-
Planificar y crear una implementación
-
Crear catálogos de máquinas de imágenes preparadas
-
Crear una imagen preparada para instancias administradas de Amazon WorkSpaces Core
-
Crear un catálogo de instancias administradas de Amazon WorkSpaces Core
-
Crear un catálogo de máquinas de imágenes preparadas en AWS EC2
-
Crear un catálogo de máquinas de imágenes preparadas en Azure
-
Crear un catálogo de máquinas de imágenes preparadas en Red Hat OpenShift
-
Crear un catálogo de máquinas de imágenes preparadas en VMware
-
Crear un catálogo de máquinas de imágenes preparadas en XenServer
-
-
-
Grupos de identidades de diferentes tipos de unión de identidad de máquina
-
Servicio de autoridad de emisión de tickets seguros (STA) de Citrix independiente
-
-
-
Administración de certificados
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gestión de certificados
Información general
Las conexiones directas de HDX™ se protegen con cifrado de nivel de red. Para facilitar esto, cada host de sesión tiene un certificado de CA raíz autofirmado único y un certificado de servidor correspondiente, que está firmado por el certificado de CA raíz autofirmado.
Esta solución ofrece las siguientes ventajas:
- Seguridad optimizada: Las conexiones directas de HDX se protegen sin la sobrecarga administrativa de gestionar certificados en el entorno.
- Superficie de ataque reducida: La superficie de ataque se limita a un solo host porque cada host tiene un conjunto único de claves y certificados.
- Seguridad mejorada para entornos no persistentes: En entornos con hosts de sesión no persistentes, la seguridad se mejora aún más, ya que se generan nuevas claves y certificados al reiniciar.
Host de sesión
Los servicios Citrix ClxMtp Service y Citrix Certificate Manager Service son los dos servicios responsables de gestionar los certificados en cada host de sesión. El servicio ClxMtp se encarga de la generación y rotación de claves, mientras que el servicio Certificate Manager genera y gestiona los certificados.
Se crean dos certificados: una CA raíz autofirmada y un certificado de servidor. Ambos se emiten con un período de validez de dos años; sin embargo, se reemplazan cuando se rotan las claves. Además, se generan nuevos certificados cada vez que se reinician las máquinas no persistentes.
Los detalles de cada certificado son los siguientes:
-
CA raíz autofirmada
- Emitido a: CA-Citrix-Certificate-Manager
- Emitido por: CA-Citrix-Certificate-Manager
- Detalles del emisor: La organización es Citrix Systems, Inc.
-
Certificado de servidor
- Emitido a: <FQDN del host> (Por ejemplo, FTLW11-001.ctxlab.net)
- Emitido por: CA-Citrix-Certificate-Manager
- Detalles del emisor: La organización es Citrix Systems, Inc.
NOTA:
El servicio Citrix Certificate Manager Service genera certificados RSA que aprovechan claves de 2048 bits.
Si existe un certificado de máquina creado por el servicio Citrix Certificate Manager Service y el nombre del sujeto no coincide con el FQDN de la máquina, se genera un nuevo certificado.
Rotación de claves
El servicio Citrix ClxMtp Service rota automáticamente las claves cada seis meses. Sin embargo, puedes activar una rotación de claves manualmente aumentando el contador de rotación en el registro del host de sesión.
Para rotar las claves, actualiza el siguiente valor:
- Clave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Tipo de valor: DWORD
- Nombre del valor: ClxMtpRotateRequestCounter
- Datos: entero (Decimal)
NOTA:
Para la primera rotación de claves:
- Crea la clave ClxMtpConnectorSvcRotateKeyPairs.
- Crea y establece el valor ClxMtpRotateRequestCounter en 1.
Para rotaciones de claves posteriores, aumenta el valor ClxMtpRotateRequestCounter en 1.
Una vez actualizado el valor, el servicio Citrix ClxMtp Service rotará automáticamente las claves sin necesidad de reiniciar. El servicio Citrix Certificate Manager Service generará nuevos certificados automáticamente una vez que detecte nuevas claves.
Dispositivo cliente
El certificado de CA raíz se envía al cliente mediante Workspace o Storefront™ a través de la ruta de conexión segura y de confianza ya establecida. Esto elimina la necesidad de distribuir certificados de CA a los almacenes de certificados de los dispositivos cliente y garantiza que el cliente confíe en los certificados utilizados para proteger la conexión directa de HDX.
Uso de certificados personalizados
HDX Direct admite el uso de certificados emitidos y gestionados por tu propia PKI. Los siguientes pasos describen cómo instalar tu certificado, configurar los permisos necesarios, vincularlo al servicio de administrador de sesiones y habilitar los oyentes TLS requeridos.
- Continúa con el paso 2 si HDX Direct está deshabilitado en la máquina. Si HDX Direct está habilitado, sigue los pasos a continuación:
- Abre el editor del Registro (regedit.exe) y navega hasta HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Establece el valor SSLEnabled en 0.
- Navega hasta HKLM\Software\Citrix\HDX-Direct.
- Establece el valor HdxDirectCaInTls en 0.
-
Instala el certificado apropiado emitido por tu PKI en el almacén de certificados de la máquina.
- Concede al servicio de administrador de sesiones acceso de lectura a las claves privadas del certificado.
- Inicia la consola de administración de Microsoft (MMC): Inicio > Ejecutar > mmc.exe.
- Navega hasta Archivo > Agregar o quitar complemento.
- Selecciona Certificados y, a continuación, haz clic en Agregar.
- Elige Cuenta de equipo y haz clic en Siguiente.
- Selecciona Equipo local y haz clic en Finalizar.
- Navega hasta Certificados (equipo local) > Personal > Certificados.
- Haz clic con el botón derecho en el certificado apropiado y selecciona Todas las tareas > Administrar claves privadas.
- Agrega uno de los siguientes servicios y concédele acceso de lectura:
- Para VDA de sesión única:
NT SERVICE\PorticaService - Para VDA de varias sesiones:
NT SERVICE\TermService
- Para VDA de sesión única:
- Haz clic en Aplicar y, a continuación, en Aceptar.
- Vincula el certificado al servicio de administrador de sesiones.
- Recupera la huella digital del certificado (haz doble clic en el certificado > Detalles > Huella digital).
- Abre el editor del Registro (regedit.exe) y navega hasta HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Edita el valor SSLThumbprint y pega la huella digital del certificado.
- Habilita los oyentes TLS de Citrix.
- En la misma ubicación del Registro, establece el valor SSLEnabled en 1.
- Habilita HDX Direct (en la directiva de Citrix).
El medio de instalación de Citrix Virtual Apps and Desktops incluye un script de PowerShell (Enable-VdaSSL.ps1) que automatiza varias de estas tareas:
- Establecer permisos para las claves del certificado
- Vincular el certificado al servicio de administrador de sesiones
- Habilitar los oyentes TLS de Citrix
Este script se encuentra en el directorio Support > Tools > SslSupport. Para obtener más detalles, consulta Configurar TLS en un VDA mediante el script de PowerShell.
NOTA:
Los dispositivos que se conectan a los hosts de sesión deben tener instalados los certificados de CA raíz y CA intermedia correctos si utilizas tus propios certificados.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.