Linux Virtual Delivery Agent

Schützen von Benutzersitzungen mit TLS

Ab Version 7.16 unterstützt der Linux VDA die TLS-Verschlüsselung für sichere Benutzersitzungen. Die TLS-Verschlüsselung ist standardmäßig deaktiviert.

TLS-Verschlüsselung aktivieren

Zum Aktivieren der TLS-Verschlüsselung für sichere Benutzersitzungen beschaffen Sie Zertifikate und aktivieren Sie die TLS-Verschlüsselung auf Linux VDA und auf dem Delivery Controller (dem Controller).

Beschaffen von Zertifikaten

Beziehen Sie von einer vertrauenswürdigen Zertifizierungsstelle Serverzertifikate im PEM-Format und Stammzertifikate im CRT-Format. Serverzertifikate enthalten die folgenden Abschnitte:

  • Zertifikat
  • Nicht verschlüsselter privater Schlüssel
  • Zwischenzertifikate (optional)

Ein Beispiel eines Serverzertifikats:

Ein Beispiel eines Serverzertifikats

TLS-Verschlüsselung aktivieren

Aktivieren der TLS-Verschlüsselung auf dem Linux VDA

Verwenden Sie auf dem Linux VDA das Tool enable_vdassl.sh, um die TLS-Verschlüsselung zu aktivieren oder zu deaktivieren. Das Tool ist im Verzeichnis /opt/Citrix/VDA/sbin. Informationen zu den Optionen des Tools können Sie über den Befehl /opt/Citrix/VDA/sbin/enable_vdassl.sh -help aufrufen.

Tipp: Auf jedem Linux VDA-Server muss ein Serverzertifikat installiert sein und auf jedem Linux VDA-Server und -Client müssen Stammzertifikate installiert sein.

Enable TLS encryption on the Controller

Hinweis:

Sie können die TLS-Verschlüsselung nur für ganze Bereitstellungsgruppen aktivieren. Für einzelne Anwendungen können Sie die TLS-Verschlüsselung nicht aktivieren.

Führen Sie in einem PowerShell-Fenster auf dem Controller die folgenden Befehle nacheinander aus, um die TLS-Verschlüsselung für die gewünschte Bereitstellungsgruppe zu aktivieren.

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true

Hinweis:

Um sicherzustellen, dass nur VDA-FQDNs in einer ICA-Sitzungsdatei enthalten sind, können Sie auch den Befehl Set-BrokerSite –DnsResolutionEnabled $true ausführen. Der Befehl aktiviert die DNS-Auflösung. Wenn Sie die DNS-Auflösung deaktivieren, legt eine ICA-Sitzungsdatei VDA-IP-Adressen offen und stellt FQDNs nur für TLS-bezogene Elemente wie SSLProxyHost und UDPDTLSPort bereit.

Zum Deaktivieren der TLS-Verschlüsselung auf dem Controller führen Sie die folgenden Befehle nacheinander aus:

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
  3. Set-BrokerSite –DnsResolutionEnabled $false

Problembehandlung

Der folgende Fehler “Angeforderte Adresse kann nicht zugewiesen werden” kann in Citrix Workspace-App für Windows auftreten, wenn Sie versuchen, auf eine veröffentlichte Desktopsitzung zuzugreifen:

Angeforderte Adresse kann nicht zugewiesen werden

Fügen Sie als Workaround der Datei hosts einen Eintrag hinzu, der folgendem Beispiel folgt:

10.108.13.180      rhvm72work.citrixlab.local

Dabei ist

  • 10.108.13.180 die IP-Adresse des Linux VDAs.
  • rhvm72work.citrixlab.local der FQDN des Linux VDAs.

Auf Windows-Maschinen befindet sich die Datei hosts normalerweise unter C:\Windows\System32\drivers\etc\hosts.

Schützen von Benutzersitzungen mit TLS