Produktdokumentation
XenApp and XenDesktop
7.15 LTSR
PDF anzeigen

Transport Layer Security (TLS)

June 10, 2026
Beitrag von: 
C

Das Konfigurieren einer XenApp- oder XenDesktop®-Site zur Verwendung des Transport Layer Security (TLS)-Protokolls umfasst die folgenden Verfahren:

  • Beschaffen, Installieren und Registrieren eines Serverzertifikats auf allen Delivery Controllern und Konfigurieren eines Ports mit dem TLS-Zertifikat. Weitere Informationen finden Sie unter Installieren von TLS-Serverzertifikaten auf Controllern.

    Optional können Sie die Ports ändern, die der Controller zum Abhören von HTTP- und HTTPS-Datenverkehr verwendet.

  • Aktivieren Sie TLS-Verbindungen zwischen Benutzern und Virtual Delivery Agents (VDAs), indem Sie die folgenden Aufgaben ausführen:

    Anforderungen und Überlegungen:

    • Das Aktivieren von TLS-Verbindungen zwischen Benutzern und VDAs ist nur für XenApp 7.6- und XenDesktop 7.6-Sites sowie spätere unterstützte Releases gültig.
    • Konfigurieren Sie TLS in den Delivery Groups und auf den VDAs, nachdem Sie Komponenten installiert, eine Site erstellt, Maschinenkataloge erstellt und Delivery Groups erstellt haben.
    • Um TLS in den Delivery Groups zu konfigurieren, müssen Sie die Berechtigung zum Ändern von Controller-Zugriffsregeln haben; ein Volladministrator besitzt diese Berechtigung.
    • Um TLS auf den VDAs zu konfigurieren, müssen Sie Windows-Administrator auf der Maschine sein, auf der der VDA installiert ist.
    • Wenn Sie TLS auf VDAs konfigurieren möchten, die von früheren Versionen aktualisiert wurden, deinstallieren Sie vor dem Upgrade jegliche SSL-Relay-Software auf diesen Maschinen.
    • Das PowerShell-Skript konfiguriert TLS auf statischen VDAs; es konfiguriert TLS nicht auf gepoolten VDAs, die von Machine Creation Services™ oder Provisioning Services bereitgestellt werden, wo das Maschinenimage bei jedem Neustart zurückgesetzt wird.

Warnung:

Bei Aufgaben, die die Arbeit in der Windows-Registrierung umfassen – eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, gelöst werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung, bevor Sie sie bearbeiten.

Informationen zum Aktivieren von TLS für die Site-Datenbank finden Sie unter CTX137556.

Hinweis:

Wenn sowohl TLS als auch UDT auf dem VDA aktiviert sind:

  • Für den direkten Zugriff auf den VDA verwendet Citrix Receiver™ immer TLS über TCP (nicht UDP und UDT).
  • Für den indirekten Zugriff auf den VDA über NetScaler® Gateway verwendet Citrix Receiver DTLS über UDP für die Kommunikation mit NetScaler Gateway. Die Kommunikation zwischen NetScaler Gateway und dem VDA verwendet UDP ohne DTLS. UDT wird verwendet.

TLS-Serverzertifikate auf Controllern installieren

Für HTTPS unterstützt der XML-Dienst TLS-Funktionen mithilfe von Serverzertifikaten, nicht Clientzertifikaten. Dieser Abschnitt beschreibt den Erwerb und die Installation von TLS-Zertifikaten in Delivery Controllern. Dieselben Schritte können auf Cloud Connectors angewendet werden, um STA- und XML-Datenverkehr zu verschlüsseln.

Obwohl es verschiedene Arten von Zertifizierungsstellen und Methoden zur Anforderung von Zertifikaten gibt, beschreibt dieser Artikel die Microsoft-Zertifizierungsstelle. Die Microsoft-Zertifizierungsstelle muss eine Zertifikatvorlage mit dem Zweck der Serverauthentifizierung veröffentlicht haben.

Wenn die Microsoft-Zertifizierungsstelle in eine Active Directory-Domäne oder in die vertrauenswürdige Gesamtstruktur integriert ist, der die Delivery Controller beigetreten sind, können Sie ein Zertifikat über den Zertifikatregistrierungs-Assistenten des MMC-Snap-Ins „Zertifikate“ erwerben.

Zertifikat anfordern und installieren

  1. Öffnen Sie auf dem Delivery Controller™ die MMC-Konsole und fügen Sie das Snap-In „Zertifikate“ hinzu. Wählen Sie bei Aufforderung „Computerkonto“ aus.

  2. Erweitern Sie Persönlich > Zertifikate und verwenden Sie dann den Kontextmenübefehl Alle Aufgaben > Neues Zertifikat anfordern.

    MMC-Snap-In „Zertifikate“

  3. Klicken Sie auf Weiter, um zu beginnen, und erneut auf Weiter, um zu bestätigen, dass Sie das Zertifikat über die Active Directory-Registrierung erwerben.

  4. Wählen Sie die Vorlage für das Serverauthentifizierungszertifikat aus. Wenn die Vorlage so eingerichtet wurde, dass die Werte für den Antragsteller automatisch bereitgestellt werden, können Sie auf Registrieren klicken, ohne weitere Details anzugeben.

    Dialogfeld „Zertifikate anfordern“

  5. Um weitere Details für die Zertifikatvorlage anzugeben, klicken Sie auf die Pfeilschaltfläche Details und konfigurieren Sie Folgendes:

    Antragstellername: Wählen Sie „Allgemeiner Name“ und fügen Sie den FQDN des Delivery Controllers hinzu.

    Alternativer Name: Wählen Sie „DNS“ und fügen Sie den FQDN des Delivery Controllers hinzu.

    Zertifikateigenschaften

Konfigurieren des SSL/TLS-Listenerports

  1. Öffnen Sie ein PowerShell-Befehlsfenster als Administrator des Computers.

  2. Führen Sie die folgenden Befehle aus, um die GUID der Brokerdienst-Anwendung abzurufen:

    New-PSDrive -Name HKCR -PSProvider Registry -Root HKEY_CLASSES_ROOT

$Service_Guid = Get-ChildItem HKCR:\Installer\Products -Recurse -Ea 0 | Where-Object { $key = $_; $_.GetValueNames() | ForEach-Object { $key.GetValue($_) } | Where-Object { $_ -like 'Citrix Broker Service' } } | Select-Object Name

$Service_Guid.Name -match "[A-Z0-9]*$"

$Guid = $Matches[0]

[GUID]$Formatted_Guid = $Guid

Remove-PSDrive -Name HKCR

Write-Host "Broker Service Application GUID: $($Formatted_Guid)" -ForegroundColor Yellow
<!--NeedCopy-->

  3. Führen Sie die folgenden Befehle im selben PowerShell-Fenster aus, um den Fingerabdruck des zuvor installierten Zertifikats abzurufen:

    $HostName = ([System.Net.Dns]::GetHostByName(($env:computerName))).Hostname

$Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match ("CN=" + $HostName)}).Thumbprint -join ';'

Write-Host -Object "Certificate Thumbprint for $($HostName): $($Thumbprint)" -Foreground Yellow
<!--NeedCopy-->

  4. Führen Sie die folgenden Befehle im selben PowerShell-Fenster aus, um den SSL/TLS-Port des Brokerdiensts zu konfigurieren und das Zertifikat für die Verschlüsselung zu verwenden:

    $IPV4_Address = Test-Connection -ComputerName $HostName -Count 1  | Select-Object -ExpandProperty IPV4Address

$IPPort = "$($IPV4_Address):443"

$SSLxml = "http add sslcert ipport=$IPPort certhash=$Thumbprint appid={$Formatted_Guid}"

$SSLxml | netsh

. netsh http show sslcert
<!--NeedCopy-->

Bei korrekter Konfiguration zeigt die Ausgabe des letzten Befehls .netsh http show sslcert, dass der Listener den richtigen IP:port verwendet und dass Application ID mit der GUID der Brokerdienst-Anwendung übereinstimmt.

Wenn die Server dem auf den Delivery Controllern installierten Zertifikat vertrauen, können Sie jetzt StoreFront™ Delivery Controller und Citrix Gateway STA-Bindungen so konfigurieren, dass sie HTTPS anstelle von HTTP verwenden.

Die Reihenfolge der Cipher Suites sollte die TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384- oder TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256-Cipher Suites (oder beide) enthalten. Diese Cipher Suites müssen vor allen TLS_DHE_-Cipher Suites stehen.

Hinweis:

Windows Server 2012 unterstützt die GCM-Cipher-Suites TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 oder TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 nicht.

  1. Navigieren Sie mit dem Microsoft Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen.
  2. Bearbeiten Sie die Richtlinie SSL-Cipher-Suite-Reihenfolge. Standardmäßig ist diese Richtlinie auf Nicht konfiguriert eingestellt. Setzen Sie diese Richtlinie auf Aktiviert.
  3. Ordnen Sie die Suiten in der richtigen Reihenfolge an; entfernen Sie alle Cipher-Suiten, die Sie nicht verwenden möchten.

Stellen Sie sicher, dass entweder TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 oder TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 vor allen TLS_DHE_ Cipher-Suiten steht.

Siehe auch auf Microsoft MSDN: Prioritizing Schannel Cipher Suites.

HTTP- oder HTTPS-Ports ändern

Standardmäßig lauscht der XML-Dienst auf dem Controller an Port 80 für HTTP-Datenverkehr und an Port 443 für HTTPS-Datenverkehr. Obwohl Sie nicht standardmäßige Ports verwenden können, sollten Sie sich der Sicherheitsrisiken bewusst sein, die entstehen, wenn ein Controller nicht vertrauenswürdigen Netzwerken ausgesetzt wird. Die Bereitstellung eines eigenständigen StoreFront-Servers ist dem Ändern der Standardeinstellungen vorzuziehen.

Um die vom Controller verwendeten Standard-HTTP- oder HTTPS-Ports zu ändern, führen Sie den folgenden Befehl in Studio aus:

BrokerService.exe -WIPORT http-port -WISSLPORT https-port

Dabei ist http-port die Portnummer für HTTP-Datenverkehr und https-port die Portnummer für HTTPS-Datenverkehr.

Nach dem Ändern eines Ports zeigt Studio möglicherweise eine Meldung zur Lizenzkompatibilität und zum Upgrade an. Um das Problem zu beheben, registrieren Sie die Dienstinstanzen mit der folgenden PowerShell-Cmdlet-Sequenz neu:

Get-ConfigRegisteredServiceInstance -ServiceType Broker -Binding XML_HTTPS |

Unregister-ConfigRegisteredServiceInstance

Get-BrokerServiceInstance | wo Binding -eq “XML_HTTPS” | Register-ConfigServiceInstance

Nur HTTPS-Datenverkehr erzwingen

Wenn der XML-Dienst HTTP-Datenverkehr ignorieren soll, erstellen Sie die folgende Registrierungseinstellung in HKLM\Software\Citrix\DesktopServer\ auf dem Controller und starten Sie dann den Broker-Dienst neu.

Um HTTP-Datenverkehr zu ignorieren, erstellen Sie den DWORD-Wert XmlServicesEnableNonSsl und setzen Sie ihn auf 0.

Es gibt einen entsprechenden DWORD-Registrierungswert, den Sie erstellen können, um HTTPS-Datenverkehr zu ignorieren: DWORD XmlServicesEnableSsl. Stellen Sie sicher, dass er nicht auf 0 gesetzt ist.

TLS-Einstellungen auf VDAs

Eine Bereitstellungsgruppe darf keine Mischung aus VDAs mit und ohne TLS-Konfiguration enthalten. Wenn Sie TLS für eine Bereitstellungsgruppe konfigurieren, sollten Sie TLS bereits für alle VDAs in dieser Bereitstellungsgruppe konfiguriert haben.

Wenn Sie TLS auf VDAs konfigurieren, werden die Berechtigungen für das installierte TLS-Zertifikat geändert, wodurch der ICA® Service Lesezugriff auf den privaten Schlüssel des Zertifikats erhält und der ICA Service über Folgendes informiert wird:

  • Welches Zertifikat im Zertifikatspeicher für TLS verwendet werden soll.
  • Welche TCP-Portnummer für TLS-Verbindungen verwendet werden soll.

Die Windows-Firewall (sofern aktiviert) muss so konfiguriert sein, dass eingehende Verbindungen auf diesem TCP-Port zugelassen werden. Diese Konfiguration wird für Sie vorgenommen, wenn Sie das PowerShell-Skript verwenden.

  • Welche Versionen des TLS-Protokolls zugelassen werden sollen.

Wichtig

Citrix empfiehlt, die Verwendung von SSLv3 zu überprüfen und entsprechende Bereitstellungen neu zu konfigurieren, um die Unterstützung für SSLv3 gegebenenfalls zu entfernen. Siehe CTX200238.

Die unterstützten TLS-Protokollversionen folgen einer Hierarchie (niedrigste bis höchste): SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2. Sie geben die minimal zulässige Version an. Alle Protokollverbindungen, die diese Version oder eine höhere Version verwenden, sind zulässig.

Wenn Sie beispielsweise TLS 1.1 als Mindestversion angeben, sind TLS 1.1- und TLS 1.2-Protokollverbindungen zulässig. Wenn Sie SSL 3.0 als Mindestversion angeben, sind Verbindungen für alle unterstützten Versionen zulässig. Wenn Sie TLS 1.2 als Mindestversion angeben, sind nur TLS 1.2-Verbindungen zulässig.

  • Welche TLS-Cipher-Suites zugelassen werden sollen.

Eine Cipher-Suite wählt die Verschlüsselung aus, die für eine Verbindung verwendet wird. Clients und VDAs können unterschiedliche Sätze von Cipher-Suites unterstützen. Wenn ein Client (Citrix Receiver oder StoreFront) eine Verbindung herstellt und eine Liste der unterstützten TLS-Cipher-Suites sendet, gleicht der VDA eine der Cipher-Suites des Clients mit einer der Cipher-Suites in seiner eigenen Liste der konfigurierten Cipher-Suites ab und akzeptiert die Verbindung. Wenn keine übereinstimmende Cipher-Suite vorhanden ist, weist der VDA die Verbindung zurück.

Drei Sätze von Cipher-Suites (auch als Kompatibilitätsmodi bekannt) werden vom VDA unterstützt: GOV(ernment), COM(mercial) und ALL. Die zulässigen Cipher-Suites hängen auch vom Windows FIPS-Modus ab; siehe https://support.microsoft.com/kb/811833 für Informationen zum Windows FIPS-Modus. Die folgende Tabelle listet die Cipher-Suites in jedem Satz auf:

TLS-Cipher-Suite GOV COM ALL GOV COM ALL
FIPS-Modus Aus Aus Aus Ein Ein Ein
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 x   x x   x
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 x   x x   x
TLS_RSA_WITH_AES_256_GCM_SHA384 x   x x   x
TLS_RSA_WITH_AES_128_GCM_SHA256 x x x x x x
TLS_RSA_WITH_AES_256_CBC_SHA256 x   x x   x
TLS_RSA_WITH_AES_256_CBC_SHA x   x x   x
TLS_RSA_WITH_AES_128_CBC_SHA   x x   x x
TLS_RSA_WITH_RC4_128_SHA   x x      
TLS_RSA_WITH_RC4_128_MD5   x x      
TLS_RSA_WITH_3DES_EDE_CBC_SHA x   x x   x

Wichtig:

Ein zusätzlicher Schritt ist erforderlich, wenn der VDA auf Windows Server 2012 R2, Windows Server 2016, Windows 10 Anniversary Edition oder einer späteren unterstützten Version ausgeführt wird. Dies betrifft Verbindungen von Citrix Receiver für Windows (Version 4.6 bis 4.9), Citrix Receiver für HTML5 und Citrix Receiver für Chrome. Dies schließt auch Verbindungen über NetScaler Gateway ein.

Dieser Schritt ist auch für alle Verbindungen über NetScaler Gateway und für alle VDA-Versionen erforderlich, wenn TLS zwischen NetScaler Gateway und dem VDA konfiguriert ist. Dies betrifft alle Citrix Receiver-Versionen.

Auf dem VDA (Windows Server 2016 oder Windows 10 Anniversary Edition oder höher) navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen > SSL-Chiffre-Suite-Reihenfolge. Wählen Sie die folgende Reihenfolge aus:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Hinweis:

Die ersten vier Elemente geben auch die elliptische Kurve P384 oder P256 an. Stellen Sie sicher, dass „curve25519“ nicht ausgewählt ist. Der FIPS-Modus verhindert die Verwendung von „curve25519“ nicht.

Wenn diese Gruppenrichtlinieneinstellung konfiguriert ist, wählt der VDA eine Cipher Suite nur aus, wenn sie in beiden Listen vorkommt: der Gruppenrichtlinienliste und der Liste für den ausgewählten Kompatibilitätsmodus (COM, GOV oder ALL). Die Cipher Suite muss auch in der vom Client (Citrix Receiver oder StoreFront) gesendeten Liste enthalten sein.

Diese Gruppenrichtlinienkonfiguration wirkt sich auch auf andere TLS-Anwendungen und -Dienste auf dem VDA aus. Wenn Ihre Anwendungen bestimmte Cipher Suites erfordern, müssen Sie diese möglicherweise dieser Gruppenrichtlinienliste hinzufügen.

Wichtig:

Obwohl Gruppenrichtlinienänderungen bei ihrer Anwendung angezeigt werden, werden Gruppenrichtlinienänderungen für die TLS-Konfiguration erst nach einem Neustart des Betriebssystems wirksam. Wenden Sie daher bei gepoolten Desktops die Gruppenrichtlinienänderungen für die TLS-Konfiguration auf das Basisimage an.

TLS auf einem VDA mithilfe des PowerShell-Skripts konfigurieren

Das Skript Enable-VdaSSL.ps1 aktiviert oder deaktiviert den TLS-Listener auf einem VDA. Dieses Skript ist im Ordner Support >Tools > SslSupport auf dem Installationsmedium verfügbar.

Wenn Sie TLS aktivieren, deaktiviert das Skript alle vorhandenen Windows-Firewallregeln für den angegebenen TCP-Port, bevor eine neue Regel hinzugefügt wird, die dem ICA-Dienst erlaubt, eingehende Verbindungen nur über den TLS-TCP-Port zu akzeptieren. Es deaktiviert auch die Windows-Firewallregeln für:

  • Citrix ICA (Standard: 1494)
  • Citrix CGP (Standard: 2598)
  • Citrix WebSocket (Standard: 8008)

Dies hat zur Folge, dass Benutzer nur über TLS eine Verbindung herstellen können; sie können ICA/HDX, ICA/HDX mit Sitzungszuverlässigkeit oder HDX über WebSocket nicht ohne TLS verwenden.

Siehe Netzwerkports.

Hinweis:

Für zustandslose Maschinen, wie PVS-Ziele oder MCS-Klone, wird standardmäßig ein FQDN-Zertifikat verwendet.

Das Skript enthält die folgenden Syntaxbeschreibungen sowie zusätzliche Beispiele; Sie können ein Tool wie Notepad++ verwenden, um diese Informationen zu überprüfen.

Wichtig:

Geben Sie entweder den Parameter Enable oder Disable und den Parameter CertificateThumbPrint an. Die anderen Parameter sind optional.

Syntax 

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>"
[–SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"<suite>"]
<!--NeedCopy-->
Parameter Beschreibung
Enable Installiert und aktiviert den TLS-Listener auf dem VDA. Entweder dieser Parameter oder der Parameter Disable ist erforderlich.
Disable Deaktiviert den TLS-Listener auf dem VDA. Entweder dieser Parameter oder der Parameter „Enable“ ist erforderlich. Wenn Sie diesen Parameter angeben, sind keine anderen Parameter gültig.
Zertifikatfingerabdruck “" Fingerabdruck des TLS-Zertifikats im Zertifikatspeicher, in Anführungszeichen eingeschlossen. Das Skript verwendet den angegebenen Fingerabdruck, um das zu verwendende Zertifikat auszuwählen. Wenn dieser Parameter weggelassen wird, wird ein falsches Zertifikat ausgewählt.
SSL-Port TLS-Port. Standard: 443
SSL-Mindestversion “" Mindestversion des TLS-Protokolls, in Anführungszeichen eingeschlossen. Gültige Werte: „SSL_3.0“, „TLS_1.0“ (Standard), „TLS_1.1“ und „TLS_1.2“. Wichtig: Citrix empfiehlt Kunden, ihre Nutzung von SSLv3 zu überprüfen und Schritte zu unternehmen, um ihre Bereitstellungen neu zu konfigurieren, um die Unterstützung für SSLv3 gegebenenfalls zu entfernen. Siehe CTX200238.
SSL-Chiffrensuite “" TLS-Cipher-Suite, in Anführungszeichen eingeschlossen. Gültige Werte: „GOV“, „COM“ und „ALL“ (Standard)

Beispiele

Das folgende Skript installiert und aktiviert den Wert der TLS 1.2-Protokollversion. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL –Enable -CertificateThumbPrint "12345678987654321"

Das folgende Skript installiert und aktiviert den TLS-Listener und gibt den TLS-Port 400, die GOV-Cipher-Suite und einen minimalen TLS 1.2-Protokollwert an. Der Fingerabdruck (in diesem Beispiel als „12345678987654321“ dargestellt) wird verwendet, um das zu verwendende Zertifikat auszuwählen.

Enable-VdaSSL –Enable -CertificateThumbPrint "12345678987654321" –SSLPort 400 -SSLMinVersion "TLS_1.2" –SSLCipherSuite "All"

Das folgende Skript deaktiviert den TLS-Listener auf dem VDA.

Enable-VdaSSL –Disable

TLS manuell auf einem VDA konfigurieren

Wenn Sie TLS auf einem VDA manuell konfigurieren, gewähren Sie dem privaten Schlüssel des TLS-Zertifikats generischen Lesezugriff für den entsprechenden Dienst auf jedem VDA: NT SERVICE\PorticaService für einen VDA für Windows-Desktopbetriebssysteme oder NT SERVICE\TermService für einen VDA für Windows-Serverbetriebssysteme. Auf dem Computer, auf dem der VDA installiert ist:

  1. Starten Sie die Microsoft Management Console (MMC): Start > Ausführen > mmc.exe.

  2. Fügen Sie das Zertifikate-Snap-In zur MMC hinzu:

    1. Wählen Sie Datei > Snap-In hinzufügen/entfernen.
    2. Wählen Sie Zertifikate und klicken Sie dann auf Hinzufügen.
    3. Wenn Sie mit Dieses Snap-In verwaltet immer Zertifikate für: aufgefordert werden, wählen Sie Computerkonto und klicken Sie dann auf Weiter.
    4. Wenn Sie mit Wählen Sie den Computer aus, den dieses Snap-In verwalten soll aufgefordert werden, wählen Sie Lokaler Computer und klicken Sie dann auf Fertig stellen.

  3. Klicken Sie unter Zertifikate (Lokaler Computer) > Persönlich > Zertifikate mit der rechten Maustaste auf das Zertifikat und wählen Sie dann Alle Aufgaben > Private Schlüssel verwalten.

  4. Der Zugriffssteuerungslisten-Editor zeigt „Berechtigungen für (Anzeigename) private Schlüssel“ an, wobei (Anzeigename) der Name Ihres TLS-Zertifikats ist. Fügen Sie einen der folgenden Dienste hinzu und erteilen Sie ihm Lesezugriff:

    • Für einen VDA für Windows-Desktopbetriebssysteme: „PORTICASERVICE“
    • Für einen VDA für Windows-Serverbetriebssysteme: „TERMSERVICE“

  5. Doppelklicken Sie auf das installierte TLS-Zertifikat. Wählen Sie im Zertifikatsdialog die Registerkarte Details und scrollen Sie dann nach unten. Klicken Sie auf Fingerabdruck.

  6. Führen Sie regedit aus und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

    1. Bearbeiten Sie den Schlüssel SSL Thumbprint und kopieren Sie den Wert des TLS-Zertifikat-Thumbprints in diesen Binärwert. Sie können unbekannte Elemente im Dialogfeld „Binärwert bearbeiten“ (z. B. „0000“ und Sonderzeichen) gefahrlos ignorieren.
    2. Bearbeiten Sie den Schlüssel SSLEnabled und ändern Sie den DWORD-Wert in 1. (Um SSL später zu deaktivieren, ändern Sie den DWORD-Wert in 0.)

    3. Wenn Sie die Standardeinstellungen ändern möchten (optional), verwenden Sie Folgendes im selben Registrierungspfad:

      SSLPort DWORD – SSL-Portnummer. Standard: 443.

      SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2. Standard: 2 (TLS 1.0).

      SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Standard: 3 (ALL).

  7. Stellen Sie sicher, dass der TLS-TCP-Port in der Windows-Firewall geöffnet ist, wenn er nicht der Standardport 443 ist. (Wenn Sie die eingehende Regel in der Windows-Firewall erstellen, stellen Sie sicher, dass in ihren Eigenschaften die Einträge Verbindung zulassen und Aktiviert ausgewählt sind.)

  8. Stellen Sie sicher, dass keine anderen Anwendungen oder Dienste (wie IIS) den TLS-TCP-Port verwenden.

  9. Starten Sie bei VDAs für Windows Server OS die Maschine neu, damit die Änderungen wirksam werden. (Sie müssen keine Maschinen neu starten, die VDAs für Windows Desktop OS enthalten.)

TLS in Delivery Groups konfigurieren

Führen Sie dieses Verfahren für jede Delivery Group aus, die VDAs enthält, die Sie für TLS-Verbindungen konfiguriert haben.

  1. Öffnen Sie in Studio die PowerShell-Konsole.
  2. Führen Sie asnp Citrix.* aus, um die Citrix-Produkt-Cmdlets zu laden.
  3. Führen Sie Get-BrokerAccessPolicyRule -DesktopGroupName 'delivery-group-name' | Set-BrokerAccessPolicyRule -HdxSslEnabled $true aus.
  4. Führen Sie Set-BrokerSite -DnsResolutionEnabled $true aus.

Fehlerbehebung

Tritt ein Verbindungsfehler auf, überprüfen Sie das Systemereignisprotokoll des VDA.

Wenn Sie Citrix Receiver für Windows verwenden und ein Verbindungsfehler (z. B. 1030) auftritt, der auf einen TLS-Fehler hinweist, deaktivieren Sie Desktop Viewer und versuchen Sie dann erneut, eine Verbindung herzustellen. Obwohl die Verbindung weiterhin fehlschlägt, wird möglicherweise eine Erklärung des zugrunde liegenden TLS-Problems bereitgestellt. (Beispiel: Sie haben eine falsche Vorlage angegeben, als Sie ein Zertifikat von der Zertifizierungsstelle angefordert haben.)

Kommunikation zwischen Controller und VDA

Die Kommunikation zwischen Controller und VDA wird durch den Windows Communication Framework (WCF)-Nachrichtenschutz gesichert. Ein zusätzlicher Transportebenen-Schutz mit TLS ist nicht erforderlich. Die WCF-Konfiguration verwendet Kerberos zur gegenseitigen Authentifizierung zwischen Controller und VDA. Die Verschlüsselung verwendet AES im CBC-Modus mit einem 256-Bit-Schlüssel. Die Nachrichtenintegrität verwendet SHA-1.

Laut Microsoft entsprechen die von WCF verwendeten Security protocols den Standards von OASIS (Organization for the Advancement of Structured Information Standards), einschließlich WS-SecurityPolicy 1.2. Darüber hinaus gibt Microsoft an, dass WCF alle in Security Policy 1.2 aufgeführten Algorithmus-Suites unterstützt.

Die Kommunikation zwischen Controller und VDA verwendet die Algorithmus-Suite basic256, deren Algorithmen wie oben angegeben sind.

TLS und HTML5-Videoumleitung

Sie können die HTML5-Videoumleitung verwenden, um HTTPS-Websites umzuleiten. Das in diese Websites injizierte JavaScript muss eine TLS-Verbindung zum Citrix HDX™ HTML5 Video Redirection Service herstellen, der auf dem VDA ausgeführt wird. Dazu generiert der HTML5 Video Redirection Service zwei benutzerdefinierte Zertifikate im Zertifikatspeicher auf dem VDA. Beim Beenden des Dienstes werden die Zertifikate entfernt.

Die Richtlinie für die HTML5-Videoumleitung ist standardmäßig deaktiviert.

Weitere Informationen zur HTML5-Videoumleitung finden Sie unter Multimedia-Richtlinieneinstellungen.

Transport Layer Security (TLS)
June 10, 2026
Beitrag von: 
C
June 10, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.