Produktdokumentation

TLS auf dem Universal Print Server aktivieren

June 5, 2026
Beitrag von: 
C

Das Transport Layer Security (TLS)-Protokoll wird für TCP-basierte Verbindungen zwischen dem Virtual Delivery Agent (VDA) und dem Universal Print Server unterstützt.

Warnung:

Bei Aufgaben, die die Arbeit in der Windows-Registrierung umfassen – eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation Ihres Betriebssystems erfordern. Citrix® kann nicht garantieren, dass Probleme, die durch die falsche Verwendung des Registrierungs-Editors entstehen, gelöst werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Arten von Druckverbindungen zwischen dem VDA und dem Universal Print Server

Klartextverbindungen

Die folgenden druckbezogenen Verbindungen stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Deaktiviert (Standard) gesetzt ist.

  • Klartext-Druck-Webdienstverbindungen (TCP-Port 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (TCP-Port 7229)

Der Microsoft-Supportartikel Dienstübersicht und Netzwerkanforderungen für Windows beschreibt die vom Microsoft Windows-Druckspoolerdienst verwendeten Ports. Die SSL/TLS-Einstellungen in diesem Dokument gelten nicht für die NetBIOS- und RPC-Verbindungen, die vom Windows-Druckspoolerdienst hergestellt werden. Der VDA verwendet den Windows Network Print Provider (win32spl.dll) als Fallback, wenn die Richtlinieneinstellung Universal Print Server aktivieren auf Aktiviert mit Fallback auf Windows’ native Remotedruckfunktion gesetzt ist.

Universal Print Server sicher

Verschlüsselte Verbindungen

Diese druckbezogenen SSL/TLS-Verbindungen stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Aktiviert gesetzt ist.

  • Verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443)
  • Verschlüsselte Druckdatenstrom (CGP)-Verbindungen (TCP-Port 443)

Sicherer Universal Print Server 2

SSL/TLS-Clientkonfiguration

Der VDA fungiert als SSL/TLS-Client.

Verwenden Sie die Microsoft Gruppenrichtlinie und die Registrierung, um Microsoft SCHANNEL SSP für verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443) zu konfigurieren. Der Microsoft-Supportartikel TLS-Registrierungseinstellungen beschreibt die Registrierungseinstellungen für Microsoft SCHANNEL SSP.

Verwenden Sie den Gruppenrichtlinieneditor auf dem VDA, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > SSL-Chiffre-Suite-Reihenfolge. Wählen Sie die folgende Reihenfolge, wenn TLS 1.3 festgelegt ist:

TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256

Wählen Sie die folgende Reihenfolge, wenn TLS 1.2 festgelegt ist:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Hinweis:

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, wählt der VDA eine Chiffre-Suite für verschlüsselte Druck-Webdienstverbindungen (Standardport: 8443) nur dann aus, wenn die Verbindungen in beiden SSL-Chiffre-Suite-Listen erscheinen:

  • Gruppenrichtlinien-SSL-Chiffre-Suite-Reihenfolgeliste
  • Liste, die der ausgewählten SSL-Chiffre-Suite-Richtlinieneinstellung (COM, GOV oder ALL) entspricht

Diese Gruppenrichtlinienkonfiguration wirkt sich auch auf andere TLS-Anwendungen und -Dienste auf dem VDA aus. Wenn Ihre Anwendungen bestimmte Chiffre-Suiten erfordern, müssen Sie diese möglicherweise zu dieser Gruppenrichtlinien-Chiffre-Suite-Reihenfolgeliste hinzufügen.

Wichtig:

Gruppenrichtlinienänderungen für die TLS-Konfiguration werden erst nach einem Neustart des Betriebssystems wirksam.

Verwenden Sie eine Citrix-Richtlinie, um SSL/TLS-Einstellungen für verschlüsselte Druckdatenstromverbindungen (CGP) (TCP-Port 443) zu konfigurieren.

SSL/TLS-Serverkonfiguration

Der Universal Print Server fungiert als SSL/TLS-Server.

Verwenden Sie das Enable-UpsSsl.ps1 PowerShell-Skript, um die SSL/TLS-Einstellungen zu konfigurieren.

Installieren eines TLS-Zertifikats auf dem Universal Print Server

Für HTTPS müssen Sie ein SSL-Serverzertifikat auf dem Universal Print Server installieren, dem die VDAs vertrauen. Verwenden Sie Microsoft Active Directory-Zertifikatdienste oder eine andere Zertifizierungsstelle, um ein Zertifikat für den Universal Print Server anzufordern.

Beachten Sie die folgenden Punkte, wenn Sie ein Zertifikat über Microsoft Active Directory-Zertifikatdienste registrieren/anfordern:

  1. Legen Sie das Zertifikat im Zertifikatspeicher Persönlich des lokalen Computers ab.
  2. Legen Sie das Attribut Common Name des Distinguished Name des Antragstellers (Subject DN) des Zertifikats auf den vollqualifizierten Domänennamen (FQDN) des Universal Print Servers fest. Geben Sie dies in der Zertifikatvorlage an.
  3. Legen Sie den kryptografischen Dienstanbieter (CSP), der zum Generieren der Zertifikatanforderung und des privaten Schlüssels verwendet wird, auf Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption) fest. Geben Sie dies in der Zertifikatvorlage an.
  4. Legen Sie die Schlüssellänge auf mindestens 2048 Bit fest. Geben Sie dies in der Zertifikatvorlage an.

Weitere Informationen zum Erstellen und Installieren von Zertifikaten finden Sie unter Zertifikate verwalten.

Konfigurieren von SSL auf dem Universal Print Server

Der XTE-Dienst auf dem Universal Print Server überwacht eingehende Verbindungen. Er fungiert als SSL-Server, wenn SSL aktiviert ist. Es gibt zwei Arten von eingehenden Verbindungen: Druck-Webdienstverbindungen, die Druckbefehle enthalten, und Druckdatenstromverbindungen, die Druckaufträge enthalten. SSL kann für diese Verbindungen aktiviert werden. SSL schützt die Vertraulichkeit und Integrität dieser Verbindungen. Standardmäßig ist SSL deaktiviert.

Das PowerShell-Skript zur Konfiguration von SSL befindet sich auf dem Installationsmedium und hat diesen Dateinamen: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Konfigurieren von Abhör-Portnummern auf dem Universal Print Server

Dies sind die Standardports für den XTE-Dienst:

  • Klartext-Druck-Webdienst (HTTP) TCP-Port: 8080
  • Klartext-Druckdatenstrom (CGP) TCP-Port: 7229
  • Verschlüsselter Druck-Webdienst (HTTPS) TCP-Port: 8443
  • Verschlüsselter Druckdatenstrom (CGP) TCP-Port: 443

Um die vom XTE-Dienst auf dem Universal Print Server verwendeten Ports zu ändern, führen Sie die folgenden Befehle in PowerShell als Administrator aus (siehe den späteren Abschnitt für Hinweise zur Verwendung des PowerShell-Skripts Enable-UpsSsl.ps1):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> oder Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

TLS-Einstellungen auf dem Universal Print Server

Wenn Sie mehrere Universal Print Server in einer Lastenausgleichskonfiguration haben, stellen Sie sicher, dass die TLS-Einstellungen auf allen Universal Print Servern konsistent konfiguriert sind.

Wenn Sie TLS auf dem Universal Print Server konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der Universal Printing Service Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der Universal Printing Service über Folgendes informiert wird:

  • Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.
  • Welche TCP-Portnummern für TLS-Verbindungen verwendet werden sollen.

Die Windows-Firewall (sofern aktiviert) muss so konfiguriert werden, dass eingehende Verbindungen auf diesen TCP-Ports zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript Enable-UpsSsl.ps1 verwenden.

  • Welche Versionen des TLS-Protokolls zugelassen werden sollen.

Der Universal Print Server unterstützt die TLS-Protokollversionen 1.3 und 1.2. Geben Sie die minimal zulässige Version an.

Die Standard-TLS-Protokollversion ist 1.2.

Hinweis:

TLS 1.1 und 1.0 werden ab Citrix Virtual Apps and Desktops Version 2311 nicht mehr unterstützt.

  • Welche TLS-Cipher-Suites zugelassen werden sollen.

Eine Cipher-Suite wählt die kryptografischen Algorithmen aus, die für eine Verbindung verwendet werden. VDAs und der Universal Print Server können unterschiedliche Sätze von Cipher-Suites unterstützen. Wenn ein VDA eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der Universal Print Server eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine passende Cipher-Suite vorhanden ist, lehnt der Universal Print Server die Verbindung ab.

Der Universal Print Server unterstützt die folgenden Cipher-Suite-Sätze mit den Bezeichnungen GOV(ernment), COM(mercial) und ALL für die nativen Crypto Kit-Modi OPEN, FIPS und SP800-52. Die akzeptablen Cipher-Suites hängen auch von der Richtlinieneinstellung SSL FIPS Mode und vom Windows FIPS-Modus ab. Informationen zum Windows FIPS-Modus finden Sie in diesem Microsoft Support-Artikel.

Cipher-Suite (in absteigender Prioritätsreihenfolge) OPEN ALL OPEN COM OPEN GOV FIPS ALL FIPS COM FIPS GOV SP800-52 ALL SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

TLS auf einem Universal Print Server mithilfe des PowerShell-Skripts konfigurieren

Installieren Sie das TLS-Zertifikat im Bereich Lokaler Computer > Persönlich > Zertifikate des Zertifikatspeichers. Wenn sich mehr als ein Zertifikat an diesem Speicherort befindet, geben Sie den Fingerabdruck des Zertifikats an das Enable-UpsSsl.ps1 PowerShell-Skript weiter.

Hinweis:

Das PowerShell-Skript findet das richtige Zertifikat basierend auf dem FQDN des Universal Print Servers. Sie müssen den Zertifikatsfingerabdruck nicht angeben, wenn nur ein einziges Zertifikat für den FQDN des Universal Print Servers vorhanden ist.

Das Enable-UpsSsl.ps1 Skript aktiviert oder deaktiviert TLS-Verbindungen, die vom VDA zum Universal Print Server stammen. Dieses Skript ist im Ordner Support > Tools > SslSupport auf dem Installationsmedium verfügbar.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für die TCP-Ports des Universal Print Servers. Anschließend werden neue Regeln hinzugefügt, die es dem XTE-Dienst ermöglichen, eingehende Verbindungen nur über die TLS-TCP- und UDP-Ports zu akzeptieren. Außerdem werden die Windows-Firewallregeln deaktiviert für:

  • Klartext-Druck-Webdienstverbindungen (Standard: 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (Standard: 7229)

Dies hat zur Folge, dass der VDA diese Verbindungen nur bei Verwendung von TLS herstellen kann.

Hinweis:

Das Aktivieren von TLS hat keine Auswirkungen auf Windows Print Spooler RPC/SMB-Verbindungen, die vom VDA ausgehen und zum Universal Print Server führen.

Wichtig:

Geben Sie als ersten Parameter entweder Enable oder Disable an. Der Parameter „CertificateThumbprint“ ist optional, wenn nur ein Zertifikat im persönlichen Zertifikatspeicher des lokalen Computers das FQDN des Universal Print Servers enthält. Die anderen Parameter sind optional.

Syntax 

Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
Parameter Beschreibung
Enable Aktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter „Disable“ ist erforderlich.
Disable Deaktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter „Enable“ ist erforderlich.
CertificateThumbprint "<thumbprint>" Fingerabdruck des TLS-Zertifikats im persönlichen Zertifikatspeicher des lokalen Computers, in Anführungszeichen. Das Skript verwendet den angegebenen Fingerabdruck, um das gewünschte Zertifikat auszuwählen.
HTTPPort <port> Port des Klartext-Druck-Webdienstes (HTTP/SOAP). Standard: 8080
CGPPort <port> Port des Klartext-Druckdatenstroms (CGP). Standard: 7229
HTTPSPort <port> Port des verschlüsselten Druck-Webdienstes (HTTPS/SOAP). Standard: 8443
CGPSSLPort <port> Port des verschlüsselten Druckdatenstroms (CGP). Standard: 443
SSLMinVersion "<version>" Mindestversion des TLS-Protokolls, in Anführungszeichen. Gültige Werte: „TLS_1.2“ und „TLS_1.3“. Standard: TLS_1.2.
SSLCipherSuite "<name>" Name des TLS-Cipher-Suite-Pakets, in Anführungszeichen. Gültige Werte: „GOV“, „COM“ und „ALL“ (Standard).
FIPSMode <Boolean> Aktiviert oder deaktiviert den FIPS 140-Modus im XTE-Server. Gültige Werte: $true zum Aktivieren des FIPS 140-Modus, $false zum Deaktivieren des FIPS 140-Modus.

Beispiele

Das folgende Skript aktiviert TLS. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Das folgende Skript deaktiviert TLS.

Enable-UpsSsl.ps1 –Disable

FIPS-Modus konfigurieren

Das Aktivieren des US Federal Information Processing Standards (FIPS)-Modus stellt sicher, dass für verschlüsselte Verbindungen des Universal Print Server nur FIPS 140-konforme Kryptografie verwendet wird.

Konfigurieren Sie den FIPS-Modus auf dem Server, bevor Sie den FIPS-Modus auf dem Client konfigurieren.

Konsultieren Sie die Dokumentationsseite von Microsoft zum Aktivieren/Deaktivieren des Windows FIPS-Modus.

FIPS-Modus auf dem Client aktivieren

Führen Sie auf dem Delivery Controller™ Web Studio aus und setzen Sie die Citrix-Richtlinieneinstellung UPS FIPS Mode auf Enabled. Aktivieren Sie die Citrix-Richtlinie.

Führen Sie dies auf jedem VDA aus:

  1. Aktivieren Sie den Windows FIPS-Modus.
  2. Starten Sie den VDA neu.

FIPS-Modus auf dem Server aktivieren

Führen Sie dies auf jedem Universal Print Server aus:

  1. Aktivieren Sie den Windows FIPS-Modus.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Parametern -Enable -FIPSMode $true aus.
  4. Starten Sie den Universal Print Server neu.

FIPS-Modus auf dem Client deaktivieren

Legen Sie in Web Studio die Citrix-Richtlinieneinstellung UPS FIPS Mode auf Disabled fest. Aktivieren Sie die Citrix-Richtlinie. Sie können die Citrix-Richtlinieneinstellung UPS FIPS Mode auch löschen.

Führen Sie dies auf jedem VDA aus:

  1. Deaktivieren Sie den Windows FIPS-Modus.
  2. Starten Sie den VDA neu.

FIPS-Modus auf dem Server deaktivieren

Führen Sie dies auf jedem Universal Print Server aus:

  1. Deaktivieren Sie den Windows FIPS-Modus.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Enable-UpsSsl.ps1-Skript mit den -Enable -FIPSMode $false-Parametern aus.
  4. Starten Sie den Universal Print Server neu.

Hinweis:

Der FIPS-Modus wird nicht unterstützt, wenn die SSL-Protokollversion auf TLS 1.3 eingestellt ist.

Konfigurieren der SSL/TLS-Protokollversion

Die Standard-SSL/TLS-Protokollversion ist TLS 1.2. TLS 1.2 und TLS 1.3 sind die empfohlenen SSL/TLS-Protokollversionen für den Produktionseinsatz. Zur Fehlerbehebung kann es erforderlich sein, die SSL/TLS-Protokollversion in einer Nicht-Produktionsumgebung vorübergehend zu ändern.

SSL 2.0 und SSL 3.0 werden auf dem Universal Print Server nicht unterstützt.

Festlegen der SSL/TLS-Protokollversion auf dem Server

Führen Sie dies auf jedem Universal Print Server aus:

  1. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  2. Führen Sie das Enable-UpsSsl.ps1-Skript mit den -Enable -SSLMinVersion-Versionsparametern aus. Denken Sie daran, dies nach Abschluss der Tests wieder auf TLS 1.2 oder TLS 1.3 zurückzusetzen.
  3. Starten Sie den Universal Print Server neu.

Festlegen der SSL/TLS-Protokollversion auf dem Client

Legen Sie in Studio die Richtlinieneinstellung SSL-Protokollversion auf die gewünschte Protokollversion fest und aktivieren Sie die Richtlinie.

Stellen Sie sicher, dass das Betriebssystem des VDA die ausgewählte TLS-Version unterstützt. Informationen zu unterstützten TLS-Versionen unter Windows finden Sie unter Microsoft Learn – TLS-Protokollversionsunterstützung. Informationen zum Konfigurieren der Registrierung zum Überschreiben von Standardeinstellungen finden Sie unter Microsoft Learn – TLS-, DTLS- und SSL-Protokollversionseinstellungen.

Fehlerbehebung

Wenn ein Verbindungsfehler auftritt, überprüfen Sie die Datei C:\Program Files (x86)\Citrix\XTE\logs\error.log auf dem Universal Print Server.

Die Fehlermeldung SSL handshake from client failed (SSL-Handshake vom Client fehlgeschlagen) wird in dieser Protokolldatei angezeigt, wenn der SSL/TLS-Handshake fehlschlägt. Solche Fehler können auftreten, wenn die SSL/TLS-Protokollversion auf dem VDA und dem Universal Print Server nicht übereinstimmt.

Verwenden Sie den FQDN des Universal Print Servers in den folgenden Richtlinieneinstellungen, die Hostnamen des Universal Print Servers enthalten:

  • Sitzungsdrucker
  • Druckerzuweisungen
  • Universal Print Server für den Lastausgleich

Stellen Sie sicher, dass die Systemuhr (Datum, Uhrzeit und Zeitzone) auf den Universal Print Servern und den VDAs korrekt ist.

TLS auf dem Universal Print Server aktivieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.