA) und dem Universal Print Server unterstützt.

Warnung:

Bei Aufgaben, die die Arbeit in der Windows-Registrierung umfassen – eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Arten von Druckverbindungen zwischen dem VDA und dem Universal Print Server

Klartextverbindungen

Die folgenden druckbezogenen Verbindungen stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Deaktiviert (Standard) gesetzt ist.

  • Klartext-Druck-Webdienstverbindungen (TCP-Port 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (TCP-Port 7229)

Der Microsoft-Supportartikel Dienstübersicht und Netzwerkanforderungen für Windows beschreibt die vom Microsoft Windows-Druckspoolerdienst verwendeten Ports. Die SSL/TLS-Einstellungen in diesem Dokument gelten nicht für die NETBIOS- und RPC-Verbindungen, die vom Windows-Druckspoolerdienst hergestellt werden. Der VDA verwendet den Windows Network Print Provider (win32spl.dll) als Fallback, wenn die Richtlinieneinstellung Universal Print Server aktivieren auf Aktiviert mit Fallback auf Windows’ native Remotedruckfunktion gesetzt ist.

Sicherer Universal Print Server

Verschlüsselte Verbindungen

Diese druckbezogenen SSL/TLS-Verbindungen stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Aktiviert gesetzt ist.

  • Verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443)
  • Verschlüsselte Druckdatenstrom (CGP)-Verbindungen (TCP-Port 443)

Universeller Druckserver sicher 2

SSL/TLS-Clientkonfiguration

Der VDA fungiert als SSL/TLS-Client.

Verwenden Sie die Microsoft Gruppenrichtlinie und die Registrierung, um Microsoft SCHANNEL SSP für verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443) zu konfigurieren. Der Microsoft-Supportartikel TLS-Registrierungseinstellungen beschreibt die Registrierungseinstellungen für Microsoft SCHANNEL SSP.

Verwenden Sie den Gruppenrichtlinien-Editor auf dem VDA (Windows Server 2016 oder Windows 10) und navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > SSL-Chiffre-Suite-Reihenfolge. Wählen Sie die folgende Reihenfolge aus:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Hinweis:

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, wählt der VDA eine Chiffre-Suite für verschlüsselte Druck-Webdienstverbindungen (Standardport: 8443) nur dann aus, wenn die Verbindungen in beiden SSL-Chiffre-Suite-Listen erscheinen:

  • Gruppenrichtlinien-SSL-Chiffre-Suite-Reihenfolgeliste
  • Liste, die der ausgewählten SSL-Chiffre-Suite-Richtlinieneinstellung (COM, GOV oder ALL) entspricht

Diese Gruppenrichtlinienkonfiguration wirkt sich auch auf andere TLS-Anwendungen und -Dienste auf dem VDA aus. Wenn Ihre Anwendungen bestimmte Chiffre-Suiten erfordern, müssen Sie diese möglicherweise zu dieser Gruppenrichtlinien-Chiffre-Suite-Reihenfolgeliste hinzufügen.

Wichtig:

Gruppenrichtlinienänderungen für die TLS-Konfiguration werden erst nach einem Neustart des Betriebssystems wirksam.

Verwenden Sie eine Citrix-Richtlinie, um SSL/TLS-Einstellungen für verschlüsselte Druckdatenstrom- (CGP-) Verbindungen (TCP-Port 443) zu konfigurieren.

SSL/TLS-Serverkonfiguration

Der Universal Print Server fungiert als SSL/TLS-Server.

Verwenden Sie das Enable-UpsSsl.ps1 PowerShell-Skript, um die SSL/TLS-Einstellungen zu konfigurieren.

Installieren des TLS-Serverzertifikats auf dem Universal Print Server

Für HTTPS unterstützt der Universal Print Server TLS-Funktionen mithilfe von Serverzertifikaten. Clientzertifikate werden nicht verwendet. Verwenden Sie Microsoft Active Directory-Zertifikatdienste oder eine andere Zertifizierungsstelle, um ein Zertifikat für den Universal Print Server anzufordern.

Beachten Sie die folgenden Punkte, wenn Sie ein Zertifikat mit Microsoft Active Directory-Zertifikatdiensten registrieren/anfordern:

  1. Legen Sie das Zertifikat im Zertifikatspeicher Persönlich des lokalen Computers ab.
  2. Legen Sie das Attribut Common Name des Distinguished Name des Antragstellers (Subject DN) des Zertifikats auf den vollqualifizierten Domänennamen (FQDN) des Universal Print Servers fest. Geben Sie dies in der Zertifikatvorlage an.
  3. Legen Sie den kryptografischen Dienstanbieter (CSP), der zum Generieren der Zertifikatanforderung und des privaten Schlüssels verwendet wird, auf Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption) fest. Geben Sie dies in der Zertifikatvorlage an.
  4. Legen Sie die Schlüssellänge auf mindestens 2048 Bit fest. Geben Sie dies in der Zertifikatvorlage an.

Konfigurieren von SSL auf dem Universal Print Server

Der XTE-Dienst auf dem Universal Print Server überwacht eingehende Verbindungen. Er fungiert als SSL-Server, wenn SSL aktiviert ist. Die eingehenden Verbindungen sind von zwei Typen: Druck-Webdienstverbindungen, die Druckbefehle enthalten, und Druckdatenstromverbindungen, die Druckaufträge enthalten. SSL kann für diese Verbindungen aktiviert werden. SSL schützt die Vertraulichkeit und Integrität dieser Verbindungen. Standardmäßig ist SSL deaktiviert.

Das PowerShell-Skript zur Konfiguration von SSL befindet sich auf dem Installationsmedium und hat diesen Dateinamen: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Konfigurieren der Listening-Portnummern auf dem Universal Print Server

Dies sind die Standardports für den XTE-Dienst:

  • Klartext-Druck-Webdienst (HTTP) TCP-Port: 8080
  • Klartext-Druckdatenstrom (CGP) TCP-Port: 7229
  • Verschlüsselter Druck-Webdienst (HTTPS) TCP-Port: 8443
  • Verschlüsselter Druckdatenstrom (CGP) TCP-Port: 443

Um die vom XTE-Dienst auf dem Universal Print Server verwendeten Ports zu ändern, führen Sie die folgenden Befehle in PowerShell als Administrator aus (siehe den späteren Abschnitt für Hinweise zur Verwendung des PowerShell-Skripts Enable-UpsSsl.ps1):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> or Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

TLS-Einstellungen auf dem Universal Print Server

Wenn Sie mehrere Universal Print Server in einer Lastenausgleichskonfiguration haben, stellen Sie sicher, dass die TLS-Einstellungen auf allen Universal Print Servern konsistent konfiguriert sind.

Wenn Sie TLS auf dem Universal Print Server konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der Universal Printing Service Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der Universal Printing Service über Folgendes informiert wird:

  • Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.
  • Welche TCP-Portnummern für TLS-Verbindungen verwendet werden sollen.

Die Windows-Firewall (falls aktiviert) muss so konfiguriert werden, dass eingehende Verbindungen auf diesen TCP-Ports zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript Enable-UpsSsl.ps1 verwenden.

  • Welche Versionen des TLS-Protokolls zugelassen werden sollen.

Der Universal Print Server unterstützt die TLS-Protokollversionen 1.2, 1.1 und 1.0. Geben Sie die mindestens zulässige Version an.

Die Standard-TLS-Protokollversion ist 1.2.

  • Welche TLS-Cipher-Suites zugelassen werden sollen.

Eine Cipher-Suite wählt die kryptografischen Algorithmen aus, die für eine Verbindung verwendet werden. VDAs und der Universal Print Server können unterschiedliche Sätze von Cipher-Suites unterstützen. Wenn ein VDA eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der Universal Print Server eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine übereinstimmende Cipher-Suite vorhanden ist, lehnt der Universal Print Server die Verbindung ab.

Der Universal Print Server unterstützt die folgenden Cipher-Suite-Sätze namens GOV(ernment), COM(mercial) und ALL für die nativen Crypto Kit-Modi OPEN, FIPS und SP800-52. Die zulässigen Cipher-Suites hängen auch von der Richtlinieneinstellung SSL FIPS Mode und vom Windows FIPS-Modus ab. Weitere Informationen zum Windows FIPS-Modus finden Sie in diesem Microsoft-Supportartikel.

Cipher-Suite (in absteigender Prioritätsreihenfolge) OPEN ALL OPEN COM OPEN GOV FIPS ALL FIPS COM FIPS GOV SP800-52 ALL SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

TLS auf einem Universal Print Server mithilfe des PowerShell-Skripts konfigurieren

Installieren Sie das TLS-Zertifikat im Bereich Lokaler Computer > Persönlich > Zertifikate des Zertifikatspeichers. Wenn sich mehr als ein Zertifikat an diesem Speicherort befindet, geben Sie den Fingerabdruck des Zertifikats an das Enable-UpsSsl.ps1 PowerShell-Skript weiter.

Hinweis:

Das PowerShell-Skript findet das richtige Zertifikat basierend auf dem FQDN des Universal Print Servers. Sie müssen den Zertifikatsfingerabdruck nicht angeben, wenn nur ein einziges Zertifikat für den FQDN des Universal Print Servers vorhanden ist.

Das Enable-UpsSsl.ps1 Skript aktiviert oder deaktiviert TLS-Verbindungen, die vom VDA zum Universal Print Server stammen. Dieses Skript ist im Ordner Support > Tools > SslSupport auf dem Installationsmedium verfügbar.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für die TCP-Ports des Universal Print Servers. Anschließend fügt es neue Regeln hinzu, die es dem XTE-Dienst ermöglichen, eingehende Verbindungen nur über die TLS-TCP- und UDP-Ports zu akzeptieren. Es deaktiviert auch die Windows-Firewallregeln für:

  • Klartext-Druck-Webdienstverbindungen (Standard: 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (Standard: 7229)

Der Effekt ist, dass der VDA diese Verbindungen nur bei Verwendung von TLS herstellen kann.

Hinweis:

Das Aktivieren von TLS hat keine Auswirkungen auf Windows Print Spooler RPC/SMB-Verbindungen, die vom VDA stammen und zum Universal Print Server gehen.

Wichtig:

Geben Sie als ersten Parameter entweder Enable oder Disable an. Der Parameter CertificateThumbprint ist optional, wenn nur ein Zertifikat im persönlichen Zertifikatspeicher des lokalen Computers den FQDN des Universal Print Servers aufweist. Die anderen Parameter sind optional.

Syntax 

Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
Parameter Beschreibung
Enable Aktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter Disable ist erforderlich.
Disable Deaktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter Enable ist erforderlich.
CertificateThumbprint "<thumbprint>" Fingerabdruck des TLS-Zertifikats im persönlichen Zertifikatspeicher des lokalen Computers, in Anführungszeichen gesetzt. Das Skript verwendet den angegebenen Fingerabdruck, um das gewünschte Zertifikat auszuwählen.
HTTPPort <port> Cleartext-Druck-Webdienst (HTTP/SOAP)-Port. Standard: 8080
CGPPort <port> Port für Klartext-Druckdatenstrom (CGP). Standard: 7229
HTTPSPort <port> Port für verschlüsselten Druck-Webdienst (HTTPS/SOAP). Standard: 8443
CGPSSLPort <port> Port für verschlüsselten Druckdatenstrom (CGP). Standard: 443
SSLMinVersion "<version>" Mindestversion des TLS-Protokolls, in Anführungszeichen. Gültige Werte: „TLS_1.0“, „TLS_1.1“ und „TLS_1.2“. Standard: TLS_1.2.
SSLCipherSuite “<name>” Name des TLS-Cipher-Suite-Pakets, in Anführungszeichen. Gültige Werte: „GOV“, „COM“ und „ALL“ (Standard).
FIPSMode <Boolean> Aktiviert oder deaktiviert den FIPS 140-Modus im XTE-Server. Gültige Werte: $true zum Aktivieren des FIPS 140-Modus, $false zum Deaktivieren des FIPS 140-Modus.

Beispiele

Das folgende Skript aktiviert TLS. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Das folgende Skript deaktiviert TLS.

Enable-UpsSsl.ps1 –Disable

FIPS-Modus konfigurieren

Durch die Aktivierung des FIPS-Modus (US Federal Information Processing Standards) wird sichergestellt, dass für verschlüsselte Verbindungen des Universal Print Servers nur FIPS 140-konforme Kryptografie verwendet wird.

Konfigurieren Sie den FIPS-Modus auf dem Server, bevor Sie den FIPS-Modus auf dem Client konfigurieren.

Informationen zum Aktivieren/Deaktivieren des Windows FIPS-Modus finden Sie auf der Dokumentationsseite von Microsoft.

FIPS-Modus auf dem Client aktivieren

Führen Sie auf dem Delivery Controller™ Citrix Studio aus und setzen Sie die Citrix-Richtlinieneinstellung SSL FIPS-Modus auf Aktiviert. Aktivieren Sie die Citrix-Richtlinie.

Führen Sie dies auf jedem VDA aus:

  1. Windows FIPS-Modus aktivieren.
  2. Starten Sie den VDA neu.

FIPS-Modus auf dem Server aktivieren

Führen Sie dies auf jedem Universal Print Server aus:

  1. Windows FIPS-Modus aktivieren.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Parametern -Enable -FIPSMode $true aus.
  4. Starten Sie den Universal Print Server neu.

Deaktivieren des FIPS-Modus auf dem Client

Führen Sie auf dem Delivery Controller Citrix Studio aus und setzen Sie die Citrix-Richtlinieneinstellung SSL FIPS Mode auf Disabled. Aktivieren Sie die Citrix-Richtlinie. Sie können die Citrix-Richtlinieneinstellung SSL FIPS Mode auch löschen.

Führen Sie dies auf jedem VDA aus:

  1. Deaktivieren Sie den Windows FIPS-Modus.
  2. Starten Sie den VDA neu.

Deaktivieren des FIPS-Modus auf dem Server

Führen Sie dies auf jedem Universal Print Server aus:

  1. Deaktivieren Sie den Windows FIPS-Modus.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Parametern -Enable -FIPSMode $false aus.
  4. Starten Sie den Universal Print Server neu.

Konfigurieren der SSL/TLS-Protokollversion

Die Standard-SSL/TLS-Protokollversion ist TLS 1.2. TLS 1.2 ist die einzige empfohlene SSL/TLS-Protokollversion für den Produktionseinsatz. Zur Fehlerbehebung kann es erforderlich sein, die SSL/TLS-Protokollversion in einer Nicht-Produktionsumgebung vorübergehend zu ändern.

SSL 2.0 und SSL 3.0 werden auf dem Universal Print Server nicht unterstützt.

Festlegen der SSL/TLS-Protokollversion auf dem Server

Führen Sie dies auf jedem Universal Print Server aus:

  1. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  2. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Versionsparametern -Enable -SSLMinVersion aus. Denken Sie daran, dies nach Abschluss der Tests wieder auf TLS 1.2 zurückzusetzen.
  3. Starten Sie den Universal Print Server neu.

Festlegen der SSL/TLS-Protokollversion auf dem Client

Führen Sie dies auf jedem VDA aus:

  1. Legen Sie auf dem Delivery Controller die Richtlinieneinstellung SSL-Protokollversion auf die gewünschte Protokollversion fest und aktivieren Sie die Richtlinie.

  2. Der Microsoft-Supportartikel TLS-Registrierungseinstellungen beschreibt die Registrierungseinstellungen für Microsoft SCHANNEL SSP. Aktivieren Sie die clientseitigen TLS 1.0, TLS 1.1 oder TLS 1.2 mithilfe der Registrierungseinstellungen.

    Wichtig:

    Denken Sie daran, die Registrierungseinstellungen nach Abschluss der Tests auf ihre ursprünglichen Werte zurückzusetzen.

  3. Starten Sie den VDA neu.

Problembehandlung

Wenn ein Verbindungsfehler auftritt, überprüfen Sie die Protokolldatei C:\Program Files (x86)\Citrix\XTE\logs\error.log auf dem Universal Print Server.

Die Fehlermeldung SSL handshake from client failed wird in dieser Protokolldatei angezeigt, wenn der SSL/TLS-Handshake fehlschlägt. Solche Fehler können auftreten, wenn die SSL/TLS-Protokollversion auf dem VDA und dem Universal Print Server nicht übereinstimmt.

Verwenden Sie den FQDN des Universal Print Servers in den folgenden Richtlinieneinstellungen, die Hostnamen von Universal Print Servern enthalten:

  • Sitzungsdrucker
  • Druckerzuweisungen
  • Universal Print Server für den Lastausgleich

Stellen Sie sicher, dass die Systemuhr (Datum, Uhrzeit und Zeitzone) auf den Universal Print Servern und den VDAs korrekt ist.

Transport Layer Security (TLS) auf dem Universal Print Server
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.