TLS / DTLS auf VDAs aktivieren

Aktivieren Sie TLS-Verbindungen zwischen der Citrix Workspace™-App und Virtual Delivery Agents (VDAs), indem Sie die folgenden Aufgaben ausführen:

• Installieren Sie Zertifikate auf den VDAs. Einzelheiten finden Sie unter Anfordern und Installieren eines Zertifikats
• Konfigurieren Sie TLS auf den Maschinen, auf denen die VDAs installiert sind. (Der Einfachheit halber werden weitere Verweise auf Maschinen, auf denen VDAs installiert sind, einfach als „VDAs“ bezeichnet.) Es wird dringend empfohlen, das von Citrix bereitgestellte PowerShell-Skript zur Konfiguration von TLS/DTLS zu verwenden. Einzelheiten finden Sie unter Konfigurieren von TLS auf einem VDA mit dem PowerShell-Skript. Wenn Sie TLS/DTLS jedoch manuell konfigurieren möchten, lesen Sie Manuelles Konfigurieren von TLS auf einem VDA.
• Konfigurieren Sie TLS in den Delivery Groups, die die VDAs enthalten, indem Sie eine Reihe von PowerShell-Cmdlets in Studio ausführen. Einzelheiten finden Sie unter Konfigurieren von TLS in Delivery Groups.

Anforderungen und Überlegungen:

• Konfigurieren Sie TLS in den Delivery Groups und auf den VDAs, nachdem Sie Komponenten installiert, eine Site erstellt, Maschinenkataloge erstellt und Delivery Groups erstellt haben.
• Um TLS in den Delivery Groups zu konfigurieren, müssen Sie über die Berechtigung verfügen, Controller-Zugriffsregeln zu ändern. Ein Full Administrator besitzt diese Berechtigung.
• Um TLS auf den VDAs zu konfigurieren, müssen Sie ein Windows-Administrator auf der Maschine sein, auf der der VDA installiert ist.
• Bei gepoolten VDAs, die von Machine Creation Services™ oder Provisioning Services bereitgestellt werden, wird das VDA-Maschinenimage beim Neustart zurückgesetzt, wodurch frühere TLS-Einstellungen verloren gehen. Führen Sie das PowerShell-Skript bei jedem Neustart des VDAs aus, um die TLS-Einstellungen neu zu konfigurieren.

Eine Delivery Group kann keine Mischung aus VDAs mit und ohne TLS-Konfiguration enthalten. Bevor Sie TLS für eine Delivery Group konfigurieren, stellen Sie sicher, dass Sie TLS bereits für alle VDAs in dieser Delivery Group konfiguriert haben.

Wenn Sie TLS auf VDAs konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der ICA®-Dienst Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der ICA-Dienst über Folgendes informiert wird:

• Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.

• Welche TCP-Portnummer für TLS-Verbindungen verwendet werden soll.

  Die Windows-Firewall (sofern aktiviert) muss so konfiguriert sein, dass eingehende Verbindungen auf diesem TCP-Port zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript verwenden.

• Welche Versionen des TLS-Protokolls zugelassen werden sollen.

  Wichtig:

  Citrix empfiehlt die Verwendung von TLS 1.2 oder höher. SSL und ältere TLS-Versionen sind veraltet.

  Die unterstützten TLS-Protokollversionen folgen einer Hierarchie (von der niedrigsten zur höchsten): SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 und TLS 1.3. Geben Sie die minimal zulässige Version an; alle Protokollverbindungen, die diese Version oder eine höhere Version verwenden, sind zulässig.

  Wenn Sie beispielsweise TLS 1.1 als Mindestversion angeben, sind TLS 1.1-, TLS 1.2- und TLS 1.3-Protokollverbindungen zulässig. Wenn Sie SSL 3.0 als Mindestversion angeben, sind Verbindungen für alle unterstützten Versionen zulässig. Wenn Sie TLS 1.3 als Mindestversion angeben, sind nur TLS 1.3-Verbindungen zulässig.

• Welche TLS-Cipher-Suites zugelassen werden sollen.

  Eine Cipher-Suite wählt die Verschlüsselung aus, die für eine Verbindung verwendet wird. Clients und VDAs können unterschiedliche Sätze von Cipher-Suites unterstützen. Wenn ein Client (Citrix Workspace-App) eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der VDA eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine passende Cipher-Suite vorhanden ist, lehnt der VDA die Verbindung ab.

  Der VDA unterstützt drei Sätze von Cipher-Suites (auch als Kompatibilitätsmodi bezeichnet): GOV(ernment), COM(mercial) und ALL. Die zulässigen Cipher-Suites hängen auch vom Windows FIPS-Modus ab; siehe http://support.microsoft.com/kb/811833 für Informationen zum Windows FIPS-Modus. Die folgende Tabelle listet die Cipher-Suites in jedem Satz auf:

  Cipher-Suite	ALLE	COM	GOV	ALLE	COM	GOV
  FIPS-Modus	Aus	Aus	Aus	Ein	Ein	Ein
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  Hinweis:

  Der VDA unterstützt keine DHE-Cipher-Suites (zum Beispiel TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 und TLS_DHE_RSA_WITH_AES_128_CBC_SHA). Wenn diese von Windows ausgewählt werden, schlägt die Verbindung fehl.

  Wenn Sie ein NetScaler Gateway verwenden, lesen Sie die NetScaler-Dokumentation für Informationen zur Unterstützung von Cipher-Suites für die Back-End-Kommunikation. Informationen zur Unterstützung von TLS-Cipher-Suites finden Sie unter Ciphers available on the Citrix ADC appliances. Informationen zur Unterstützung von DTLS-Cipher-Suites finden Sie unter DTLS cipher support.

Anfordern und Installieren eines Zertifikats

Um TLS zu verwenden, müssen Sie ein Zertifikat installieren, dessen alternativer Name den FQDN des VDA enthält. Das Zertifikat muss von allen Clients als vertrauenswürdig eingestuft werden, die direkt mit dem VDA verbunden sind (nicht über ein Citrix Gateway). Um nicht verwalteten Geräten, auf denen Sie Zertifikate nicht einfach bereitstellen können, die Verbindung zum VDA zu ermöglichen, sollten Sie die Bereitstellung eines NetScaler® Gateways in Betracht ziehen.

Zertifikat mit Microsoft-Zertifizierungsstelle erstellen

Wenn sich Ihre Clients und VDAs in einer vertrauenswürdigen Gesamtstruktur befinden und eine Microsoft-Zertifizierungsstelle vorhanden ist, können Sie ein Zertifikat über den Zertifikatsregistrierungs-Assistenten des MMC-Snap-Ins „Zertifikate“ anfordern.

1. Öffnen Sie auf dem VDA die MMC-Konsole und fügen Sie das Snap-In „Zertifikate“ hinzu. Wählen Sie bei Aufforderung „Computerkonto“ aus.
2. Erweitern Sie Persönlich > Zertifikate, und verwenden Sie dann den Kontextmenübefehl Alle Aufgaben > Neues Zertifikat anfordern.
3. Klicken Sie auf Weiter, um zu beginnen, und erneut auf Weiter, um zu bestätigen, dass Sie das Zertifikat über die Active Directory-Registrierung anfordern.

4. Wählen Sie die Vorlage für das Serverauthentifizierungszertifikat aus. Sowohl die Standard-Windows-Vorlage Computer als auch Webserver exportierbar sind akzeptabel. Wenn die Vorlage so eingerichtet wurde, dass sie die Werte für den Betreff automatisch bereitstellt, können Sie auf Registrieren klicken, ohne weitere Details anzugeben.

   

5. Um weitere Details für die Zertifikatvorlage anzugeben, klicken Sie auf Details und konfigurieren Sie Folgendes:

   Betreffname — wählen Sie den Typ Allgemeiner Name und fügen Sie den FQDN des VDA hinzu

   Alternativer Name – wählen Sie den Typ DNS und fügen Sie den FQDN des VDA hinzu

   

   Hinweis:

   Verwenden Sie die automatische Zertifikatregistrierung der Active Directory-Zertifikatdienste, um die Ausstellung und Bereitstellung von Zertifikaten für die VDAs zu automatisieren. Dies wird unter Automatische Zertifikatregistrierung aktivieren) beschrieben.

   Sie können Wildcard-Zertifikate verwenden, um mehrere VDAs mit einem einzigen Zertifikat zu sichern:

   Antragstellername – wählen Sie den Typ Allgemeiner Name und geben Sie die *.primary.domain der VDAs ein

   Alternativer Name – wählen Sie den Typ DNS und fügen Sie die *.primary.domain der VDAs hinzu

   

   Sie können SAN-Zertifikate verwenden, um mehrere spezifische VDAs mit einem einzigen Zertifikat zu sichern:

   Antragstellername – wählen Sie den Typ Allgemeiner Name und geben Sie eine Zeichenfolge ein, die die Zertifikatnutzung identifiziert

   Alternativer Name – wählen Sie den Typ DNS und fügen Sie einen Eintrag für den FQDN jedes VDA hinzu. Halten Sie die Anzahl der alternativen Namen auf ein Minimum, um eine optimale TLS-Aushandlung zu gewährleisten.

   

   Hinweis:

   Sowohl bei Wildcard- als auch bei SAN-Zertifikaten muss auf der Registerkarte „Privater Schlüssel“ die Option Privaten Schlüssel exportierbar machen ausgewählt sein:

   

TLS auf einem VDA mithilfe des PowerShell-Skripts konfigurieren

Installieren Sie das TLS-Zertifikat im Zertifikatspeicher im Bereich Lokaler Computer > Persönlich > Zertifikate. Wenn sich mehr als ein Zertifikat an diesem Speicherort befindet, geben Sie den Fingerabdruck des Zertifikats im PowerShell-Skript an.

Hinweis:

Ab XenApp and XenDesktop 7.15 LTSR findet das PowerShell-Skript das richtige Zertifikat basierend auf dem FQDN des VDA. Sie müssen den Fingerabdruck nicht angeben, wenn nur ein einziges Zertifikat für den VDA-FQDN vorhanden ist.

Das Skript Enable-VdaSSL.ps1 aktiviert oder deaktiviert den TLS-Listener auf einem VDA. Dieses Skript ist im Ordner Support > Tools > SslSupport auf den Installationsmedien verfügbar.

Wenn Sie TLS aktivieren, werden DHE-Cipher-Suites deaktiviert. ECDHE-Cipher-Suites sind davon nicht betroffen.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für den angegebenen TCP-Port. Es fügt dann eine neue Regel hinzu, die dem ICA-Dienst erlaubt, eingehende Verbindungen nur über die TLS-TCP- und UDP-Ports zu akzeptieren. Es deaktiviert auch die Windows-Firewallregeln für:

• Citrix ICA (Standard: 1494)
• Citrix CGP (Standard: 2598)
• Citrix WebSocket (Standard: 8008)

Dies hat zur Folge, dass Benutzer nur über TLS oder DTLS eine Verbindung herstellen können. Sie können ICA/HDX, ICA/HDX mit Sitzungszuverlässigkeit oder HDX über WebSocket nicht ohne TLS oder DTLS verwenden.

Hinweis:

DTLS wird nicht mit ICA/HDX Audio über UDP Real-time Transport oder mit ICA/HDX Framehawk unterstützt.

Siehe Netzwerkports.

Das Skript enthält die folgenden Syntaxbeschreibungen sowie zusätzliche Beispiele; Sie können ein Tool wie Notepad++ verwenden, um diese Informationen zu überprüfen.

Wichtig:

Geben Sie entweder den Parameter Enable oder Disable sowie den Parameter CertificateThumbPrint an. Die anderen Parameter sind optional.

Syntax

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

Beispiele

Das folgende Skript installiert und aktiviert den Wert der TLS-Protokollversion. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

Das folgende Skript installiert und aktiviert den TLS-Listener und gibt TLS-Port 400, die GOV-Cipher-Suite und einen Mindestwert für das TLS 1.2-Protokoll an. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

Das folgende Skript deaktiviert den TLS-Listener auf dem VDA.

Enable-VdaSSL -Disable

TLS auf einem VDA manuell konfigurieren

Wenn Sie TLS auf einem VDA manuell konfigurieren, gewähren Sie dem privaten Schlüssel des TLS-Zertifikats für den entsprechenden Dienst auf jedem VDA generischen Lesezugriff: NT SERVICE\PorticaService für einen VDA für Windows Single-Session OS oder NT SERVICE\TermService für einen VDA für Windows Multi-Session OS. Auf dem Computer, auf dem der VDA installiert ist:

SCHRITT 1. Starten Sie die Microsoft Management Console (MMC): Start > Ausführen > mmc.exe.

SCHRITT 2. Fügen Sie das Zertifikate-Snap-In zur MMC hinzu:

1. Wählen Sie Datei > Snap-In hinzufügen/entfernen.
2. Wählen Sie Zertifikate aus und klicken Sie dann auf Hinzufügen.
3. Wenn Sie mit „Dieses Snap-In verwaltet immer Zertifikate für:“ aufgefordert werden, wählen Sie „Computerkonto“ und klicken Sie dann auf Weiter.
4. Wenn Sie mit „Wählen Sie den Computer aus, den dieses Snap-In verwalten soll“ aufgefordert werden, wählen Sie „Lokaler Computer“ und klicken Sie dann auf Fertig stellen.

SCHRITT 3. Klicken Sie unter „Zertifikate (Lokaler Computer) > Persönlich > Zertifikate“ mit der rechten Maustaste auf das Zertifikat und wählen Sie dann „Alle Aufgaben > Private Schlüssel verwalten“.

SCHRITT 4. Der Editor für Zugriffssteuerungslisten zeigt „Berechtigungen für private Schlüssel von (FriendlyName)“ an, wobei (FriendlyName) der Name Ihres TLS-Zertifikats ist. Fügen Sie einen der folgenden Dienste hinzu und erteilen Sie ihm Lesezugriff:

• Für einen VDA für Windows Single-Session-Betriebssystem: „PORTICASERVICE“
• Für einen VDA für Windows Multi-Session-Betriebssystem: „TERMSERVICE“

SCHRITT 5. Doppelklicken Sie auf das installierte TLS-Zertifikat. Wählen Sie im Zertifikatsdialogfeld die Registerkarte „Details“ und scrollen Sie dann nach unten. Klicken Sie auf „Fingerabdruck“.

SCHRITT 6. Führen Sie regedit aus und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. Bearbeiten Sie den Schlüssel „SSL Thumbprint“ und kopieren Sie den Wert des Fingerabdrucks des TLS-Zertifikats in diesen Binärwert. Sie können unbekannte Elemente im Dialogfeld „Binärwert bearbeiten“ (wie „0000“ und Sonderzeichen) sicher ignorieren.
2. Bearbeiten Sie den Schlüssel „SSLEnabled“ und ändern Sie den DWORD-Wert in 1. (Um SSL später zu deaktivieren, ändern Sie den DWORD-Wert in 0.)

3. Wenn Sie die Standardeinstellungen ändern möchten (optional), verwenden Sie die folgenden im selben Registrierungspfad:

   SSLPort DWORD – SSL-Portnummer. Standard: 443.

   SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Standard: 2 (TLS 1.0).

   SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Standard: 3 (ALL).

SCHRITT 7. Stellen Sie sicher, dass die TLS-TCP- und UDP-Ports in der Windows-Firewall geöffnet sind, falls sie nicht dem Standard 443 entsprechen. (Wenn Sie die eingehende Regel in der Windows-Firewall erstellen, stellen Sie sicher, dass in ihren Eigenschaften die Einträge „Verbindung zulassen“ und „Aktiviert“ ausgewählt sind.)

SCHRITT 8. Stellen Sie sicher, dass keine anderen Anwendungen oder Dienste (wie IIS) den TLS-TCP-Port verwenden.

SCHRITT 9. Starten Sie bei Multi-Session-VDAs die Maschine neu, damit die Änderungen wirksam werden. (Sie müssen Single-Session-VDA-Maschinen nicht neu starten.)

SCHRITT 10. Ändern Sie die Windows-Chiffre-Suite-Präferenz, sodass die vom VDA unterstützten Chiffre-Suiten die höchste Priorität haben, um Verbindungsprobleme zu vermeiden.

Wichtig:

Die unten beschriebenen Gruppenrichtlinienänderungen werden erst nach einem Neustart des Systems wirksam.

Wenn Sie nicht-persistente Sitzungshosts verwenden, die mit MCS oder PVS bereitgestellt wurden, müssen Sie diese Einstellungen im Master-Image anwenden.

Option 1:

Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > SSL-Chiffre-Suite-Reihenfolge. Stellen Sie sicher, dass die folgenden Chiffre-Suiten ganz oben in der Liste stehen:

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

Hinweis:

TLS_AES_256_GCM_SHA384 und TLS_AES_128_GCM_SHA256 gelten nur für Windows 11 und Windows Server 2022 oder neuere Versionen. Wenn Sie ältere Betriebssysteme verwenden, nehmen Sie diese Chiffre-Suiten bitte nicht in Ihre Liste auf.

Beachten Sie, dass die aufgeführten Chiffre-Suiten auch die elliptische Kurve, P384 oder P256, angeben, um sicherzustellen, dass „curve25519“ nicht ausgewählt wird. Der FIPS-Modus verhindert die Verwendung von „curve25519“ nicht.

Es ist nicht notwendig, Chiffre-Suiten aus der Liste zu entfernen. Beachten Sie, dass diese Einstellungen für das gesamte System gelten. Wenn Sie sich also entscheiden, Chiffre-Suiten zu entfernen, müssen Sie sicherstellen, dass diese nicht von Anwendungen oder Diensten benötigt werden, die auf Ihren Sitzungshosts ausgeführt werden.

Option 2:

Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > SSL-Chiffre-Suite-Reihenfolge. Stellen Sie sicher, dass die folgenden Chiffre-Suiten ganz oben in der Liste stehen:

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

Hinweis:

TLS_AES_256_GCM_SHA384 und TLS_AES_128_GCM_SHA256 gelten nur für Windows 11 und Windows Server 2022 oder neuere Versionen. Wenn Sie ältere Betriebssysteme verwenden, nehmen Sie diese Chiffre-Suiten bitte nicht in Ihre Liste auf.

Es ist nicht notwendig, Chiffre-Suiten aus der Liste zu entfernen. Beachten Sie, dass diese Einstellungen für das gesamte System gelten. Wenn Sie sich also entscheiden, Chiffre-Suiten zu entfernen, müssen Sie sicherstellen, dass diese nicht von Anwendungen oder Diensten benötigt werden, die auf Ihren Sitzungshosts ausgeführt werden.

Verwenden Sie den Gruppenrichtlinien-Editor und navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > ECC-Kurvenreihenfolge. Aktivieren Sie die Einstellung und fügen Sie die folgenden Kurven in die Liste ein:

NistP384
NistP256
<!--NeedCopy-->

Hinweis:

Dadurch wird sichergestellt, dass „curve25519“ nicht ausgewählt wird. Der FIPS-Modus verhindert die Verwendung von „curve25519“ nicht.

Der VDA wählt eine Cipher Suite nur aus, wenn sie in beiden Listen erscheint: der Gruppenrichtlinienliste und der Liste für den ausgewählten Kompatibilitätsmodus (COM, GOV oder ALL). Die Cipher Suite muss auch in der vom Client (Citrix Workspace-App) gesendeten Liste erscheinen.

TLS auf Bereitstellungsgruppen konfigurieren

Führen Sie dieses Verfahren für jede Bereitstellungsgruppe aus, die VDAs enthält, die Sie für TLS-Verbindungen konfiguriert haben.

1. Öffnen Sie in Studio die PowerShell-Konsole.
2. Führen Sie Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true aus.
3. Führen Sie Set-BrokerSite -DnsResolutionEnabled $true aus.

SSL für gepoolte VDAs mittels automatischer Registrierung aktivieren

Bei der Verwendung von gepoolten VDAs teilen sich alle VDAs dasselbe Image, wenn Sie ein Zertifikat zum Master-Image hinzufügen. Sie können ein Wildcard-Zertifikat verwenden, aber ein Nachteil ist, dass, wenn einer der VDAs kompromittiert wird, dieses allmächtige Zertifikat bedeuten würde, dass HDX™-Verbindungen aller VDAs gefährdet wären.

Stattdessen ist eine sichere Alternative, die Microsoft Active Directory-Zertifikatdienste zu nutzen, um Zertifikate automatisch mittels Gruppenrichtlinie bereitzustellen. Sie können ein Startskript auf dem VDA verwenden, um dynamisch ein neues Zertifikat bereitzustellen und SSL für den VDA zu aktivieren.

Beachten Sie, dass dieser Ansatz nur für Einzelsitzungs-Desktop-VDAs funktioniert. Bei Mehrsitzungs-VDAs wird der ICA-Listener zu früh während des Startvorgangs gestartet, bevor Zertifikate automatisch bereitgestellt werden können.

Da Active Directory-Zertifikatdienste eine interne Unternehmenszertifizierungsstelle verwenden, wird sie nicht automatisch von allen Windows-Installation als vertrauenswürdig eingestuft. Wenn die Clients vom Unternehmen verwaltet werden und Teil einer Domänenstruktur sind, können die vertrauenswürdigen CA-Zertifikate automatisch mittels Gruppenrichtlinie verteilt werden. Für BYOD und andere nicht in die Domäne eingebundene Geräte müssen Sie die vertrauenswürdigen CA-Zertifikate über einen anderen Mechanismus (z. B. durch Anbieten eines Download-Links) an Ihre Benutzer verteilen oder ein NetScaler Gateway verwenden.

Zertifikat-Auto-Registrierung aktivieren

Stellen Sie zunächst sicher, dass die Rolle Active Directory-Zertifikatdienste auf einem Server in Ihrer VDA-Domänenstruktur installiert ist, der eine Unternehmens-CA bereitstellt, da sonst die automatische Registrierung nicht möglich ist.

Beachten Sie, dass dies eine erheblich höhere Last als üblich auf Ihre Unternehmens-CA legen kann, da VDAs bei jedem Start eine Zertifikatanforderung senden. Stellen Sie sicher, dass Sie dem CA-Server ausreichend CPU und Arbeitsspeicher zuweisen, um die Last zu bewältigen, und testen Sie wie immer die Skalierbarkeit der Bereitstellung in einer Laborumgebung, bevor Sie sie in Produktion nehmen.

Erstellen Sie im Editor für die Gruppenrichtlinienverwaltung eine neue Richtlinie, die für die Organisationseinheit gilt, die Ihre gepoolten VDAs mit aktiviertem SSL enthält, wie folgt:

1. Erweitern Sie Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel
2. Bearbeiten Sie die Objekteigenschaften der „Zertifikatdienste-Client – Richtlinie für automatische Registrierung“
3. Konfigurieren Sie wie im folgenden Screenshot gezeigt.
4. Klicken Sie mit der rechten Maustaste auf den Container „Automatische Zertifikatanforderung“ und wählen Sie Neu -> Automatische Zertifikatanforderung…
5. Klicken Sie im Assistenten für die Einrichtung der automatischen Zertifikatanforderung auf Weiter
6. Stellen Sie sicher, dass die Computer-Zertifikatvorlage ausgewählt ist, und klicken Sie auf Weiter
7. Klicken Sie auf Fertig stellen

Vorbereiten des Windows-Master-Images

Kopieren Sie das Skript Enable-VdaSsl.ps1 vom Produktinstallationsmedium im Ordner Support\Tools\SslSupport auf das VDA-Master-Image. Beachten Sie, dass das Master-Image keine Zertifikate für HDX-SSL-Verbindungen enthalten sollte. Die Zertifikate werden bereitgestellt, wenn der MCS- oder PVS-Maschinenkatalog erstellt wird. Erstellen Sie nun eine neue geplante Aufgabe wie folgt (führen Sie die geplante Aufgabe jetzt nicht aus):

1. Öffnen Sie die Aufgabenplanung.

2. Klicken Sie im Bereich Aktionen auf Aufgabe erstellen…

3. Auf der Registerkarte „Allgemein“:

   • Geben Sie einen Namen ein, z. B. Enable VDA SSL

   • Klicken Sie auf Benutzer oder Gruppe ändern… und geben Sie im Dialogfeld „Benutzer oder Gruppe auswählen“ SYSTEM ein und klicken Sie auf OK

   

4. Wählen Sie die Registerkarte „Trigger“ aus

5. Klicken Sie auf Neu…. Im Dialogfeld Neuer Trigger:

   1. Legen Sie Aufgabe starten auf Bei einem Ereignis fest

   2. Legen Sie Protokoll auf Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational fest

   3. Legen Sie Quelle auf Microsoft-Windows-CertificateServicesClient-Lifecycle-System fest

   4. Legen Sie Ereignis-ID auf 1006 fest

   5. Klicken Sie auf OK, um den Trigger zu speichern

   

6. Wählen Sie die Registerkarte Aktionen aus

7. Klicken Sie auf Neu…

8. Im Dialogfeld Neue Aktion:

   1. Legen Sie Aktion auf Programm starten fest

   2. Geben Sie im Feld „Programm/Skript“ Folgendes ein: powershell.exe

   3. Geben Sie im Feld „Argumente hinzufügen“ Folgendes ein: -ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$False, einschließlich des Pfads zum PowerShell-Skript.

   4. Klicken Sie auf OK, um die Aktion zu speichern

   

9. Klicken Sie auf OK, um die Aufgabe zu speichern

Problembehandlung

Wenn ein Verbindungsfehler auftritt, überprüfen Sie das Systemereignisprotokoll auf dem VDA.

Wenn Sie die Citrix Workspace-App für Windows verwenden und ein Verbindungsfehler auftritt, der auf einen TLS-Fehler hinweist, deaktivieren Sie Desktop Viewer und versuchen Sie dann erneut, eine Verbindung herzustellen. Auch wenn die Verbindung weiterhin fehlschlägt, wird möglicherweise eine Erklärung des zugrunde liegenden TLS-Problems bereitgestellt. (Beispielsweise haben Sie beim Anfordern eines Zertifikats von der Zertifizierungsstelle eine falsche Vorlage angegeben.)

Die meisten Konfigurationen, die HDX Adaptive Transport verwenden, funktionieren erfolgreich mit DTLS, einschließlich derer, die die neuesten Versionen von Citrix Workspace-App, Citrix Gateway und VDA verwenden. Einige Konfigurationen, die DTLS zwischen der Citrix Workspace-App und Citrix Gateway sowie DTLS zwischen Citrix Gateway und dem VDA verwenden, erfordern zusätzliche Maßnahmen.

Zusätzliche Maßnahmen sind erforderlich, wenn:

• die Citrix Receiver-Version HDX Adaptive Transport und DTLS unterstützt: Receiver für Windows (4.7, 4.8, 4.9), Receiver für Mac (12.5, 12.6, 12.7), Receiver für iOS (7.2, 7.3.x) oder Receiver für Linux (13.7)

und eine der folgenden Bedingungen ebenfalls zutrifft:

• die Citrix Gateway-Version DTLS zum VDA unterstützt, die VDA-Version jedoch DTLS nicht unterstützt (Version 7.15 oder früher),

• die VDA-Version DTLS unterstützt (Version 7.16 oder höher), die Citrix Gateway-Version jedoch DTLS zum VDA nicht unterstützt.

Um zu vermeiden, dass Verbindungen von Citrix Receiver™ fehlschlagen, führen Sie eine der folgenden Aktionen aus:

• aktualisieren Sie Citrix Receiver auf Receiver für Windows Version 4.10 oder höher, Receiver für Mac 12.8 oder höher oder Receiver für iOS Version 7.5 oder höher; oder
• aktualisieren Sie Citrix Gateway auf eine Version, die DTLS zum VDA unterstützt; oder
• aktualisieren Sie den VDA auf Version 7.16 oder höher; oder
• deaktivieren Sie DTLS am VDA; oder
• deaktivieren Sie HDX Adaptive Transport.

Hinweis:

Ein passendes Update für Receiver für Linux ist noch nicht verfügbar. Receiver für Android (Version 3.12.3) unterstützt HDX Adaptive Transport und DTLS über Citrix Gateway nicht und ist daher nicht betroffen.

Um DTLS am VDA zu deaktivieren, ändern Sie die VDA-Firewallkonfiguration, um den UDP-Port 443 zu deaktivieren. Siehe Netzwerkports.

TLS und HTML5-Videoumleitung sowie Browserinhaltsumleitung

Sie können die HTML5-Videoumleitung und die Browserinhaltsumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX HTML5 Video Redirection Service herstellen, der auf dem VDA ausgeführt wird. Um dies zu erreichen, generiert der HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA. Das Beenden des Dienstes entfernt die Zertifikate.

Die Richtlinie für die HTML5-Videoumleitung ist standardmäßig deaktiviert.

Die Browserinhaltsumleitung ist standardmäßig aktiviert.

Weitere Informationen zur HTML5-Videoumleitung finden Sie unter Richtlinieneinstellungen für Multimedia.