Sichere Benutzersitzungen mit TLS
Ab Version 7.16 unterstützt der Linux VDA die TLS-Verschlüsselung für sichere Benutzersitzungen. Die TLS-Verschlüsselung ist standardmäßig deaktiviert.
TLS-Verschlüsselung aktivieren
-
Um die TLS-Verschlüsselung für sichere Benutzersitzungen zu aktivieren, müssen Sie Zertifikate beziehen und die TLS-Verschlüsselung sowohl auf dem Linux VDA als auch auf dem Delivery Controller™ (dem Controller) aktivieren.
-
Zertifikate beziehen
Beziehen Sie Serverzertifikate im PEM-Format und Stammzertifikate im CRT-Format von einer vertrauenswürdigen Zertifizierungsstelle (CA). Ein Serverzertifikat enthält die folgenden Abschnitte:
- Zertifikat
- Unverschlüsselter privater Schlüssel
- Zwischenzertifikate (optional)
Ein Beispiel für ein Serverzertifikat:
TLS-Verschlüsselung aktivieren
TLS-Verschlüsselung auf dem Linux VDA aktivieren
Verwenden Sie auf dem Linux VDA das Tool enable_vdassl.sh, um die TLS-Verschlüsselung zu aktivieren (oder zu deaktivieren). Das Tool befindet sich im Verzeichnis /opt/Citrix/VDA/sbin. Informationen zu den im Tool verfügbaren Optionen erhalten Sie, indem Sie den Befehl /opt/Citrix/VDA/sbin/enable_vdassl.sh -help ausführen.
Tipp: Auf jedem Linux VDA-Server muss ein Serverzertifikat installiert sein, und auf jedem Linux VDA-Server und -Client müssen Stammzertifikate installiert sein.
TLS-Verschlüsselung auf dem Controller aktivieren
Hinweis:
Sie können die TLS-Verschlüsselung nur für ganze Bereitstellungsgruppen aktivieren. Sie können die TLS-Verschlüsselung nicht für bestimmte Anwendungen aktivieren.
Führen Sie in einem PowerShell-Fenster auf dem Controller die folgenden Befehle nacheinander aus, um die TLS-Verschlüsselung für die Zielbereitstellungsgruppe zu aktivieren.
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Hinweis:
Um sicherzustellen, dass eine ICA®-Sitzungsdatei nur VDA-FQDNs enthält, können Sie auch den Befehl Set-BrokerSite –DnsResolutionEnabled $true ausführen. Der Befehl aktiviert die DNS-Auflösung. Wenn Sie die DNS-Auflösung deaktivieren, werden in einer ICA-Sitzungsdatei VDA-IP-Adressen offengelegt und FQDNs nur für TLS-bezogene Elemente wie SSLProxyHost und UDPDTLSPort bereitgestellt.
Um die TLS-Verschlüsselung auf dem Controller zu deaktivieren, führen Sie die folgenden Befehle nacheinander aus:
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $falseSet-BrokerSite –DnsResolutionEnabled $false
Problembehandlung
Der folgende Fehler „Can’t assign requested address“ (Angeforderte Adresse kann nicht zugewiesen werden) kann in der Citrix Workspace™-App für Windows auftreten, wenn Sie versuchen, auf eine veröffentlichte Desktopsitzung zuzugreifen:
Fügen Sie als Workaround einen Eintrag zur Datei hosts hinzu, der dem folgenden ähnelt: