Produktdokumentation

TLS auf dem Universal Print Server aktivieren

June 5, 2026
Beitrag von: 
C

Das Transport Layer Security (TLS)-Protokoll wird für TCP-basierte Verbindungen zwischen dem Virtual Delivery Agent (VDA) und dem Universal Print Server unterstützt.

Warnung:

Bei Aufgaben, die die Arbeit in der Windows-Registrierung umfassen – eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation Ihres Betriebssystems erfordern. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Arten von Druckverbindungen zwischen dem VDA und dem Universal Print Server

Klartextverbindungen

Die folgenden druckbezogenen Verbindungen stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Deaktiviert (Standard) gesetzt ist.

  • Klartext-Druck-Webdienstverbindungen (TCP-Port 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (TCP-Port 7229)

Der Microsoft-Supportartikel Serviceübersicht und Netzwerkanforderungen für Windows beschreibt die vom Microsoft Windows Print Spooler Service verwendeten Ports. Die SSL/TLS-Einstellungen in diesem Dokument gelten nicht für die NetBIOS- und RPC-Verbindungen, die vom Windows Print Spooler Service hergestellt werden. Der VDA verwendet den Windows Network Print Provider (win32spl.dll) als Fallback, wenn die Richtlinieneinstellung Universal Print Server aktivieren auf Aktiviert mit Fallback auf natives Windows-Remotedrucken gesetzt ist.

Sicherer Universal Print Server

Verschlüsselte Verbindungen

Diese SSL/TLS-Verbindungen, die sich auf den Druck beziehen, stammen vom VDA und stellen eine Verbindung zu Ports auf dem Universal Print Server her. Diese Verbindungen werden nur hergestellt, wenn die Richtlinieneinstellung SSL aktiviert auf Aktiviert gesetzt ist.

  • Verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443)
  • Verschlüsselte Druckdatenstrom (CGP)-Verbindungen (TCP-Port 443)

Sicherer Universal Print Server 2

SSL/TLS-Clientkonfiguration

Der VDA fungiert als SSL/TLS-Client.

Verwenden Sie die Microsoft Gruppenrichtlinie und die Registrierung, um Microsoft SCHANNEL SSP für verschlüsselte Druck-Webdienstverbindungen (TCP-Port 8443) zu konfigurieren. Der Microsoft-Supportartikel TLS-Registrierungseinstellungen beschreibt die Registrierungseinstellungen für Microsoft SCHANNEL SSP.

Verwenden Sie den Gruppenrichtlinieneditor auf dem VDA, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > Reihenfolge der SSL-Chiffre-Suites. Wählen Sie die folgende Reihenfolge, wenn TLS 1.3 festgelegt ist:

TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256

Wählen Sie die folgende Reihenfolge, wenn TLS 1.2 festgelegt ist:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Hinweis:

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, wählt der VDA eine Chiffre-Suite für verschlüsselte Druck-Webdienstverbindungen (Standardport: 8443) nur, wenn die Verbindungen in beiden SSL-Chiffre-Suite-Listen aufgeführt sind:

  • Gruppenrichtlinien-SSL-Chiffre-Suite-Reihenfolgeliste
  • Liste, die der ausgewählten SSL-Chiffre-Suite-Richtlinieneinstellung (COM, GOV oder ALL) entspricht

Diese Gruppenrichtlinienkonfiguration wirkt sich auch auf andere TLS-Anwendungen und -Dienste auf dem VDA aus. Wenn Ihre Anwendungen bestimmte Chiffre-Suites erfordern, müssen Sie diese möglicherweise zu dieser Gruppenrichtlinien-Chiffre-Suite-Reihenfolgeliste hinzufügen.

Wichtig:

Gruppenrichtlinienänderungen für die TLS-Konfiguration werden erst nach einem Neustart des Betriebssystems wirksam.

Verwenden Sie eine Citrix-Richtlinie, um die SSL/TLS-Einstellungen für verschlüsselte Druckdatenstrom- (CGP-)Verbindungen (TCP-Port 443) zu konfigurieren.

SSL/TLS-Serverkonfiguration

Der Universal Print Server fungiert als SSL/TLS-Server.

Verwenden Sie das Enable-UpsSsl.ps1 PowerShell-Skript, um die SSL/TLS-Einstellungen zu konfigurieren.

Installieren eines TLS-Zertifikats auf dem Universal Print Server

Für HTTPS müssen Sie ein SSL-Serverzertifikat auf dem Universal Print Server installieren, dem die VDAs vertrauen. Verwenden Sie Microsoft Active Directory-Zertifikatdienste oder eine andere Zertifizierungsstelle, um ein Zertifikat für den Universal Print Server anzufordern.

Beachten Sie die folgenden Punkte, wenn Sie ein Zertifikat über Microsoft Active Directory-Zertifikatdienste registrieren/anfordern:

  1. Platzieren Sie das Zertifikat im Zertifikatspeicher Persönlich des lokalen Computers.
  2. Legen Sie das Attribut Common Name des Distinguished Name des Antragstellers (Subject DN) des Zertifikats auf den vollqualifizierten Domänennamen (FQDN) des Universal Print Servers fest. Geben Sie dies in der Zertifikatvorlage an.
  3. Legen Sie den Kryptografiedienstanbieter (CSP), der zum Generieren der Zertifikatanforderung und des privaten Schlüssels verwendet wird, auf Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption) fest. Geben Sie dies in der Zertifikatvorlage an.
  4. Legen Sie die Schlüssellänge auf mindestens 2048 Bit fest. Geben Sie dies in der Zertifikatvorlage an.

Weitere Informationen zum Erstellen und Installieren von Zertifikaten finden Sie unter Zertifikate verwalten.

Konfigurieren von SSL auf dem Universal Print Server

Der XTE-Dienst auf dem Universal Print Server überwacht eingehende Verbindungen. Er fungiert als SSL-Server, wenn SSL aktiviert ist. Die eingehenden Verbindungen sind zweierlei Art: Druck-Webdienstverbindungen, die Druckbefehle enthalten, und Druckdatenstromverbindungen, die Druckaufträge enthalten. SSL kann für diese Verbindungen aktiviert werden. SSL schützt die Vertraulichkeit und Integrität dieser Verbindungen. Standardmäßig ist SSL deaktiviert.

Das PowerShell-Skript zur Konfiguration von SSL befindet sich auf dem Installationsmedium und hat diesen Dateinamen: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Konfigurieren der Listening-Portnummern auf dem Universal Print Server

Dies sind die Standardports für den XTE-Dienst:

  • Klartext-Druck-Webdienst (HTTP) TCP-Port: 8080
  • Klartext-Druckdatenstrom (CGP) TCP-Port: 7229
  • Verschlüsselter Druck-Webdienst (HTTPS) TCP-Port: 8443
  • Verschlüsselter Druckdatenstrom (CGP) TCP-Port: 443

Um die vom XTE-Dienst auf dem Universal Print Server verwendeten Ports zu ändern, führen Sie die folgenden Befehle in PowerShell als Administrator aus (Hinweise zur Verwendung des PowerShell-Skripts Enable-UpsSsl.ps1 finden Sie im späteren Abschnitt):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> oder Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

TLS-Einstellungen auf dem Universal Print Server

Wenn Sie mehrere Universal Print Server in einer Lastenausgleichskonfiguration haben, stellen Sie sicher, dass die TLS-Einstellungen auf allen Universal Print Servern konsistent konfiguriert sind.

Wenn Sie TLS auf dem Universal Print Server konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der Universal Printing Service Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der Universal Printing Service über Folgendes informiert wird:

  • Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.
  • Welche TCP-Portnummern für TLS-Verbindungen verwendet werden sollen.

Die Windows-Firewall (sofern aktiviert) muss so konfiguriert werden, dass eingehende Verbindungen auf diesen TCP-Ports zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript Enable-UpsSsl.ps1 verwenden.

  • Welche Versionen des TLS-Protokolls zugelassen werden sollen.

Der Universal Print Server unterstützt die TLS-Protokollversionen 1.3 und 1.2. Geben Sie die mindestens zulässige Version an.

Die Standard-TLS-Protokollversion ist 1.2.

Hinweis:

TLS 1.1 und 1.0 werden ab Citrix Virtual Apps and Desktops Version 2311 nicht mehr unterstützt.

  • Welche TLS-Cipher-Suites zugelassen werden sollen.

Eine Cipher-Suite wählt die kryptografischen Algorithmen aus, die für eine Verbindung verwendet werden. VDAs und Universal Print Server können unterschiedliche Sätze von Cipher-Suites unterstützen. Wenn ein VDA eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der Universal Print Server eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine passende Cipher-Suite vorhanden ist, lehnt der Universal Print Server die Verbindung ab.

Der Universal Print Server unterstützt die folgenden Cipher-Suite-Sätze mit den Bezeichnungen GOV(ernment), COM(mercial) und ALL für die nativen Crypto Kit-Modi OPEN, FIPS und SP800-52. Die akzeptablen Cipher-Suites hängen auch von der Richtlinieneinstellung SSL FIPS Mode und vom Windows FIPS-Modus ab. Weitere Informationen zum Windows FIPS-Modus finden Sie in diesem Microsoft-Supportartikel.

Cipher-Suite (in absteigender Prioritätsreihenfolge) OPEN ALL OPEN COM OPEN GOV FIPS ALL FIPS COM FIPS GOV SP800-52 ALL SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

TLS auf einem Universal Print Server mithilfe des PowerShell-Skripts konfigurieren

Installieren Sie das TLS-Zertifikat im Bereich Lokaler Computer > Persönlich > Zertifikate des Zertifikatspeichers. Wenn sich mehr als ein Zertifikat an diesem Speicherort befindet, geben Sie den Fingerabdruck des Zertifikats an das Enable-UpsSsl.ps1 PowerShell-Skript weiter.

Hinweis:

Das PowerShell-Skript findet das richtige Zertifikat basierend auf dem FQDN des Universal Print Servers. Sie müssen den Zertifikatsfingerabdruck nicht angeben, wenn nur ein einziges Zertifikat für den FQDN des Universal Print Servers vorhanden ist.

Das Enable-UpsSsl.ps1 Skript aktiviert oder deaktiviert TLS-Verbindungen, die vom VDA zum Universal Print Server stammen. Dieses Skript ist im Ordner Support > Tools > SslSupport auf dem Installationsmedium verfügbar.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für die TCP-Ports des Universal Print Servers. Anschließend werden neue Regeln hinzugefügt, die es dem XTE-Dienst ermöglichen, eingehende Verbindungen nur über die TLS-TCP- und UDP-Ports zu akzeptieren. Es deaktiviert auch die Windows-Firewallregeln für:

  • Klartext-Druck-Webdienstverbindungen (Standard: 8080)
  • Klartext-Druckdatenstrom (CGP)-Verbindungen (Standard: 7229)

Dies hat zur Folge, dass der VDA diese Verbindungen nur bei Verwendung von TLS herstellen kann.

Hinweis:

Das Aktivieren von TLS hat keine Auswirkungen auf Windows Print Spooler RPC/SMB-Verbindungen, die vom VDA ausgehen und zum Universal Print Server führen.

Wichtig:

Geben Sie als ersten Parameter entweder Enable oder Disable an. Der Parameter CertificateThumbprint ist optional, wenn nur ein Zertifikat im persönlichen Zertifikatspeicher des lokalen Computers den FQDN des Universal Print Servers enthält. Die anderen Parameter sind optional.

Syntax 

Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
Parameter Beschreibung
Enable Aktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter Disable ist erforderlich.
Disable Deaktiviert SSL/TLS auf dem XTE-Server. Entweder dieser Parameter oder der Parameter Enable ist erforderlich.
CertificateThumbprint "<thumbprint>" Fingerabdruck des TLS-Zertifikats im persönlichen Zertifikatspeicher des lokalen Computers, in Anführungszeichen eingeschlossen. Das Skript verwendet den angegebenen Fingerabdruck, um das gewünschte Zertifikat auszuwählen.
HTTPPort <port> Port des Klartext-Druck-Webdienstes (HTTP/SOAP). Standard: 8080
CGPPort <port> Port des Klartext-Druckdatenstroms (CGP). Standard: 7229
HTTPSPort <port> Port des verschlüsselten Druck-Webdienstes (HTTPS/SOAP). Standard: 8443
CGPSSLPort <port> Port des verschlüsselten Druckdatenstroms (CGP). Standard: 443
SSLMinVersion "<version>" Mindestversion des TLS-Protokolls, in Anführungszeichen eingeschlossen. Gültige Werte: „TLS_1.2“ und „TLS_1.3“. Standard: TLS_1.2.
SSLCipherSuite "<name>" Name des TLS-Cipher-Suite-Pakets, in Anführungszeichen eingeschlossen. Gültige Werte: „GOV“, „COM“ und „ALL“ (Standard).
FIPSMode <Boolean> Aktiviert oder deaktiviert den FIPS 140-Modus im XTE-Server. Gültige Werte: $true zum Aktivieren des FIPS 140-Modus, $false zum Deaktivieren des FIPS 140-Modus.

Beispiele

Das folgende Skript aktiviert TLS. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Das folgende Skript deaktiviert TLS.

Enable-UpsSsl.ps1 –Disable

Konfigurieren des FIPS-Modus

Die Aktivierung des US Federal Information Processing Standards (FIPS)-Modus stellt sicher, dass für verschlüsselte Verbindungen des Universal Print Server nur FIPS 140-konforme Kryptographie verwendet wird.

Konfigurieren Sie den FIPS-Modus auf dem Server, bevor Sie den FIPS-Modus auf dem Client konfigurieren.

Informationen zum Aktivieren/Deaktivieren des Windows FIPS-Modus finden Sie auf der Dokumentationsseite von Microsoft.

Aktivieren des FIPS-Modus auf dem Client

Führen Sie auf dem Delivery Controller™ Web Studio aus und setzen Sie die Citrix-Richtlinieneinstellung UPS FIPS Mode auf Enabled. Aktivieren Sie die Citrix-Richtlinie.

Führen Sie dies auf jedem VDA aus:

  1. Aktivieren Sie den Windows FIPS-Modus.
  2. Starten Sie den VDA neu.

FIPS-Modus auf dem Server aktivieren

Führen Sie dies auf jedem Universal Print Server aus:

  1. Windows FIPS-Modus aktivieren.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Parametern -Enable -FIPSMode $true aus.
  4. Starten Sie den Universal Print Server neu.

FIPS-Modus auf dem Client deaktivieren

Legen Sie in Web Studio die Citrix-Richtlinieneinstellung UPS FIPS Mode auf Deaktiviert fest. Aktivieren Sie die Citrix-Richtlinie. Sie können die Citrix-Richtlinieneinstellung UPS FIPS Mode auch löschen.

Führen Sie dies auf jedem VDA aus:

  1. Windows FIPS-Modus deaktivieren.
  2. Starten Sie den VDA neu.

FIPS-Modus auf dem Server deaktivieren

Führen Sie dies auf jedem Universal Print Server aus:

  1. Windows FIPS-Modus deaktivieren.
  2. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  3. Führen Sie das Enable-UpsSsl.ps1 Skript mit den -Enable -FIPSMode $false Parametern aus.
  4. Starten Sie den Universal Print Server neu.

Hinweis:

Der FIPS-Modus wird nicht unterstützt, wenn die SSL-Protokollversion auf TLS 1.3 eingestellt ist.

Konfigurieren der SSL/TLS-Protokollversion

Die Standard-SSL/TLS-Protokollversion ist TLS 1.2. TLS 1.2 und TLS 1.3 sind die empfohlenen SSL/TLS-Protokollversionen für den Produktionseinsatz. Zur Fehlerbehebung kann es erforderlich sein, die SSL/TLS-Protokollversion in einer Nicht-Produktionsumgebung vorübergehend zu ändern.

SSL 2.0 und SSL 3.0 werden auf dem Universal Print Server nicht unterstützt.

Einstellen der SSL/TLS-Protokollversion auf dem Server

Führen Sie dies auf jedem Universal Print Server aus:

  1. Führen Sie diesen PowerShell-Befehl als Administrator aus: stop-service CitrixXTEServer, UpSvc
  2. Führen Sie das Skript Enable-UpsSsl.ps1 mit den Versionsparametern -Enable -SSLMinVersion aus. Denken Sie daran, dies nach Abschluss der Tests wieder auf TLS 1.2 oder TLS 1.3 zurückzusetzen.
  3. Starten Sie den Universal Print Server neu.

Einstellen der SSL/TLS-Protokollversion auf dem Client

Stellen Sie in Studio die Richtlinieneinstellung SSL-Protokollversion auf die gewünschte Protokollversion ein und aktivieren Sie die Richtlinie.

Stellen Sie sicher, dass das Betriebssystem des VDA die ausgewählte TLS-Version unterstützt. Informationen zu unterstützten TLS-Versionen unter Windows finden Sie unter Microsoft Learn – TLS-Protokollversionsunterstützung. Informationen zum Konfigurieren der Registrierung zum Überschreiben von Standardeinstellungen finden Sie unter Microsoft Learn – TLS-, DTLS- und SSL-Protokollversionseinstellungen.

Fehlerbehebung

Wenn ein Verbindungsfehler auftritt, überprüfen Sie die Datei C:\Program Files (x86)\Citrix\XTE\logs\error.log auf dem Universal Print Server.

Die Fehlermeldung SSL handshake from client failed erscheint in dieser Protokolldatei, wenn der SSL/TLS-Handshake fehlschlägt. Solche Fehler können auftreten, wenn die SSL/TLS-Protokollversion auf dem VDA und dem Universal Print Server nicht übereinstimmt.

Verwenden Sie den FQDN des Universal Print Servers in den folgenden Richtlinieneinstellungen, die Universal Print Server-Hostnamen enthalten:

  • Sitzungsdrucker
  • Druckerzuweisungen
  • Universal Print Server für den Lastausgleich

Stellen Sie sicher, dass die Systemuhr (Datum, Uhrzeit und Zeitzone) auf den Universal Print Servern und den VDAs korrekt ist.

TLS auf dem Universal Print Server aktivieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.