Citrix Virtual Apps and Desktops

Sicherheitsschlüssel verwalten

Wichtig:

  • Sie müssen dieses Feature in Kombination mit StoreFront 1912 LTSR CU2 oder höher verwenden.
  • Secure XML wird nur von Citrix ADC und Citrix Gateway ab Version 12.1 unterstützt.

Hinweis:

Sie können Ihre Citrix Virtual Apps and Desktops-Bereitstellung mithilfe von zwei Verwaltungskonsolen verwalten: Web Studio (webbasiert) und Citrix Studio (Windows-basiert). Dieser Artikel behandelt nur Web Studio. Informationen zu Citrix Studio finden Sie im entsprechenden Artikel in Citrix Virtual Apps and Desktops 7 2212 oder früher.

Mit diesem Feature können nur genehmigte StoreFront- und Citrix Gateway-Maschinen mit Delivery Controllern kommunizieren. Nachdem Sie das Feature aktiviert haben, werden alle Anforderungen ohne Schlüssel blockiert. Verwenden Sie diese Funktion, um eine zusätzliche Sicherheitsebene zum Schutz vor Angriffen aus dem internen Netzwerk hinzuzufügen.

Ein allgemeiner Workflow zur Verwendung des Features ist folgender:

  1. Aktivieren Sie Web Studio, um die Feature-Einstellungen anzuzeigen.

  2. Konfigurieren Sie die Einstellungen für Ihre Site.

  3. Konfigurieren Sie die Einstellungen für StoreFront.

  4. Konfigurieren Sie die Einstellungen für Citrix ADC.

Web Studio aktivieren, um die Feature-Einstellungen anzuzeigen

Standardmäßig sind die Einstellungen für Sicherheitsschlüssel in Web Studio ausgeblendet. Verwenden Sie das PowerShell-SDK wie folgt, damit Web Studio sie anzeigen kann:

  1. Führen Sie das Citrix Virtual Apps and Desktops PowerShell SDK aus.
  2. Führen Sie in einem Befehlsfenster die folgenden Befehle aus:
    • Add-PSSnapIn Citrix*. Mit diesem Befehl werden die Citrix Snap-Ins hinzugefügt.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Weitere Informationen zum PowerShell SDK finden Sie unter SDKs und APIs.

Einstellungen für die Site konfigurieren

Sie können die Sicherheitsschlüsseleinstellungen für Ihre Site mit Web Studio oder PowerShell konfigurieren.

Web Studio verwenden

  1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen.
  2. Suchen Sie die Kachel Sicherheitsschlüssel verwalten und klicken Sie auf Bearbeiten. Die Seite Sicherheitsschlüssel verwalten wird angezeigt.

    Assistent "Sicherheitsschlüssel verwalten"

  3. Klicken Sie auf das Aktualisierungssymbol, um die Schlüssel zu generieren.

    Wichtig:

    • Es stehen zwei Schlüssel zur Verfügung. Sie können für die Kommunikation über den XML- und den STA-Port denselben oder verschiedene Schlüssel verwenden. Wir empfehlen, dass Sie jeweils nur einen Schlüssel verwenden. Der nicht verwendete Schlüssel dient nur zur Schlüsselrotation.
    • Klicken Sie nicht auf das Aktualisierungssymbol, um den bereits verwendeten Schlüssel zu aktualisieren. Dies führt zu einer Dienstunterbrechung.
  4. Wählen Sie aus, wo ein Schlüssel für die Kommunikation erforderlich ist:

    • Schlüssel für Kommunikation über XML-Port erforderlich (nur StoreFront). Ist diese Option aktiviert, dann ist ein Schlüssel erforderlich, um die Kommunikation über den XML-Port zu authentifizieren. StoreFront kommuniziert über diesen Port mit Citrix Cloud. Informationen zum Ändern des XML-Ports finden Sie im Knowledge Center-Artikel CTX127945.

    • Schlüssel für die Kommunikation über den STA-Port erforderlich. Ist diese Option aktiviert, dann ist ein Schlüssel erforderlich, um die Kommunikation über den STA-Port zu authentifizieren. Citrix Gateway und StoreFront kommunizieren über diesen Port mit Citrix Cloud. Informationen zum Ändern des STA-Ports finden Sie im Knowledge Center-Artikel CTX101988.

  5. Klicken Sie auf Speichern, um die Änderungen anzuwenden und das Fenster zu schließen.

PowerShell verwenden

Nachfolgend sind die den Web Studio-Vorgängen entsprechenden PowerShell-Schritte aufgeführt.

  1. Führen Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK aus.

  2. Führen Sie in einem Befehlsfenster folgenden Befehl aus:
    • Add-PSSnapIn Citrix*
  3. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key1 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key2 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Führen Sie einen oder beide der folgenden Befehle aus, um die Verwendung eines Schlüssels bei der Authentifizierung der Kommunikationen zu aktivieren:
    • Zum Authentifizieren der Kommunikation über den XML-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Zum Authentifizieren der Kommunikation über den STA-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Anleitungen und Informationen zur Syntax finden Sie in der Hilfe zu PowerShell-Befehlen.

Einstellungen für StoreFront konfigurieren

Nach Abschluss der Konfiguration für Ihre Site müssen Sie relevante Einstellungen für StoreFront mit PowerShell konfigurieren.

Führen Sie auf dem StoreFront-Server die folgenden PowerShell-Befehle aus:

Um den Schlüssel für die Kommunikation über den XML-Port zu konfigurieren, verwenden Sie den Befehl [Set-STFStoreFarm https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Beispiel
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

  • Path to store
  • Resource feed name
  • secret

Um den Schlüssel für die Kommunikation über den STA-Port zu konfigurieren, verwenden Sie die Befehle New-STFSecureTicketAuthority und Set-STFRoamingGateway. Beispiel:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

  • Gateway name
  • STA URL
  • Secret

Anleitungen und Informationen zur Syntax finden Sie in der Hilfe zu PowerShell-Befehlen.

Einstellungen für Citrix ADC konfigurieren

Hinweis:

Die Konfiguration dieses Features für Citrix ADC ist nur erforderlich, wenn Sie Citrix ADC als Gateway verwenden. Führen Sie folgende Schritte aus, wenn Sie Citrix ADC verwenden:

  1. Vergewissern Sie sich, dass die erforderliche Konfiguration ausgeführt wurde:

    • Die folgenden IP-Adressen im Zusammenhang mit Citrix ADC wurden konfiguriert.
      • Citrix ADC Management-IP-Adresse (NSIP) für den Zugriff auf die Citrix ADC-Konsole. Weitere Informationen finden Sie unter Konfigurieren der NSIP-Adresse.

      IP-Adresse der ADC-Verwaltung

      • Subnetz-IP-Adresse (SNIP) zur Kommunikation zwischen der Citrix ADC Appliance und den Back-End-Servern. Weitere Informationen finden Sie unter Konfigurieren von Subnetz-IP-Adressen.
      • Virtuelle IP-Adresse von Citrix Gateway und des Load Balancers zur Anmeldung bei der ADC Appliance für den Sitzungsstart. Weitere Informationen finden Sie unter Erstellen eines virtuellen Servers.

      Subnetz-IP-Adresse

    • Die erforderlichen Modi und Features in der Citrix ADC Appliance sind aktiviert.
      • Um die Modi zu aktivieren, gehen Sie in Citrix ADC zu System > Settings > Configure Mode.
      • Um die Features zu aktivieren, gehen Sie in Citrix ADC zu System > Settings > Configure Basic Features.
    • Die Konfiguration für Zertifikate wurde ausgeführt.

      Create a CSR certificate

      • Das Serverzertifikat, das ZS-Zertifikat und das Stammzertifikat wurden installiert. Weitere Informationen finden Sie unter Installieren, Links und Updates.

      Installieren des Serverzertifikats

      Installieren des CA-Zertifikats

      Gateway für virtuelle Desktops

  2. Fügen Sie eine Rewrite-Aktion hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Aktion.

    1. Gehen Sie zu AppExpert > Rewrite > Actions.
    2. Klicken Sie auf Hinzufügen, um eine neue Rewrite-Aktion hinzuzufügen. Sie können die Aktion “set Type to INSERT_HTTP_HEADER” nennen.

    Hinzufügen einer Rewrite-Aktion

    1. Wählen Sie unter Type die Option INSERT_HTTP_HEADER.
    2. Geben Sie im Feld Header Name “X-Citrix-XmlServiceKey” ein.
    3. Fügen Sie unter Ausdruck <XmlServiceKey1 value> mit Anführungszeichen hinzu. Sie können den XmlServiceKey1-Wert aus der Desktop Delivery Controller-Konfiguration kopieren.

    Schlüsselwert für XML-Dienst

  3. Fügen Sie eine Rewrite-Richtlinie hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Richtlinie.
    1. Gehen Sie zu AppExpert > Rewrite > Policies.

    2. Klicken Sie auf Add, um eine neue Richtlinie hinzuzufügen.

    Hinzufügen einer Rewrite-Richtlinie

    1. Wählen Sie unter Action die im vorherigen Schritt erstellte Aktion aus.
    2. Fügen Sie unter Expression “HTTP.REQ.IS_VALID” hinzu.
    3. Klicken Sie auf OK.
  4. Richten Sie den Lastenausgleich ein. Sie müssen einen virtuellen Lastausgleichsserver pro STA-Server konfigurieren. Ansonsten können die Sitzungen nicht gestartet werden.

    Weitere Informationen finden Sie unter Einrichten des einfachen Lastenausgleichs.

    1. Erstellen Sie einen virtuellen Lastausgleichsserver.
      • Navigieren Sie zu Traffic Management > Load Balancing > Servers.
      • Klicken Sie auf der Seite Virtual Servers auf Add.

      Hinzufügen eines Lastausgleichsservers

      • Wählen Sie unter Protocol die Option HTTP.
      • Geben Sie die IP-Adresse des virtuellen Lastausgleichsserver ein und wählen Sie für Port die Option 80.
      • Klicken Sie auf OK.
    2. Erstellen Sie einen Lastausgleichsdienst.
      • Navigieren Sie zu Traffic Management > Load Balancing > Services.

      Hinzufügen eines Lastausgleichsdiensts

      • Wählen Sie unter Existing Server den im vorherigen Schritt erstellten virtuellen Server aus.
      • Wählen Sie für Protocol die Option HTTP und für Port die Option 80.
      • Klicken Sie auf OK und dann auf Done.
    3. Binden Sie den Dienst an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie in Services and Service Groups auf No Load Balancing Virtual Server Service Group Binding.

      Binden des Diensts an einen virtuellen Server

      • Wählen Sie unter Service Binding den zuvor erstellten Dienst aus.
      • Klicken Sie auf Bind.
    4. Binden Sie die zuvor erstellte Rewrite-Richtlinie an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Advanced Settings auf Policies und im Bereich Policies auf +.

      Bind-Rewrite-Richtlinie

      • Wählen Sie unter Choose Policy die Option Rewrite und für Choose Type, die Option Request.
      • Klicken Sie auf Continue.
      • Wählen Sie unter Select Policy die zuvor erstellte Rewrite-Richtlinie aus.
      • Klicken Sie auf Bind.
      • Klicken Sie auf Fertig.
    5. Legen Sie ggf. die Persistenz für den virtuellen Server fest.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Advanced Settings auf Persistence.

      Persistenz festlegen

      • Wählen Sie als Persistenztyp Others.
      • Wählen Sie DESTIP, um Persistenzsitzungen basierend auf der IP-Adresse des vom virtuellen Server ausgewählten Diensts (Ziel-IP-Adresse) zu erstellen
      • Fügen Sie in IPv4 Netmask die Netzwerkmaske des DDC hinzu.
      • Klicken Sie auf OK.
    6. Wiederholen Sie diese Schritte für den anderen virtuellen Server.

Konfigurationsänderungen bei bereits mit Citrix Virtual Desktops konfigurierter Citrix ADC Appliance

Wenn die Citrix ADC Appliance bereits mit Citrix Virtual Desktops konfiguriert ist, müssen Sie zur Verwendung von Secure XML die folgenden Konfigurationsänderungen vornehmen.

  • Ändern Sie vor dem Start der Sitzung die Secure Ticket Authority-URL des Gateways, um die FQDNs der virtuellen Lastausgleichsserver zu verwenden.
  • Stellen Sie sicher, dass der Parameter TrustRequestsSentToTheXmlServicePort auf “False” festgelegt ist. Standardmäßig ist der Parameter TrustRequestsSentToTheXmlServicePort auf “False” festgelegt. Wenn der Kunde Citrix ADC jedoch bereits für Citrix Virtual Desktops konfiguriert hat, ist TrustRequestsSentToTheXmlServicePort auf “True” festgelegt.
  1. Gehen Sie in Citrix ADC zu Configuration > Integrate with Citrix Products und klicken Sie auf XenApp and XenDesktop.
  2. Wählen Sie die Gateway-Instanz aus und klicken Sie auf das Bearbeitungssymbol.

    Bestehende Gateway-Konfiguration bearbeiten

  3. Klicken Sie im StoreFront-Bereich auf das Bearbeitungssymbol.

    StoreFront-Details bearbeiten

  4. Fügen Sie die Secure Ticket Authority-URLhinzu.
    • Wenn Secure XML aktiviert ist, muss die STA-URL die URL des Lastausgleichsdiensts sein.
    • Wenn Secure XML deaktiviert ist, muss die STA-URL die URL der STA (Adresse des DDC) sein und der Parameter “TrustRequestsSentToTheXmlServicePort” des DDC muss auf “True” festgelegt sein.

    STA-URLs hinzufügen

Sicherheitsschlüssel verwalten