TLS auf VDAs aktivieren

Aktivieren Sie TLS-Verbindungen zwischen der Citrix Workspace™-App und Virtual Delivery Agents (VDAs), indem Sie die folgenden Aufgaben ausführen:

• Installieren Sie Zertifikate auf den VDAs. Weitere Informationen finden Sie unter Anfordern und Installieren eines Zertifikats.
• Konfigurieren Sie TLS auf den Maschinen, auf denen die VDAs installiert sind. (Der Einfachheit halber werden weitere Verweise auf Maschinen, auf denen VDAs installiert sind, einfach als „VDAs“ bezeichnet.) Es wird dringend empfohlen, das von Citrix bereitgestellte PowerShell-Skript zur Konfiguration von TLS/DTLS zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von TLS auf einem VDA mithilfe des PowerShell-Skripts. Wenn Sie TLS/DTLS jedoch manuell konfigurieren möchten, lesen Sie Manuelles Konfigurieren von TLS auf einem VDA.
• Konfigurieren Sie TLS in den Delivery Groups, die die VDAs enthalten, indem Sie eine Reihe von PowerShell-Cmdlets in Studio ausführen. Weitere Informationen finden Sie unter Konfigurieren von TLS in Delivery Groups.

Anforderungen und Überlegungen:

• Konfigurieren Sie TLS in den Delivery Groups und auf den VDAs, nachdem Sie Komponenten installiert, eine Site erstellt, Maschinenkataloge erstellt und Delivery Groups erstellt haben.
• Um TLS in den Delivery Groups zu konfigurieren, müssen Sie über die Berechtigung verfügen, Controller-Zugriffsregeln zu ändern. Ein Full Administrator besitzt diese Berechtigung.
• Um TLS auf den VDAs zu konfigurieren, müssen Sie ein Windows-Administrator auf der Maschine sein, auf der der VDA installiert ist.
• Bei gepoolten VDAs, die von Machine Creation Services™ oder Provisioning Services bereitgestellt werden, wird das VDA-Maschinenimage beim Neustart zurückgesetzt, wodurch frühere TLS-Einstellungen verloren gehen. Führen Sie das PowerShell-Skript bei jedem Neustart des VDA aus, um die TLS-Einstellungen neu zu konfigurieren.

Eine Delivery Group kann keine Mischung aus VDAs mit und ohne TLS-Konfiguration enthalten. Bevor Sie TLS für eine Delivery Group konfigurieren, stellen Sie sicher, dass Sie TLS bereits für alle VDAs in dieser Delivery Group konfiguriert haben.

Wenn Sie TLS auf VDAs konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der ICA®-Dienst Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der ICA-Dienst über Folgendes informiert wird:

• Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.

• Welche TCP-Portnummer für TLS-Verbindungen verwendet werden soll.

  Die Windows-Firewall (sofern aktiviert) muss so konfiguriert sein, dass eingehende Verbindungen auf diesem TCP-Port zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript verwenden.

• Welche Versionen des TLS-Protokolls zugelassen werden sollen.

  Wichtig:

  Citrix empfiehlt die Verwendung von TLS 1.2 oder höher. SSL und ältere TLS-Versionen sind veraltet.

  Die unterstützten TLS-Protokollversionen folgen einer Hierarchie (niedrigste bis höchste): SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 und TLS 1.3. Geben Sie die minimal zulässige Version an; alle Protokollverbindungen, die diese Version oder eine höhere Version verwenden, sind zulässig.

  Wenn Sie beispielsweise TLS 1.1 als Mindestversion angeben, sind TLS 1.1-, TLS 1.2- und TLS 1.3-Protokollverbindungen zulässig. Wenn Sie SSL 3.0 als Mindestversion angeben, sind Verbindungen für alle unterstützten Versionen zulässig. Wenn Sie TLS 1.3 als Mindestversion angeben, sind nur TLS 1.3-Verbindungen zulässig.

• Welche TLS-Cipher-Suites zugelassen werden sollen.

  Eine Cipher-Suite wählt die Verschlüsselung aus, die für eine Verbindung verwendet wird. Clients und VDAs können verschiedene Sätze von Cipher-Suites unterstützen. Wenn ein Client (Citrix Workspace-App) eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der VDA eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine passende Cipher-Suite vorhanden ist, lehnt der VDA die Verbindung ab.

  Der VDA unterstützt drei Sätze von Cipher-Suites (auch als Kompatibilitätsmodi bezeichnet): GOV(ernment), COM(mercial) und ALL. Die akzeptablen Cipher-Suites hängen auch vom Windows FIPS-Modus ab; siehe http://support.microsoft.com/kb/811833 für Informationen zum Windows FIPS-Modus. Die folgende Tabelle listet die Cipher-Suites in jedem Satz auf:

  Cipher-Suite	ALLE	COM	GOV	ALLE	COM	GOV
  FIPS-Modus	Aus	Aus	Aus	Ein	Ein	Ein
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  Hinweis:

  Der VDA unterstützt keine DHE-Ciphersuites (z. B. TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 und TLS_DHE_RSA_WITH_AES_128_CBC_SHA). Wenn diese von Windows ausgewählt werden, schlägt die Verbindung fehl.

  Wenn Sie ein NetScaler Gateway verwenden, lesen Sie die NetScaler-Dokumentation für Informationen zur Unterstützung von Cipher Suites für die Back-End-Kommunikation. Informationen zur Unterstützung von TLS-Cipher Suites finden Sie unter Verfügbare Cipher auf den Citrix ADC Appliances. Informationen zur Unterstützung von DTLS-Cipher Suites finden Sie unter DTLS-Cipher-Unterstützung.

Anfordern und Installieren eines Zertifikats

Um TLS zu verwenden, müssen Sie ein Zertifikat installieren, dessen alternativer Name den FQDN des VDA enthält. Das Zertifikat muss von allen Clients, die direkt mit dem VDA verbunden sind (nicht über ein Citrix Gateway), als vertrauenswürdig eingestuft werden. Um nicht verwalteten Geräten, auf denen Sie Zertifikate nicht einfach bereitstellen können, die Verbindung zum VDA zu ermöglichen, sollten Sie ein NetScaler® Gateway bereitstellen.

Zertifikat mit Microsoft-Zertifizierungsstelle erstellen

Wenn sich Ihre Clients und VDAs in einer vertrauenswürdigen Gesamtstruktur befinden und diese über eine Microsoft-Zertifizierungsstelle verfügt, können Sie ein Zertifikat über den Zertifikatsregistrierungs-Assistenten des MMC-Snap-Ins „Zertifikate“ anfordern.

1. Öffnen Sie auf dem VDA die MMC-Konsole und fügen Sie das Snap-In „Zertifikate“ hinzu. Wählen Sie bei Aufforderung „Computerkonto“ aus.
2. Erweitern Sie Persönlich > Zertifikate, und verwenden Sie dann den Kontextmenübefehl Alle Aufgaben > Neues Zertifikat anfordern.
3. Klicken Sie auf Weiter, um zu beginnen, und erneut auf Weiter, um zu bestätigen, dass Sie das Zertifikat über die Active Directory-Registrierung anfordern.

4. Wählen Sie die Vorlage für das Serverauthentifizierungszertifikat aus. Sowohl die Standardvorlage von Windows Computer als auch Webserver exportierbar sind akzeptabel. Wenn die Vorlage so eingerichtet wurde, dass die Werte für den Antragsteller automatisch bereitgestellt werden, können Sie auf Registrieren klicken, ohne weitere Details anzugeben.

   

5. Um weitere Details für die Zertifikatvorlage anzugeben, klicken Sie auf Details und konfigurieren Sie Folgendes:

   Antragstellername — wählen Sie den Typ Allgemeiner Name und fügen Sie den FQDN des VDA hinzu

   Alternativer Name — Typ DNS auswählen und den FQDN des VDA hinzufügen

   

   Hinweis:

   Verwenden Sie Active Directory Certificate Services Certificate Auto-Enrollment, um die Ausstellung und Bereitstellung von Zertifikaten für die VDAs zu automatisieren. Dies wird beschrieben unter Enable certificate auto-enrollment).

   Sie können Wildcard-Zertifikate verwenden, um ein einzelnes Zertifikat zur Absicherung mehrerer VDAs zu nutzen:

   Antragsstellername — Typ Common name auswählen und die *.primary.domain der VDAs eingeben

   Alternativer Name — Typ DNS auswählen und die *.primary.domain der VDAs hinzufügen

   

   Sie können SAN-Zertifikate verwenden, um ein einzelnes Zertifikat zur Absicherung mehrerer spezifischer VDAs zu nutzen:

   Antragsstellername — Typ Common name auswählen und eine Zeichenfolge eingeben, die zur Identifizierung der Zertifikatnutzung dient

   Alternativer Name — Typ DNS auswählen und einen Eintrag für den FQDN jedes VDA hinzufügen. Halten Sie die Anzahl der Alternativen Namen auf ein Minimum, um eine optimale TLS-Aushandlung zu gewährleisten.

   

   Hinweis:

   Sowohl Wildcard- als auch SAN-Zertifikate erfordern, dass Privaten Schlüssel exportierbar machen auf der Registerkarte „Privater Schlüssel“ ausgewählt ist:

   

TLS auf einem VDA mithilfe des PowerShell-Skripts konfigurieren

Installieren Sie das TLS-Zertifikat im Zertifikatspeicher unter „Lokaler Computer > Persönlich > Zertifikate“. Wenn sich mehr als ein Zertifikat an diesem Speicherort befindet, geben Sie den Fingerabdruck des Zertifikats an das PowerShell-Skript weiter.

Hinweis:

Ab XenApp und XenDesktop 7.15 LTSR findet das PowerShell-Skript das richtige Zertifikat basierend auf dem FQDN des VDA. Sie müssen den Fingerabdruck nicht angeben, wenn nur ein einziges Zertifikat für den VQDN des VDA vorhanden ist.

Das Skript Enable-VdaSSL.ps1 aktiviert oder deaktiviert den TLS-Listener auf einem VDA. Dieses Skript ist im Ordner Support > Tools > SslSupport auf dem Installationsmedium verfügbar.

Wenn Sie TLS aktivieren, werden DHE-Cipher-Suites deaktiviert. ECDHE-Cipher-Suites sind davon nicht betroffen.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für den angegebenen TCP-Port. Anschließend wird eine neue Regel hinzugefügt, die dem ICA-Dienst erlaubt, eingehende Verbindungen nur über die TLS-TCP- und UDP-Ports zu akzeptieren. Es deaktiviert auch die Windows-Firewallregeln für:

• Citrix ICA (Standard: 1494)
• Citrix CGP (Standard: 2598)
• Citrix WebSocket (Standard: 8008)

Dies hat zur Folge, dass Benutzer nur über TLS oder DTLS eine Verbindung herstellen können. Sie können ICA/HDX, ICA/HDX mit Sitzungszuverlässigkeit oder HDX über WebSocket nicht ohne TLS oder DTLS verwenden.

Hinweis:

DTLS wird nicht mit ICA/HDX Audio über UDP Real-time Transport oder mit ICA/HDX Framehawk unterstützt.

Siehe Netzwerkports.

Das Skript enthält die folgenden Syntaxbeschreibungen sowie zusätzliche Beispiele; Sie können ein Tool wie Notepad++ verwenden, um diese Informationen zu überprüfen.

Wichtig:

Geben Sie entweder den Parameter Enable oder Disable sowie den Parameter CertificateThumbPrint an. Die anderen Parameter sind optional.

Syntax

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

Beispiele

Das folgende Skript installiert und aktiviert den Wert der TLS-Protokollversion. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

Das folgende Skript installiert und aktiviert den TLS-Listener und gibt TLS-Port 400, die GOV-Cipher-Suite und einen minimalen TLS 1.2-Protokollwert an. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

Das folgende Skript deaktiviert den TLS-Listener auf dem VDA.

Enable-VdaSSL -Disable

TLS auf einem VDA manuell konfigurieren

Wenn Sie TLS auf einem VDA manuell konfigurieren, erteilen Sie dem privaten Schlüssel des TLS-Zertifikats für den entsprechenden Dienst auf jedem VDA generischen Lesezugriff: NT SERVICE\PorticaService für einen VDA für Windows Single-session OS oder NT SERVICE\TermService für einen VDA für Windows Multi-session OS. Auf dem Computer, auf dem der VDA installiert ist:

SCHRITT 1. Starten Sie die Microsoft Management Console (MMC): Start > Ausführen > mmc.exe.

SCHRITT 2. Fügen Sie das Zertifikate-Snap-In zur MMC hinzu:

1. Wählen Sie Datei > Snap-In hinzufügen/entfernen.
2. Wählen Sie Zertifikate und klicken Sie dann auf Hinzufügen.
3. Wenn Sie mit „Dieses Snap-In verwaltet immer Zertifikate für:“ aufgefordert werden, wählen Sie „Computerkonto“ und klicken Sie dann auf Weiter.
4. Wenn Sie mit „Wählen Sie den Computer aus, den dieses Snap-In verwalten soll“ aufgefordert werden, wählen Sie „Lokaler Computer“ und klicken Sie dann auf Fertig stellen.

SCHRITT 3. Klicken Sie unter „Zertifikate (Lokaler Computer) > Persönlich > Zertifikate“ mit der rechten Maustaste auf das Zertifikat und wählen Sie dann „Alle Aufgaben > Private Schlüssel verwalten“.

SCHRITT 4. Der Zugriffssteuerungslisten-Editor zeigt „Berechtigungen für private Schlüssel von (FriendlyName)“ an, wobei (FriendlyName) der Name Ihres TLS-Zertifikats ist. Fügen Sie einen der folgenden Dienste hinzu und erteilen Sie ihm Lesezugriff:

• Für einen VDA für Windows-Einzelsitzungs-Betriebssysteme: „PORTICASERVICE“
• Für einen VDA für Windows-Mehrfachsitzungs-Betriebssysteme: „TERMSERVICE“

SCHRITT 5. Doppelklicken Sie auf das installierte TLS-Zertifikat. Wählen Sie im Zertifikatsdialog die Registerkarte „Details“ und scrollen Sie dann nach unten. Klicken Sie auf „Fingerabdruck“.

SCHRITT 6. Führen Sie regedit aus und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. Bearbeiten Sie den Schlüssel „SSL-Fingerabdruck“ und kopieren Sie den Wert des Fingerabdrucks des TLS-Zertifikats in diesen Binärwert. Sie können unbekannte Elemente im Dialogfeld „Binärwert bearbeiten“ (wie „0000“ und Sonderzeichen) bedenkenlos ignorieren.
2. Bearbeiten Sie den Schlüssel „SSLEnabled“ und ändern Sie den DWORD-Wert auf 1. (Um SSL später zu deaktivieren, ändern Sie den DWORD-Wert auf 0.)

3. Wenn Sie die Standardeinstellungen ändern möchten (optional), verwenden Sie die folgenden im selben Registrierungspfad:

   SSLPort DWORD – SSL-Portnummer. Standard: 443.

   SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Standard: 2 (TLS 1.0).

   SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Standard: 3 (ALL).

SCHRITT 7. Stellen Sie sicher, dass die TLS-TCP- und UDP-Ports in der Windows-Firewall geöffnet sind, falls sie nicht dem Standard 443 entsprechen. (Wenn Sie die eingehende Regel in der Windows-Firewall erstellen, stellen Sie sicher, dass in ihren Eigenschaften die Einträge „Verbindung zulassen“ und „Aktiviert“ ausgewählt sind.)

SCHRITT 8. Stellen Sie sicher, dass keine anderen Anwendungen oder Dienste (wie IIS) den TLS-TCP-Port verwenden.

SCHRITT 9. Starten Sie bei Multi-Session-VDAs die Maschine neu, damit die Änderungen wirksam werden. (Sie müssen Single-Session-VDA-Maschinen nicht neu starten.)

SCHRITT 10. Ändern Sie die Präferenz der Windows-Chiffriersuite, sodass die vom VDA unterstützten Chiffriersuiten die höchste Priorität haben, um Verbindungsprobleme zu vermeiden.

Wichtig:

Die unten beschriebenen Gruppenrichtlinienänderungen werden erst nach einem Neustart des Systems wirksam.

Wenn Sie nicht-persistente Sitzungshosts verwenden, die mit MCS oder PVS bereitgestellt wurden, müssen Sie diese Einstellungen im Master-Image anwenden.

Option 1:

Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration > Policies > Administrative Templates > Network > SSL Configuration Settings > SSL Cipher Suite Order. Stellen Sie sicher, dass die folgenden Chiffriersuiten ganz oben in der Liste stehen:

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

Hinweis:

TLS_AES_256_GCM_SHA384 und TLS_AES_128_GCM_SHA256 gelten nur für Windows 11 und Windows Server 2022 oder neuere Versionen. Wenn Sie ältere Betriebssysteme verwenden, schließen Sie diese Chiffriersuiten bitte nicht in Ihre Liste ein.

Beachten Sie, dass die aufgelisteten Chiffriersuiten auch die elliptische Kurve, P384 oder P256, angeben, um sicherzustellen, dass „curve25519“ nicht ausgewählt wird. Der FIPS-Modus verhindert die Verwendung von „curve25519“ nicht.

Es ist nicht notwendig, Chiffriersuiten aus der Liste zu entfernen. Beachten Sie, dass diese Einstellungen für das gesamte System gelten. Wenn Sie sich also entscheiden, Chiffriersuiten zu entfernen, müssen Sie sicherstellen, dass diese nicht von Anwendungen oder Diensten benötigt werden, die auf Ihren Sitzungshosts ausgeführt werden.

Option 2:

Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration > Policies > Administrative Templates > Network > SSL Configuration Settings > SSL Cipher Suite Order. Stellen Sie sicher, dass die folgenden Chiffriersuiten ganz oben in der Liste stehen:

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

Hinweis: TLS_AES_256_GCM_SHA384 und TLS_AES_128_GCM_SHA256 gelten nur für Windows 11 und Windows Server 2022 oder neuere Versionen. Wenn Sie ältere Betriebssysteme verwenden, schließen Sie diese Chiffriersuiten bitte nicht in Ihre Liste ein.

Es ist nicht notwendig, Chiffriersuiten aus der Liste zu entfernen. Beachten Sie, dass diese Einstellungen für das gesamte System gelten. Wenn Sie sich also entscheiden, Chiffriersuiten zu entfernen, müssen Sie sicherstellen, dass diese nicht von Anwendungen oder Diensten benötigt werden, die auf Ihren Sitzungshosts ausgeführt werden.

Navigieren Sie im Gruppenrichtlinien-Editor zu Computer Configuration > Policies > Administrative Templates > Network > SSL Configuration Settings > ECC Curve Order. Aktivieren Sie die Einstellung und fügen Sie die folgenden Kurven in die Liste ein:

NistP384
NistP256
<!--NeedCopy-->

Hinweis:

Dies stellt sicher, dass „curve25519“ nicht ausgewählt wird. Der FIPS-Modus verhindert die Verwendung von „curve25519“ nicht.

Der VDA wählt eine Cipher Suite nur aus, wenn sie in beiden Listen erscheint: der Group Policy-Liste und der Liste für den ausgewählten Kompatibilitätsmodus (COM, GOV oder ALL). Die Cipher Suite muss auch in der vom Client (Citrix Workspace app) gesendeten Liste erscheinen.

TLS auf Delivery Groups konfigurieren

Führen Sie dieses Verfahren für jede Delivery Group aus, die VDAs enthält, die Sie für TLS-Verbindungen konfiguriert haben.

1. Öffnen Sie in Studio die PowerShell-Konsole.
2. Führen Sie asnp Citrix.* aus, um die Citrix-Produkt-Cmdlets zu laden.
3. Führen Sie Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true aus.
4. Führen Sie Set-BrokerSite -DnsResolutionEnabled $true aus.

SSL für gepoolte VDAs mithilfe der automatischen Registrierung aktivieren

Wenn Sie gepoolte VDAs verwenden und ein Zertifikat zum Master-Image hinzufügen, teilen sich alle VDAs dasselbe Image. Sie können ein Wildcard-Zertifikat verwenden, aber ein Nachteil ist, dass, wenn einer der VDAs kompromittiert wird, dieses allmächtige Zertifikat bedeuten würde, dass HDX™-Verbindungen aller VDAs gefährdet wären.

Stattdessen ist eine sichere Alternative, Microsoft Active Directory Certificate Services zu nutzen, um Zertifikate automatisch mithilfe von Gruppenrichtlinien bereitzustellen. Sie können ein Startskript auf dem VDA verwenden, um dynamisch ein neues Zertifikat bereitzustellen und SSL für den VDA zu aktivieren.

Beachten Sie, dass dieser Ansatz nur für Single-Session-Desktop-VDAs funktioniert. Bei Multi-Session-VDAs wird der ICA-Listener während des Startvorgangs zu früh gestartet, bevor Zertifikate automatisch bereitgestellt werden können.

Da Active Directory Certificate Services eine interne Enterprise Certificate Authority verwendet, wird sie nicht automatisch von allen Windows-Installationen als vertrauenswürdig eingestuft. Wenn die Clients vom Unternehmen verwaltet werden und Teil einer Domänenstruktur sind, können die vertrauenswürdigen CA-Zertifikate automatisch mithilfe von Gruppenrichtlinien verteilt werden. Für BYOD und andere nicht in die Domäne eingebundene Geräte müssen Sie die vertrauenswürdigen CA-Zertifikate Ihren Benutzern über einen anderen Mechanismus (z. B. durch Anbieten eines Download-Links) verteilen oder ein NetScaler Gateway verwenden.

Automatische Zertifikatsregistrierung aktivieren

Stellen Sie zunächst sicher, dass die Rolle Active Directory-Zertifikatdienste auf einem Server in Ihrem VDA-Domänenforst installiert ist, der eine Unternehmens-CA bereitstellt, da sonst die automatische Registrierung nicht möglich ist.

Beachten Sie, dass dies eine erheblich höhere Last als üblich auf Ihre Unternehmens-CA legen kann, da VDAs bei jedem Start eine Zertifikatanforderung senden. Stellen Sie sicher, dass dem CA-Server ausreichend CPU und Arbeitsspeicher zugewiesen werden, um die Last zu bewältigen, und testen Sie wie immer die Skalierbarkeit der Bereitstellung in einer Laborumgebung, bevor Sie sie in Produktion nehmen.

Erstellen Sie im Editor für die Gruppenrichtlinienverwaltung eine neue Richtlinie, die für die Organisationseinheit gilt, die Ihre gepoolten VDAs mit aktiviertem SSL enthält, wie folgt:

1. Erweitern Sie Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel
2. Bearbeiten Sie die Objekteigenschaften der „Zertifikatdienste-Client – Richtlinie für automatische Registrierung“
3. Konfigurieren Sie wie im folgenden Screenshot gezeigt.
4. Klicken Sie mit der rechten Maustaste auf den Container „Automatische Zertifikatanforderung“ und wählen Sie Neu -> Automatische Zertifikatanforderung…
5. Klicken Sie im Assistenten für die Einrichtung der automatischen Zertifikatanforderung auf Weiter
6. Stellen Sie sicher, dass die Computerzertifikatvorlage ausgewählt ist, und klicken Sie auf Weiter
7. Klicken Sie auf Fertig stellen

Vorbereiten des Windows-Master-Images

Kopieren Sie das Skript Enable-VdaSsl.ps1 vom Produktinstallationsmedium im Ordner Support\Tools\SslSupport auf das VDA-Master-Image. Beachten Sie, dass das Master-Image keine Zertifikate für HDX-SSL-Verbindungen enthalten sollte. Die Zertifikate werden bereitgestellt, wenn der MCS- oder PVS-Maschinenkatalog erstellt wird. Erstellen Sie nun eine neue geplante Aufgabe wie folgt (führen Sie die geplante Aufgabe jetzt nicht aus):

1. Öffnen Sie die Aufgabenplanung.

2. Klicken Sie im Bereich Aktionen auf Aufgabe erstellen…

3. Auf der Registerkarte „Allgemein“:

   • Geben Sie einen Namen ein, z. B. Enable VDA SSL

   • Klicken Sie auf Benutzer oder Gruppe ändern… und geben Sie im Dialogfeld „Benutzer oder Gruppe auswählen“ SYSTEM ein und klicken Sie auf OK.

   

4. Wählen Sie die Registerkarte „Trigger“ aus.

5. Klicken Sie auf Neu…. Im Dialogfeld Neuer Trigger:

   1. Setzen Sie Aufgabe starten auf Bei einem Ereignis.

   2. Setzen Sie Protokoll auf Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational.

   3. Setzen Sie Quelle auf Microsoft-Windows-CertificateServicesClient-Lifecycle-System.

   4. Setzen Sie Ereignis-ID auf 1006.

   5. Klicken Sie auf OK, um den Trigger zu speichern.

   

6. Wählen Sie die Registerkarte Aktionen aus.

7. Klicken Sie auf Neu….

8. Im Dialogfeld Neue Aktion:

   1. Legen Sie Aktion auf Programm starten fest.

   2. Geben Sie im Feld „Programm/Skript“ powershell.exe ein.

   3. Geben Sie im Feld „Argumente hinzufügen“ -ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$False ein, einschließlich des Pfads zum PowerShell-Skript.

   4. Klicken Sie auf OK, um die Aktion zu speichern.

   

9. Klicken Sie auf OK, um die Aufgabe zu speichern.

Problembehandlung

Wenn ein Verbindungsfehler auftritt, überprüfen Sie das Systemereignisprotokoll auf dem VDA.

Wenn Sie die Citrix Workspace-App für Windows verwenden und einen Verbindungsfehler erhalten, der auf einen TLS-Fehler hinweist, deaktivieren Sie den Desktop Viewer und versuchen Sie dann erneut, eine Verbindung herzustellen. Obwohl die Verbindung weiterhin fehlschlägt, wird möglicherweise eine Erklärung des zugrunde liegenden TLS-Problems bereitgestellt. Zum Beispiel haben Sie eine falsche Vorlage angegeben, als Sie ein Zertifikat von der Zertifizierungsstelle angefordert haben.)

Die meisten Konfigurationen, die HDX Adaptive Transport verwenden, funktionieren erfolgreich mit DTLS, einschließlich derer, die die neuesten Versionen von Citrix Workspace-App, Citrix Gateway und dem VDA verwenden. Einige Konfigurationen, die DTLS zwischen der Citrix Workspace-App und Citrix Gateway sowie DTLS zwischen Citrix Gateway und dem VDA verwenden, erfordern zusätzliche Maßnahmen.

Zusätzliche Maßnahmen sind erforderlich, wenn:

• die Citrix Receiver-Version HDX Adaptive Transport und DTLS unterstützt: Receiver für Windows (4.7, 4.8, 4.9), Receiver für Mac (12.5, 12.6, 12.7), Receiver für iOS (7.2, 7.3.x) oder Receiver für Linux (13.7)

und eine der folgenden Bedingungen ebenfalls zutrifft:

• die Citrix Gateway-Version DTLS zum VDA unterstützt, die VDA-Version jedoch kein DTLS unterstützt (Version 7.15 oder früher),

• die VDA-Version DTLS unterstützt (Version 7.16 oder höher), die Citrix Gateway-Version jedoch kein DTLS zum VDA unterstützt.

Um zu vermeiden, dass Verbindungen von Citrix Receiver™ fehlschlagen, führen Sie einen der folgenden Schritte aus:

• Aktualisieren Sie Citrix Receiver auf Receiver für Windows Version 4.10 oder höher, Receiver für Mac 12.8 oder höher oder Receiver für iOS Version 7.5 oder höher; oder
• Aktualisieren Sie das Citrix Gateway auf eine Version, die DTLS zum VDA unterstützt; oder
• Aktualisieren Sie den VDA auf Version 7.16 oder höher; oder
• Deaktivieren Sie DTLS am VDA; oder
• Deaktivieren Sie HDX Adaptive Transport.

Hinweis:

Ein geeignetes Update für Receiver für Linux ist noch nicht verfügbar. Receiver für Android (Version 3.12.3) unterstützt HDX Adaptive Transport und DTLS über Citrix Gateway nicht und ist daher nicht betroffen.

Um DTLS am VDA zu deaktivieren, ändern Sie die VDA-Firewallkonfiguration, um UDP-Port 443 zu deaktivieren. Siehe Netzwerkports.

TLS und HTML5-Videoumleitung sowie Browserinhaltsumleitung

Sie können die HTML5-Videoumleitung und die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service herstellen, der auf dem VDA ausgeführt wird. Um dies zu erreichen, generiert der HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA. Das Beenden des Dienstes entfernt die Zertifikate.

Die Richtlinie für die HTML5-Videoumleitung ist standardmäßig deaktiviert.

Die Browserinhaltsumleitung ist standardmäßig aktiviert.

Weitere Informationen zur HTML5-Videoumleitung finden Sie unter Multimedia-Richtlinieneinstellungen.