Benutzerdefinierte Domäne konfigurieren
Sie können Benutzern den Zugriff auf ihren Store über eine benutzerdefinierte Domäne anstelle oder zusätzlich zur cloud.com Domäne ermöglichen. Sie müssen der Eigentümer der Domäne sein, und jede Domäne kann nur für den Zugriff auf einen einzelnen Store verwendet werden.
Jede cloud.com-URL kann eine verknüpfte benutzerdefinierte URL haben.
Voraussetzungen
-
Sie können entweder eine neu registrierte Domäne oder eine bereits vorhandene Domäne wählen. Die Domäne muss im Subdomänenformat vorliegen (ihre.firma.com). Citrix unterstützt nicht die alleinige Verwendung einer Stammdomäne (firma.com).
-
Es wird empfohlen, eine dedizierte Domäne als benutzerdefinierte Domäne für den Citrix Workspace-Zugriff zu verwenden. Dies erleichtert bei Bedarf die Änderung der Domäne.
- Benutzerdefinierte Domänen dürfen keine Citrix-Markenzeichen enthalten. Die vollständige Liste finden Sie unter Cloud Software Group Trademark Guidelines.
- Die von Ihnen gewählte Domäne muss im öffentlichen DNS konfiguriert sein. Alle in Ihrer Domänenkonfiguration enthaltenen CNAME-Einträge und -Werte müssen von Citrix auflösbar sein. Private DNS-Konfigurationen werden nicht unterstützt.
Konfigurieren Ihrer benutzerdefinierten Domäne
Sobald eine benutzerdefinierte Domäne festgelegt ist, können Sie die URL oder den Zertifikatstyp nicht mehr ändern. Sie können sie nur löschen. Stellen Sie sicher, dass die von Ihnen gewählte Domäne nicht bereits im DNS konfiguriert ist. Entfernen Sie alle vorhandenen CNAME-Einträge, bevor Sie versuchen, Ihre benutzerdefinierte Domäne zu konfigurieren.
Hinweis:
Beim Hinzufügen der benutzerdefinierten URL und der Konfiguration von SAML benötigt Citrix Cloud™ 24 Stunden für die Bereitstellung.
Hinzufügen einer benutzerdefinierten Domäne
-
Melden Sie sich bei Citrix Cloud an.
-
Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration und dann Zugriff.
-
Auf der Registerkarte Zugriff in der Tabelle Stores wählen Sie Benutzerdefinierte Domäne hinzufügen für die Cloud-URL, der Sie eine benutzerdefinierte URL hinzufügen möchten (die erste benutzerdefinierte URL, die Sie erstellen, muss Ihrer primären Cloud-URL zugeordnet sein).
Ihre Domäne hinzufügen(/de-de/citrix-workspace/media/onboard-multi-custom-domain.png)
-
Lesen Sie die Informationen, die auf der Seite Übersicht angezeigt werden, und wählen Sie Weiter.
-
Geben Sie Ihre gewählte Domäne auf der Seite URL angeben ein. Bestätigen Sie, dass Sie die angegebene Domäne besitzen, indem Sie Bestätigen, dass Sie oder Ihr Unternehmen die angegebene URL besitzen auswählen, und wählen Sie Ihre Präferenz für die TLS-Zertifikatsverwaltung. Es wird empfohlen, verwaltet auszuwählen, da die Zertifikatsverlängerungen für Sie übernommen werden. Weitere Informationen finden Sie unter Bereitstellen eines erneuerten Zertifikats. Klicken Sie auf Weiter.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie das hervorgehobene Problem, um fortzufahren.
Wenn Sie sich entschieden haben, Ihr eigenes Zertifikat bereitzustellen, gibt es einen zusätzlichen Schritt, der in den Anweisungen zu erledigen ist.
Die Bereitstellung Ihrer gewählten Domäne dauert einige Zeit. Sie können warten, während die Seite geöffnet ist, oder sie schließen, während die Bereitstellung läuft.
Ihre Domäne verifizieren(/de-de/citrix-workspace/media/onboard-multi-custom-domain-pending.png)
-
Wenn Sie die Seite URL angeben geöffnet haben, während die Bereitstellung abgeschlossen wird, öffnet sich die Seite DNS konfigurieren automatisch. Wenn Sie die Seite geschlossen haben, wählen Sie die Schaltfläche Weiter für Ihre benutzerdefinierte Domäne auf der Registerkarte Zugriff.
Konfiguration abschließen(/de-de/citrix-workspace/media/onboard-multi-custom-domain-complete-configuration.png)
-
Führen Sie diesen Schritt im Verwaltungsportal Ihres DNS-Registrars durch. Fügen Sie einen CNAME-Eintrag für Ihre gewählte benutzerdefinierte Domäne hinzu, der auf den Ihnen zugewiesenen Azure Traffic Manager verweist.
Kopieren Sie die Adresse des Traffic Managers von der Seite DNS konfigurieren. Die Adresse im Beispiel lautet wie folgt:
wsp-cd-eastus2-production-traffic-manager-profile-1-123456.trafficmanager.net
Wenn Sie Certificate Authority Authorization (CAA)-Einträge in Ihrem DNS konfiguriert haben, fügen Sie einen hinzu, der es Let’s Encrypt erlaubt, Zertifikate für Ihre Domäne zu generieren. Let’s Encrypt ist die Zertifizierungsstelle (CA), die Citrix verwendet, um ein Zertifikat für Ihre benutzerdefinierte Domäne zu generieren. Der Wert für den CAA-Eintrag muss wie folgt lauten: 0 issue “letsencrypt.org”
DNS konfigurieren(/de-de/citrix-workspace/media/onboard-multi-custom-domain-configure-dns.png)
-
Nachdem Sie den CNAME-Eintrag bei Ihrem DNS-Anbieter konfiguriert haben, wählen Sie CNAME-Eintrag erkennen, um zu überprüfen, ob Ihre DNS-Konfiguration korrekt ist. Wenn der CNAME-Eintrag korrekt konfiguriert wurde, erscheint ein grünes Häkchen neben dem Abschnitt CNAME-Konfiguration.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie das hervorgehobene Problem, um fortzufahren.
Wenn Sie CAA-Einträge bei Ihrem DNS-Anbieter konfiguriert haben, wird ein separater Abschnitt CAA-Konfiguration angezeigt. Wählen Sie CAA-Eintrag erkennen, um zu überprüfen, ob Ihre DNS-Konfiguration korrekt ist. Wenn Ihre CAA-Eintragskonfiguration korrekt ist, erscheint ein grünes Häkchen neben dem Abschnitt CAA-Konfiguration.
Wenn Ihre DNS-Konfiguration überprüft wurde, klicken Sie auf Weiter.

-
Dies ist ein optionaler Schritt. Wenn Sie Ihr eigenes Zertifikat hinzufügen möchten, füllen Sie die erforderlichen Informationen auf der Seite Eigenes Zertifikat hinzufügen aus.
Hinweis:
Passwortgeschützte Zertifikate werden nicht unterstützt.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie das hervorgehobene Problem, um fortzufahren. Stellen Sie sicher, dass das Zertifikat die folgenden Bedingungen erfüllt.
- Es muss PEM-kodiert sein.
- Es muss für mindestens die nächsten 30 Tage gültig bleiben.
- Es darf ausschließlich für die benutzerdefinierte Workspace-URL verwendet werden. Wildcard-Zertifikate sind nicht zulässig.
- Der allgemeine Name des Zertifikats muss mit der benutzerdefinierten Domäne übereinstimmen.
- SANs auf dem Zertifikat müssen für die benutzerdefinierte Domäne sein. Zusätzliche SANs sind nicht zulässig.
- Die Gültigkeitsdauer des Zertifikats darf 10 Jahre nicht überschreiten.
Eigenes Zertifikat hinzufügen(/de-de/citrix-workspace/media/onboard-multi-custom-domain-add-your-own-certificate.png)
Hinweis:
Es wird empfohlen, ein Zertifikat mit einer sicheren kryptografischen Hash-Funktion (SHA-256 oder höher) zu verwenden. Sie sind für die Verlängerung des Zertifikats verantwortlich. Wenn Ihr Zertifikat abgelaufen ist oder bald abläuft, lesen Sie den Abschnitt Bereitstellen eines erneuerten Zertifikats.
-
Lesen Sie die Informationen auf der Seite Domäne bereitstellen und bestätigen Sie die angegebenen Anweisungen. Wenn Sie fortfahren möchten, wählen Sie Zustimmen und fortfahren.
Dieser letzte Bereitstellungsschritt kann einige Zeit in Anspruch nehmen. Sie können die Seite geöffnet lassen, während der Vorgang abgeschlossen wird, oder Sie können die Seite schließen.
Ihre Domäne bereitstellen(/de-de/citrix-workspace/media/onboard-multi-custom-domain-provision-domain.png)
Benutzerdefinierte Domäne löschen
Das Löschen einer benutzerdefinierten Domäne von Ihrem Kunden entfernt die Möglichkeit, über eine benutzerdefinierte Domäne auf Citrix Workspace zuzugreifen. Nach dem Löschen der benutzerdefinierten Domäne können Sie nur noch über die cloud.com-Adresse auf Citrix Workspace zugreifen.
Wenn Sie eine benutzerdefinierte Domäne löschen, stellen Sie sicher, dass der CNAME-Eintrag von Ihrem DNS-Anbieter entfernt wird.
So löschen Sie eine benutzerdefinierte Domäne:
-
Melden Sie sich bei Citrix Cloud an.
-
Wählen Sie im Citrix Cloud-Menü Workspace-Konfiguration > Zugriff.
-
erweitern Sie das Kontextmenü (…) für die benutzerdefinierte Domäne auf der Registerkarte Zugriff, und wählen Sie Benutzerdefinierte Domäne löschen.
Ihre Domäne löschen(/de-de/citrix-workspace/media/delete-multi-custom-domain.png)
-
Lesen Sie die Informationen auf der Seite Benutzerdefinierte Domäne löschen und bestätigen Sie die angegebenen Anweisungen. Wenn Sie fortfahren möchten, wählen Sie Löschen.
Das Löschen einer benutzerdefinierten Domäne nimmt einige Zeit in Anspruch. Sie können warten, bis der Vorgang abgeschlossen ist, während die Seite geöffnet bleibt, oder Sie können die Seite schließen.
Wenn Sie mehrere benutzerdefinierte Domänen integriert haben, können Sie die mit der Standard-Cloud-URL verknüpfte benutzerdefinierte Domäne erst löschen, wenn alle anderen benutzerdefinierten Domänen gelöscht wurden.

Bereitstellen eines erneuerten Zertifikats
-
Melden Sie sich bei Citrix Cloud an.
-
Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Zugriff.
-
Wenn Ihr Zertifikat in 30 Tagen oder weniger abläuft, zeigt Ihre benutzerdefinierte Domäne eine Warnung an.

-
Klicken Sie auf die Warnung, um den Assistenten zur Zertifikatsaktualisierung zu öffnen.

-
Geben Sie die erforderlichen Informationen auf der Seite Zertifikat aktualisieren ein und klicken Sie auf Speichern.
Wenn auf dieser Seite Warnungen angezeigt werden, beheben Sie das hervorgehobene Problem, um fortzufahren.
Das Zertifikat muss dieselben Anforderungen erfüllen wie bei der Erstellung der benutzerdefinierten Domäne. Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Domäne.
Konfigurieren Ihres Identitätsanbieters
Konfigurieren von Okta
Führen Sie die folgenden Schritte aus, wenn Sie Okta als Identitätsanbieter für den Zugriff auf Citrix Workspace verwenden.
-
Melden Sie sich beim Administratorportal Ihrer Okta-Instanz an. Diese Instanz enthält die Anwendung, die von Citrix Cloud verwendet wird.
-
erweitern Anwendungen und wählen Sie dann Anwendungen im Menü aus.

- Öffnen Sie die mit Citrix Cloud verknüpfte Anwendung.
-
Wählen Sie im Abschnitt Allgemeine Einstellungen die Option Bearbeiten.

-
Fügen Sie im Abschnitt LOGIN der Allgemeinen Einstellungen einen Wert für Sign-in redirect URIs hinzu. Fügen Sie den neuen Wert hinzu, ohne vorhandene Werte zu ersetzen. Der neue Wert muss das folgende Format haben:
<https://your.company.com/core/login-okta> -
Fügen Sie im selben Abschnitt einen weiteren Wert für Sign-out redirect URIs hinzu. Fügen Sie den neuen Wert hinzu, ohne vorhandene Werte zu ersetzen. Der neue Wert muss das folgende Format haben:
<https://your.company.com>
- Klicken Sie auf Speichern, um die neue Konfiguration zu sichern.
Hinweis:
Um SAML mit Ihrer benutzerdefinierten Domäne zu konfigurieren, folgen Sie dem Verfahren, das unter SAML-Konfiguration beschrieben ist.
Konfigurieren von OAuth-Richtlinien und -Profilen
Wichtig
Die vorhandene OAuth-Richtlinie und das Profil, die Citrix Cloud und Citrix Gateway oder Ihr Adaptive Authentication HA-Paar miteinander verbinden, müssen nur aktualisiert werden, wenn die OAuth-Anmeldeinformationen verloren gehen. Eine Änderung dieser Richtlinie birgt das Risiko, die Verbindung zwischen Citrix Cloud und Workspaces zu unterbrechen, und beeinträchtigt Ihre Fähigkeit, sich bei Workspaces anzumelden.
Citrix Gateway konfigurieren
Der Citrix Cloud-Administrator hat Zugriff auf das unverschlüsselte Client-Geheimnis. Diese Anmeldeinformationen werden von Citrix Cloud während des Citrix Gateway-Verknüpfungsprozesses unter Identitäts- und Zugriffsverwaltung > Authentifizierung bereitgestellt. Das OAuth-Profil und die Richtlinie werden vom Citrix-Administrator erstellt. Sie werden während des Verbindungsprozesses manuell auf Citrix Gateway erstellt.
Sie benötigen die Client-ID und das unverschlüsselte Client-Geheimnis, die während des Citrix Gateway-Verbindungsprozesses bereitgestellt wurden. Diese Anmeldeinformationen werden von Citrix Cloud bereitgestellt und wurden sicher gespeichert. Das unverschlüsselte Geheimnis wird benötigt, um sowohl die Citrix ADC-Oberfläche als auch die Befehlszeilenschnittstelle (CLI) zum Erstellen einer OAuth-Richtlinie und eines Profils zu verwenden.
Hier ist ein Beispiel für die Benutzeroberfläche, wenn die Client-ID und das Geheimnis dem Citrix-Administrator bereitgestellt werden.
Hinweis:
Der Administrator kann nach der Verbindung des Citrix Gateways keine Kopie des unverschlüsselten Geheimnisses erhalten. Er muss die Anmeldeinformationen während des Verbindungsprozesses speichern.

Citrix Cloud verwenden
Führen Sie die folgenden Schritte aus, um ein weiteres OAuth-Profil und eine weitere Richtlinie über die Citrix Gateway-Schnittstelle hinzuzufügen:
-
Wählen Sie im Menü Sicherheit > AAA – Anwendungsverkehr > OAuth IDP. Wählen Sie die vorhandene OAuth-Richtlinie aus und klicken Sie auf Hinzufügen.

-
Wenn Sie dazu aufgefordert werden, ändern Sie den Namen der neuen OAuth-Richtlinie so, dass er sich von der im vorherigen Schritt ausgewählten vorhandenen Richtlinie unterscheidet. Citrix schlägt vor, dem Namen eine benutzerdefinierte URL hinzuzufügen.

- Erstellen Sie in der Citrix Gateway-GUI Ihr vorhandenes OAuth-Profil.
-
Klicken Sie im selben GUI-Menü auf Hinzufügen.

-
Binden Sie in der Citrix Gateway-GUI die neue OAuth-Richtlinie an Ihren vorhandenen virtuellen Server für Authentifizierung, Autorisierung und Überwachung.
-
Navigieren Sie zu Sicherheit > Virtuelle Server > Bearbeiten.

Verwenden der Befehlszeilenschnittstelle (CLI)
Wichtig
Wenn Sie keine Kopie der OAuth-Anmeldeinformationen sicher gespeichert haben, müssen Sie Ihr Citrix Gateway trennen und erneut verbinden. Aktualisieren Sie Ihr vorhandenes OAuth-Profil mit neuen OAuth-Anmeldeinformationen, die von Citrix Cloud Identity and Access Management bereitgestellt werden. Dieses Verfahren wird nicht empfohlen und sollte nur verwendet werden, wenn die alten Anmeldeinformationen nicht wiederherstellbar sind.
-
Verwenden Sie ein SSH-Tool wie PuTTY, um eine Verbindung zu Ihrer Citrix Gateway-Instanz herzustellen.
-
Erstellen Sie das OAuthProfile und die OAuthPolicy. Fügen Sie die Authentifizierung OAuthIDPProfile hinzu.
"CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
Binden Sie die OAuthPolicy an den richtigen virtuellen Server für Authentifizierung, Autorisierung und Überwachung mit einer niedrigeren Priorität als die vorhandene Richtlinie. Diese Instanz geht davon aus, dass die vorhandene Richtlinie eine Priorität von 10 hat, daher wird 20 für die neue Richtlinie verwendet. Binden Sie den virtuellen Authentifizierungsserver.
"CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20
Konfigurieren der adaptiven Authentifizierung
Wichtig
Das verschlüsselte Geheimnis und die Verschlüsselungsparameter für das OAuth-Profil unterscheiden sich auf den primären und sekundären HA-Gateways der adaptiven Authentifizierung. Stellen Sie sicher, dass Sie das verschlüsselte Geheimnis vom primären HA-Gateway abrufen und diese Befehle auch auf dem primären HA-Gateway ausführen.
Der Citrix Cloud-Administrator hat keinen Zugriff auf das unverschlüsselte Client-Geheimnis. Die OAuth-Richtlinie und das Profil werden vom Citrix Adaptive Auth-Dienst während der Bereitstellungsphase erstellt. Es ist notwendig, das verschlüsselte Geheimnis und die CLI-Befehle aus der Datei ns.conf zu verwenden, um OAuth-Profile zu erstellen. Dies kann nicht über die Citrix ADC-Benutzeroberfläche durchgeführt werden. Binden Sie die neue Custom URL OAuthPolicy an Ihren vorhandenen virtuellen Server für Authentifizierung, Autorisierung und Überwachung, indem Sie eine höhere Prioritätsnummer als die vorhandene Richtlinie verwenden, die an Ihren vorhandenen virtuellen Server für Authentifizierung, Autorisierung und Überwachung gebunden ist. Die niedrigeren Prioritätsnummern werden zuerst ausgewertet. Legen Sie die vorhandene Richtlinie auf Priorität 10 und die neue Richtlinie auf Priorität 20 fest, um sicherzustellen, dass sie in der richtigen Reihenfolge ausgewertet werden.
-
Verbinden Sie sich mit Ihrem primären Knoten für adaptive Authentifizierung mithilfe eines SSH-Tools wie PuTTY.
show ha node
-
Suchen Sie die Zeile in der laufenden Konfiguration des primären HA-Gateways, die Ihr vorhandenes OAuth-Profil enthält.
sh runn | grep oauth -
Kopieren Sie die Ausgabe von der Citrix ADC CLI, einschließlich aller Verschlüsselungsparameter.

-
Ändern Sie die Zeile, die Sie im vorherigen Schritt kopiert haben. Verwenden Sie sie, um einen neuen CLI-Befehl zu erstellen, mit dem Sie ein OAuth-Profil unter Verwendung der verschlüsselten Version der Client-ID erstellen können. Alle Verschlüsselungsparameter müssen enthalten sein.
- Aktualisieren Sie den Namen des OAuth-Profils auf CustomDomain-OAuthProfile
- Aktualisieren Sie die -redirectURL auf https://hostname.domain.com/core/login-cip
Das folgende Beispiel deckt beide Aktualisierungen ab.
add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
Binden Sie die OAuthPolicy an den korrekten virtuellen Authentifizierungs-, Autorisierungs- und Audit-Server mit einer niedrigeren Priorität als die bestehende Richtlinie. Der Name des virtuellen Authentifizierungs-, Autorisierungs- und Audit-Servers für alle Adaptive Authentication-Bereitstellungen ist auth_vs. Diese Instanz geht davon aus, dass die bestehende Richtlinie eine Priorität von 10 hat, daher wird 20 für die neue Richtlinie verwendet.
bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20
Bekannte Einschränkungen
Einige bekannte Einschränkungen der benutzerdefinierten Domänenlösung sind die folgenden:
- Die erste benutzerdefinierte Domäne, die Sie erstellen, muss mit der Standard-Cloud-URL verknüpft sein. Benutzerdefinierte Domänen können dann zu anderen Cloud-URLs hinzugefügt werden, die über die Multi-URL-Funktion hinzugefügt wurden, nachdem eine benutzerdefinierte Domäne für die Standard-Cloud-URL erstellt wurde.
- Wenn Sie mehrere benutzerdefinierte Domänen integriert haben, können Sie die benutzerdefinierte Domäne, die mit der Standard-Cloud-URL verknüpft ist, nicht löschen, bevor nicht alle anderen benutzerdefinierten Domänen gelöscht wurden.
- Diese Funktion wird in der Citrix Workspace-App für Windows Version 2305 und 2307 nicht unterstützt. Aktualisieren Sie auf die neueste unterstützte Version.
- Die Anmeldung über eine benutzerdefinierte Domäne mit Google-Authentifizierung wird nicht unterstützt.