Produktdokumentation
XenApp and XenDesktop
7.15 LTSR
PDF anzeigen

Sicherheitsschlüssel verwalten

June 10, 2026
Beitrag von: 
C

Hinweis:

Sie müssen diese Funktion in Kombination mit StoreFront™ 1912 LTSR CU2 oder höher verwenden.

Mit dieser Funktion können Sie zulassen, dass nur genehmigte StoreFront- und Citrix Gateway-Maschinen mit Citrix Delivery Controllern kommunizieren. Nachdem Sie diese Funktion aktiviert haben, werden alle Anfragen blockiert, die den Schlüssel nicht enthalten. Verwenden Sie diese Funktion, um eine zusätzliche Sicherheitsebene zum Schutz vor Angriffen aus dem internen Netzwerk hinzuzufügen.

Ein allgemeiner Workflow zur Verwendung dieser Funktion ist wie folgt:

  1. Aktivieren Sie die Funktion in Studio mithilfe des PowerShell SDK.

  2. Konfigurieren Sie die Einstellungen in Studio. (Verwenden Sie die Studio-Konsole oder PowerShell).

  3. Konfigurieren Sie die Einstellungen in StoreFront. (Verwenden Sie PowerShell).

Sicherheitsschlüsselfunktion aktivieren

Standardmäßig ist die Funktion deaktiviert. Um sie zu aktivieren, verwenden Sie das Remote PowerShell SDK. Weitere Informationen zum Remote PowerShell SDK finden Sie unter SDKs und APIs.

Führen Sie die folgenden Schritte aus, um die Funktion zu aktivieren:

  1. Führen Sie das XenApp and XenDesktop® Remote PowerShell SDK aus.
  2. Führen Sie in einem Befehlsfenster die folgenden Befehle aus:
    • Add-PSSnapIn Citrix*. Dieser Befehl fügt die Citrix Snap-Ins hinzu.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Einstellungen in Studio konfigurieren

Sie können Einstellungen in Studio über die Studio-Konsole oder PowerShell konfigurieren.

Studio-Konsole verwenden

Navigieren Sie nach dem Aktivieren des Features zu Studio > Konfiguration > Sicherheitsschlüssel verwalten. Möglicherweise müssen Sie auf Aktualisieren klicken, damit die Option Sicherheitsschlüssel verwalten angezeigt wird.

Das Fenster Sicherheitsschlüssel verwalten wird angezeigt, nachdem Sie auf Sicherheitsschlüssel verwalten geklickt haben.

Assistent zum Verwalten von Sicherheitsschlüsseln

Wichtig:

  • Es stehen zwei Schlüssel zur Verfügung. Sie können denselben Schlüssel oder verschiedene Schlüssel für die Kommunikation über die XML- und STA-Ports verwenden. Wir empfehlen, jeweils nur einen Schlüssel zu verwenden. Der ungenutzte Schlüssel wird nur für die Schlüsselrotation verwendet.
  • Klicken Sie nicht auf das Aktualisierungssymbol, um den bereits verwendeten Schlüssel zu aktualisieren. Andernfalls kommt es zu einer Dienstunterbrechung.

Klicken Sie auf das Aktualisierungssymbol, um neue Schlüssel zu generieren.

Schlüssel für die Kommunikation über den XML-Port erforderlich (nur StoreFront). Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den XML-Port erforderlich. StoreFront kommuniziert über diesen Port mit Citrix Cloud. Informationen zum Ändern des XML-Ports finden Sie im Knowledge Center-Artikel CTX127945.

Schlüssel für die Kommunikation über den STA-Port erforderlich. Wenn diese Option ausgewählt ist, ist ein Schlüssel zur Authentifizierung der Kommunikation über den STA-Port erforderlich. Citrix Gateway und StoreFront kommunizieren über diesen Port mit Citrix Cloud. Informationen zum Ändern des STA-Ports finden Sie im Knowledge Center-Artikel CTX101988.

Klicken Sie nach dem Anwenden Ihrer Änderungen auf Schließen, um das Fenster Sicherheitsschlüssel verwalten zu verlassen.

PowerShell verwenden

Im Folgenden sind PowerShell-Schritte aufgeführt, die den Studio-Vorgängen entsprechen.

  1. Führen Sie das XenApp® und XenDeskop Remote PowerShell SDK aus.

  2. Führen Sie in einem Befehlsfenster den folgenden Befehl aus:
    • Add-PSSnapIn Citrix*
  3. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key1 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Führen Sie die folgenden Befehle aus, um einen Schlüssel zu generieren und Key2 einzurichten:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Führen Sie einen oder beide der folgenden Befehle aus, um die Verwendung eines Schlüssels zur Authentifizierung der Kommunikation zu aktivieren:
    • Zur Authentifizierung der Kommunikation über den XML-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Zur Authentifizierung der Kommunikation über den STA-Port:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Siehe die PowerShell-Befehlshilfe für Anleitungen und Syntax.

Einstellungen in StoreFront konfigurieren

Nach Abschluss der Konfiguration in Studio müssen Sie die relevanten Einstellungen in StoreFront mithilfe von PowerShell konfigurieren.

Führen Sie auf dem StoreFront-Server die folgenden PowerShell-Befehle aus:

  • Um den Schlüssel für die Kommunikation über den XML-Port zu konfigurieren, verwenden Sie die Befehle Get-STFStoreServie und Set-STFStoreService. Zum Beispiel:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Um den Schlüssel für die Kommunikation über den STA-Port zu konfigurieren, verwenden Sie den Befehl New-STFSecureTicketAuthority. Zum Beispiel:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Informationen zu Anleitung und Syntax finden Sie in der PowerShell-Befehlshilfe.

Einstellungen in Citrix ADC konfigurieren

Hinweis:

Die Konfiguration dieser Funktion in Citrix ADC ist nicht erforderlich, es sei denn, Sie verwenden Citrix ADC als Ihr Gateway. Wenn Sie Citrix ADC verwenden, führen Sie die folgenden Schritte aus.

  1. Stellen Sie sicher, dass die folgende Voraussetzungskonfiguration bereits vorhanden ist:

    • Die folgenden Citrix ADC-bezogenen IP-Adressen sind konfiguriert.

      ADC-Verwaltungs-IP-Adresse

      • Subnetz-IP-Adresse (SNIP) zum Ermöglichen der Kommunikation zwischen der Citrix ADC Appliance und den Back-End-Servern. Weitere Informationen finden Sie unter Konfigurieren von Subnetz-IP-Adressen.
      • Virtuelle IP-Adresse von Citrix Gateway und virtuelle IP-Adresse des Lastausgleichs zum Anmelden bei der ADC-Appliance für den Sitzungsstart. Weitere Informationen finden Sie unter Einen virtuellen Server erstellen.

      Subnetz-IP-Adresse

    • Die erforderlichen Modi und Funktionen in der Citrix ADC Appliance sind aktiviert.
      • Um die Modi zu aktivieren, navigieren Sie in der Citrix ADC GUI zu System > Settings > Configure Mode.
      • Um die Funktionen zu aktivieren, navigieren Sie in der Citrix ADC GUI zu System > Settings > Configure Basic Features.
    • Zertifikatsbezogene Konfigurationen sind abgeschlossen.
      • Die Zertifikatsignieranforderung (CSR) wird erstellt. Weitere Informationen finden Sie unter Ein Zertifikat erstellen.

      Ein CSR-Zertifikat erstellen

      Serverzertifikat installieren

      CA-Zertifikat installieren

      • Ein Citrix Gateway wurde für Citrix Virtual Desktops erstellt. Testen Sie die Konnektivität, indem Sie auf die Schaltfläche Test STA Connectivity klicken, um zu bestätigen, dass die virtuellen Server online sind. Weitere Informationen finden Sie unter Einrichten von Citrix ADC für Citrix Virtual Apps and Desktops.

      Gateway für virtuelle Desktops

  2. Fügen Sie eine Rewrite-Aktion hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Aktion.

    1. Navigieren Sie zu AppExpert > Rewrite > Actions.
    2. Klicken Sie auf Hinzufügen, um eine neue Rewrite-Aktion hinzuzufügen. Sie können die Aktion als „set Type to INSERT_HTTP_HEADER“ benennen.

    Rewrite-Aktion hinzufügen

    1. Wählen Sie unter Typ die Option INSERT_HTTP_HEADER aus.
    2. Geben Sie unter Header-Name X-Citrix-XmlServiceKey ein.
    3. Fügen Sie unter Ausdruck <XmlServiceKey1 value> mit den Anführungszeichen hinzu. Sie können den Wert XmlServiceKey1 aus Ihrer Desktop Delivery Controller™-Konfiguration kopieren.

    XML-Dienstschlüsselwert

  3. Fügen Sie eine Rewrite-Richtlinie hinzu. Weitere Informationen finden Sie unter Konfigurieren einer Rewrite-Richtlinie.

    1. Navigieren Sie zu AppExpert > Rewrite > Policies.

    2. Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen.

    Rewrite-Richtlinie hinzufügen

    1. Wählen Sie unter Aktion die im vorherigen Schritt erstellte Aktion aus.
    2. Fügen Sie unter Ausdruck HTTP.REQ.IS_VALID hinzu.
    3. Klicken Sie auf OK.

  4. Richten Sie den Lastausgleich ein. Sie müssen einen virtuellen Lastausgleichsserver pro STA-Server konfigurieren. Andernfalls können die Sitzungen nicht gestartet werden.

    Weitere Informationen finden Sie unter Grundlegendes Lastenausgleich einrichten.

    1. Erstellen Sie einen virtuellen Lastenausgleichsserver.
      • Navigieren Sie zu Traffic Management > Load Balancing > Servers.
      • Klicken Sie auf der Seite Virtual Servers auf Add.

      Lastenausgleichsserver hinzufügen

      • Wählen Sie unter Protocol die Option HTTP aus.
      • Fügen Sie die virtuelle IP-Adresse für den Lastenausgleich hinzu und wählen Sie unter Port die Option 80 aus.
      • Klicken Sie auf OK.
    2. Erstellen Sie einen Lastenausgleichsdienst.
      • Navigieren Sie zu Traffic Management > Load Balancing > Services.

      Lastenausgleichsdienst hinzufügen

      • Wählen Sie unter Existing Server den im vorherigen Schritt erstellten virtuellen Server aus.
      • Wählen Sie unter Protocol die Option HTTP und unter Port die Option 80 aus.
      • Klicken Sie auf OK und dann auf Done.
    3. Binden Sie den Dienst an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Bearbeiten.
      • Klicken Sie unter Dienste und Dienstgruppen auf Keine Lastenausgleich-Bindung für virtuellen Serverdienst.

      Dienst an virtuellen Server binden

      • Wählen Sie unter Dienstbindung den zuvor erstellten Dienst aus.
      • Klicken Sie auf Binden.
    4. Binden Sie die zuvor erstellte Rewrite-Richtlinie an den virtuellen Server.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Bearbeiten.
      • Klicken Sie unter Erweiterte Einstellungen auf Richtlinien und dann im Abschnitt Richtlinien auf +.

      Rewrite-Richtlinie binden

      • Wählen Sie unter Richtlinie auswählen die Option Rewrite und unter Typ auswählen die Option Anforderung.
      • Klicken Sie auf Weiter.
      • Wählen Sie unter Richtlinie auswählen die zuvor erstellte Rewrite-Richtlinie aus.
      • Klicken Sie auf Binden.
      • Klicken Sie auf Fertig.
    5. Richten Sie bei Bedarf die Persistenz für den virtuellen Server ein.
      • Wählen Sie den zuvor erstellten virtuellen Server aus und klicken Sie auf Bearbeiten.
      • Klicken Sie unter Erweiterte Einstellungen auf Persistenz.

      Persistenz festlegen

      • Wählen Sie als Persistenztyp Andere aus.
      • Wählen Sie DESTIP, um Persistenzsitzungen basierend auf der IP-Adresse des vom virtuellen Server ausgewählten Dienstes (der Ziel-IP-Adresse) zu erstellen.
      • Fügen Sie unter IPv4-Netzmaske dieselbe Netzmaske wie die des DDC hinzu.
      • Klicken Sie auf OK.
    6. Wiederholen Sie diese Schritte auch für den anderen virtuellen Server.

Konfigurationsänderungen, wenn die Citrix ADC Appliance bereits mit Citrix Virtual Desktops™ konfiguriert ist

Wenn Sie die Citrix ADC Appliance bereits mit Citrix Virtual Desktops konfiguriert haben, müssen Sie die folgenden Konfigurationsänderungen vornehmen, um die Secure XML-Funktion zu verwenden.

  • Ändern Sie vor dem Start der Sitzung die Security Ticket Authority URL des Gateways, um die FQDNs der Lastenausgleichs-Virtual Server zu verwenden.
  • Stellen Sie sicher, dass der TrustRequestsSentToTheXmlServicePort Parameter auf False gesetzt ist. Standardmäßig ist der TrustRequestsSentToTheXmlServicePort Parameter auf False gesetzt. Wenn der Kunde die Citrix ADC jedoch bereits für Citrix Virtual Desktops konfiguriert hat, ist der TrustRequestsSentToTheXmlServicePort auf True gesetzt.
  1. Navigieren Sie in der Citrix ADC GUI zu Configuration > Integrate with Citrix Products und klicken Sie auf XenApp and XenDesktop.

  2. Wählen Sie die Gateway-Instanz aus und klicken Sie auf das Bearbeitungssymbol.

    Bestehende Gateway-Konfiguration bearbeiten

  3. Im StoreFront-Bereich klicken Sie auf das Bearbeitungssymbol.

    StoreFront-Details bearbeiten

  4. Fügen Sie die Secure Ticket Authority-URL hinzu.
    • Wenn die Secure XML-Funktion aktiviert ist, muss die STA-URL die URL des Lastenausgleichsdienstes sein.
    • Wenn die Secure XML-Funktion deaktiviert ist, muss die STA-URL die URL der STA (Adresse des DDC) sein und der Parameter TrustRequestsSentToTheXmlServicePort auf dem DDC muss auf True gesetzt werden.

    STA-URLs hinzufügen

Sicherheitsschlüssel verwalten
June 10, 2026
Beitrag von: 
C
June 10, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.