Sicherheitsschlüssel verwalten

Wichtig:

• Sie müssen diese Funktion in Kombination mit StoreFront™ 1912 LTSR CU2 oder höher verwenden.
• Die Secure XML-Funktion wird nur auf Citrix ADC und Citrix Gateway Release 12.1 und höher unterstützt.

Hinweis:

Sie können Ihre Citrix Virtual Apps and Desktops™-Bereitstellung mit zwei Verwaltungskonsolen verwalten: Web Studio (webbasiert) und Citrix Studio (Windows-basiert). Dieser Artikel behandelt nur Web Studio. Informationen zu Citrix Studio finden Sie im entsprechenden Artikel in Citrix Virtual Apps and Desktops 7 2212 oder früher.

Diese Funktion ermöglicht es Ihnen, nur zugelassenen StoreFront- und Citrix Gateway-Maschinen die Kommunikation mit Delivery Controllern zu gestatten. Nachdem Sie diese Funktion aktiviert haben, werden alle Anfragen blockiert, die den Schlüssel nicht enthalten. Verwenden Sie diese Funktion, um eine zusätzliche Sicherheitsebene zum Schutz vor Angriffen aus dem internen Netzwerk hinzuzufügen.

Ein allgemeiner Workflow zur Verwendung dieser Funktion ist wie folgt:

1. Aktivieren Sie Web Studio, um die Funktionseinstellungen anzuzeigen.

2. Konfigurieren Sie die Einstellungen für Ihre Site.

3. Konfigurieren Sie die Einstellungen für StoreFront.

4. Konfigurieren Sie die Einstellungen für Citrix ADC.

Einstellungen für die Site konfigurieren

Sie können Web Studio oder PowerShell verwenden, um die Sicherheitsschlüsseleinstellungen für Ihre Site zu konfigurieren.

Web Studio verwenden

1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen aus.

2. Suchen Sie die Kachel Sicherheitsschlüssel verwalten und klicken Sie auf Bearbeiten. Die Seite Sicherheitsschlüssel verwalten wird angezeigt.

   

3. Klicken Sie auf das Aktualisierungssymbol, um die Schlüssel zu generieren.

   Wichtig:

   • Es stehen zwei Schlüssel zur Verfügung. Sie können denselben Schlüssel oder verschiedene Schlüssel für die Kommunikation über die XML- und STA-Ports verwenden. Wir empfehlen, jeweils nur einen Schlüssel zu verwenden. Der ungenutzte Schlüssel wird nur für die Schlüsselrotation verwendet.
   • Klicken Sie nicht auf das Aktualisierungssymbol, um den bereits verwendeten Schlüssel zu aktualisieren. Andernfalls kommt es zu einer Dienstunterbrechung.

4. Wählen Sie aus, wo ein Schlüssel für die Kommunikation erforderlich ist:

   • Schlüssel für die Kommunikation über den XML-Port erforderlich (nur StoreFront). Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den XML-Port erforderlich. StoreFront kommuniziert über diesen Port mit Citrix Cloud. Informationen zum Ändern des XML-Ports finden Sie im Knowledge Center-Artikel CTX127945.

   • Schlüssel für die Kommunikation über den STA-Port erforderlich. Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den STA-Port erforderlich. Citrix Gateway und StoreFront kommunizieren über diesen Port mit Citrix Cloud. Informationen zum Ändern des STA-Ports finden Sie im Knowledge Center-Artikel CTX101988.

5. Klicken Sie auf Speichern, um Ihre Änderungen zu übernehmen und das Fenster zu schließen.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Web Studio-Vorgängen entsprechen.

1. Führen Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK aus.

2. Führen Sie in einem Befehlsfenster den folgenden Befehl aus:
   • Add-PSSnapIn Citrix*
3. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key1 einzurichten:
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key2 einzurichten:
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. Führen Sie einen oder beide der folgenden Befehle aus, um die Verwendung eines Schlüssels bei der Authentifizierung von Kommunikationen zu aktivieren:
   • Um Kommunikationen über den XML-Port zu authentifizieren:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • Um Kommunikationen über den STA-Port zu authentifizieren:
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Siehe die PowerShell-Befehlshilfe für Anleitungen und Syntax.

Einstellungen für StoreFront konfigurieren

Nach Abschluss der Konfiguration für Ihre Site müssen Sie relevante Einstellungen für StoreFront mithilfe von PowerShell konfigurieren.

Führen Sie auf dem StoreFront-Server die folgenden PowerShell-Befehle aus:

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

• Path to store
• Resource feed name
• secret

Verwenden Sie zum Konfigurieren des Schlüssels für die Kommunikation über den STA-Port die Befehle New-STFSecureTicketAuthority und Set-STFRoamingGateway. Beispiel:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Geben Sie die entsprechenden Werte für die folgenden Parameter ein:

• Gateway name
• STA URL
• Secret

Informationen zu Anleitung und Syntax finden Sie in der PowerShell-Befehlshilfe.

Einstellungen für Citrix ADC konfigurieren

Hinweis:

Das Konfigurieren dieser Funktion für Citrix ADC ist nicht erforderlich, es sei denn, Sie verwenden Citrix ADC als Gateway. Wenn Sie Citrix ADC verwenden, führen Sie die folgenden Schritte aus:

1. Stellen Sie sicher, dass die folgende Voraussetzungskonfiguration bereits vorhanden ist:

   • Die folgenden Citrix ADC-bezogenen IP-Adressen sind konfiguriert.
     • Citrix ADC Management-IP-Adresse (NSIP) für den Zugriff auf die Citrix ADC Konsole. Weitere Informationen finden Sie unter (/de-de/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-citrix-adc-ip-address.html).

     

     • Subnetz-IP-Adresse (SNIP) zur Ermöglichung der Kommunikation zwischen der Citrix ADC Appliance und den Back-End-Servern. Weitere Informationen finden Sie unter (/de-de/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-subnet-ip-addresses-snips.html).
     • Virtuelle IP-Adresse von Citrix Gateway und virtuelle IP-Adresse des Lastenausgleichs, um sich bei der ADC-Appliance für den Sitzungsstart anzumelden. Weitere Informationen finden Sie unter (/de-de/citrix-adc/current-release/load-balancing/load-balancing-setup.html#creating-a-virtual-server).

     

   • Die erforderlichen Modi und Funktionen in der Citrix ADC Appliance sind aktiviert.
     • Um die Modi zu aktivieren, gehen Sie in der Citrix ADC GUI zu System > Settings > Configure Mode.
     • Um die Funktionen zu aktivieren, gehen Sie in der Citrix ADC GUI zu System > Settings > Configure Basic Features.
   • Zertifikatsbezogene Konfigurationen sind abgeschlossen.
     • Die Zertifikatsignieranforderung (CSR) ist erstellt. Weitere Informationen finden Sie unter (/de-de/citrix-adc/current-release/ssl/ssl-certificates/obtain-cert-frm-cert-auth.html).

     

     • Die Server- und CA-Zertifikate sowie Stammzertifikate sind installiert. Weitere Informationen finden Sie unter (/de-de/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html).

     

     

     • Ein Citrix Gateway wurde für Citrix Virtual Desktops erstellt. Testen Sie die Konnektivität, indem Sie auf die Schaltfläche Test STA Connectivity klicken, um zu bestätigen, dass die virtuellen Server online sind. Weitere Informationen finden Sie unter Einrichten von Citrix ADC für Citrix Virtual Apps and Desktops.

     

2. Fügen Sie eine Rewrite-Aktion hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Aktion.

   1. Gehen Sie zu AppExpert > Rewrite > Actions.
   2. Klicken Sie auf Hinzufügen, um eine neue Rewrite-Aktion hinzuzufügen. Sie können die Aktion als „set Type to INSERT_HTTP_HEADER“ benennen.

   

   1. Wählen Sie unter Type die Option INSERT_HTTP_HEADER aus.
   2. Geben Sie unter Header Name den Wert X-Citrix-XmlServiceKey ein.
   3. Fügen Sie unter Expression <XmlServiceKey1 value> mit den Anführungszeichen hinzu. Sie können den Wert XmlServiceKey1 aus Ihrer Desktop Delivery Controller™-Konfiguration kopieren.

   

3. Fügen Sie eine Rewrite-Richtlinie hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Richtlinie.

   1. Gehen Sie zu AppExpert > Rewrite > Policies.

   2. Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen.

   

   1. Wählen Sie unter Aktion die im vorherigen Schritt erstellte Aktion aus.
   2. Fügen Sie unter Ausdruck HTTP.REQ.IS_VALID hinzu.
   3. Klicken Sie auf OK.

4. Richten Sie den Lastausgleich ein. Sie müssen einen virtuellen Lastausgleichsserver pro STA-Server konfigurieren. Andernfalls können die Sitzungen nicht gestartet werden.

   Weitere Informationen finden Sie unter Grundlegenden Lastausgleich einrichten.

   1. Erstellen Sie einen virtuellen Lastausgleichsserver.
      • Gehen Sie zu Traffic Management > Load Balancing > Servers.
      • Klicken Sie auf der Seite Virtuelle Server auf Hinzufügen.

      

      • Wählen Sie unter Protokoll HTTP aus.
      • Fügen Sie die virtuelle IP-Adresse für den Lastausgleich hinzu und wählen Sie unter Port 80 aus.
      • Klicken Sie auf OK.
   2. Erstellen Sie einen Lastausgleichsdienst.
      • Gehen Sie zu Traffic Management > Load Balancing > Services.

      

      • Wählen Sie unter Existing Server den virtuellen Server aus, der im vorherigen Schritt erstellt wurde.
      • Wählen Sie unter Protocol die Option HTTP aus und unter Port die Option 80.
      • Klicken Sie auf OK und dann auf Done.
   3. Binden Sie den Dienst an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Services and Service Groups auf No Load Balancing Virtual Server Service Binding.

      

      • Wählen Sie unter Service Binding den zuvor erstellten Dienst aus.
      • Klicken Sie auf Bind.
   4. Binden Sie die zuvor erstellte Rewrite-Richtlinie an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Edit.
      • Klicken Sie unter Advanced Settings auf Policies und klicken Sie dann im Abschnitt Policies auf +.

      

      • Wählen Sie unter Choose Policy die Option Rewrite aus und unter Choose Type die Option Request.
      • Klicken Sie auf Continue.
      • Wählen Sie unter Richtlinie auswählen die zuvor erstellte Rewrite-Richtlinie aus.
      • Klicken Sie auf Binden.
      • Klicken Sie auf Fertig.
   5. Richten Sie bei Bedarf die Persistenz für den virtuellen Server ein.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Bearbeiten.
      • Klicken Sie unter Erweiterte Einstellungen auf Persistenz.

      

      • Wählen Sie als Persistenztyp Andere aus.
      • Wählen Sie DESTIP, um Persistenzsitzungen basierend auf der IP-Adresse des vom virtuellen Server ausgewählten Dienstes (der Ziel-IP-Adresse) zu erstellen.
      • Fügen Sie unter IPv4-Netzmaske dieselbe Netzmaske wie die des DDC hinzu.
      • Klicken Sie auf OK.
   6. Wiederholen Sie diese Schritte auch für den anderen virtuellen Server.

Konfigurationsänderungen, wenn die Citrix ADC Appliance bereits mit Citrix Virtual Desktops™ konfiguriert ist

Wenn Sie die Citrix ADC Appliance bereits mit Citrix Virtual Desktops konfiguriert haben, müssen Sie die folgenden Konfigurationsänderungen vornehmen, um die Secure XML-Funktion zu verwenden.

• Ändern Sie vor dem Start der Sitzung die Security Ticket Authority URL des Gateways, um die FQDNs der virtuellen Load-Balancing-Server zu verwenden.
• Stellen Sie sicher, dass der TrustRequestsSentToTheXmlServicePort Parameter auf False gesetzt ist. Standardmäßig ist der TrustRequestsSentToTheXmlServicePort Parameter auf False gesetzt. Wenn der Kunde jedoch den Citrix ADC bereits für Citrix Virtual Desktops konfiguriert hat, ist der TrustRequestsSentToTheXmlServicePort auf True gesetzt.

1. Navigieren Sie in der Citrix ADC GUI zu Configuration > Integrate with Citrix Products und klicken Sie auf XenApp and XenDesktop®.

2. Wählen Sie die Gateway-Instanz aus und klicken Sie auf das Bearbeitungssymbol.

   

3. Klicken Sie im StoreFront-Bereich auf das Bearbeitungssymbol.

   

4. Fügen Sie die Secure Ticket Authority-URL hinzu.
   • Wenn die Secure XML-Funktion aktiviert ist, muss die STA-URL die URL des Lastenausgleichsdienstes sein.
   • Wenn die Secure XML-Funktion deaktiviert ist, muss die STA-URL die URL der STA (Adresse des DDC) sein und der TrustRequestsSentToTheXmlServicePort Parameter auf dem DDC muss auf True gesetzt werden.