-
Planificar y crear una implementación
-
Comunicación WebSocket entre el VDA y el Delivery Controller
-
Crear y administrar conexiones
-
-
Grupos de identidad de diferentes tipos de unión de identidad de máquinas
-
Grupo de identidades de la identidad de la máquina unida a Active Directory local
-
Grupo de identidades de la identidad de máquina unida a Azure Active Directory
-
Grupo de identidades de la identidad de la máquina unida a Azure Active Directory híbrido
-
Grupo de identidades de la identidad de máquina habilitada para Microsoft Intune
-
Grupo de identidades de la identidad de máquina no unida a ningún dominio
-
-
Servicio independiente Citrix Secure Ticketing Authority (STA)
-
Migrar cargas de trabajo entre ubicaciones de recursos mediante Image Portability Service
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Administración de certificados
Información general
Las conexiones HDX Direct están protegidas con cifrado a nivel de red. Para facilitar esto, cada host de sesión tiene un certificado de CA raíz autofirmado único y un certificado de servidor correspondiente, que está firmado por el certificado de CA raíz autofirmado.
Esta solución ofrece las siguientes ventajas:
- Seguridad optimizada: Las conexiones HDX Direct están protegidas sin la sobrecarga administrativa que supone administrar certificados dentro del entorno.
- Superficie de ataque reducida: La superficie de ataque está limitada a un solo host porque cada host tiene un conjunto único de claves y certificados.
- Seguridad mejorada para entornos no persistentes: En entornos con hosts de sesión no persistentes, la seguridad mejora aún más, al generarse nuevas claves y certificados al reiniciar.
Host de la sesión
Citrix ClxMtp Service y Citrix Certificate Manager Service son los dos servicios responsables de administrar los certificados en cada host de sesión. El ClxMtp Service gestiona la generación y rotación de claves, mientras que Certificate Manager Service genera y administra los certificados.
Se crean dos certificados: Uno de CA raíz autofirmado y uno de servidor. Ambos se emiten con un período de validez de dos años, sin embargo, se reemplazan cuando se rotan las claves. Además, se generan nuevos certificados cada vez que se reinician las máquinas no persistentes.
Los detalles de cada certificado son los siguientes:
-
Certificado de CA raíz autofirmado
- Emitido a: CA-Citrix-Certificate-Manager
- Emitido por: CA-Citrix-Certificate-Manager
- Detalles del emisor: La organización es Citrix Systems, Inc.
-
Certificado de servidor
- Emitido a: <FQDN de host> (Por ejemplo, FTLW11-001.ctxlab.net)
- Emitido por: CA-Citrix-Certificate-Manager
- Detalles del emisor: La organización es Citrix Systems, Inc.
NOTA:
Citrix Certificate Manager Service genera certificados RSA que emplean claves de 2048 bits.
Si existe un certificado de máquina creado por Citrix Certificate Manager Service, y el nombre del asunto no coincide con el FQDN de la máquina, se genera un certificado nuevo.
Rotación de claves
Citrix ClxMtp Service rota las claves automáticamente cada seis meses. Sin embargo, puede desencadenar una rotación de claves manualmente aumentando el contador de rotación en el registro del host de la sesión.
Para rotar las claves, actualice el siguiente valor:
- Clave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Tipo de valor: DWORD
- Nombre del valor: ClxMtpRotateRequestCounter
- Datos: entero (Decimal)
NOTA:
Para la rotación de clave por primera vez:
- Cree la clave ClxMtpConnectorSvcRotateKeyPairs.
- Cree y establezca el valor de ClxMtpRotateRequestCounter en 1.
Para las rotaciones de clave posteriores, aumente el valor de ClxMtpRotateRequestCounter en 1.
Una vez que se actualiza el valor, Citrix ClxMtp Service rota automáticamente las claves sin necesidad de reiniciar. Citrix Certificate Manager Service generará nuevos certificados automáticamente una vez que detecte nuevas claves.
Dispositivo cliente
El certificado de CA raíz se envía al cliente por medio de Workspace o StoreFront a través de la ruta de conexión segura y fiable ya establecida. Esto elimina la necesidad de distribuir certificados de CA a los almacenes de certificados de los dispositivos cliente y garantiza que el cliente confíe en los certificados usados para proteger la conexión HDX Direct.
Uso de certificados personalizados
HDX Direct admite el uso de certificados emitidos y administrados por su propia PKI. En los siguientes pasos, se describe cómo instalar un certificado, configurar los permisos necesarios, vincularlo al servicio del administrador de sesiones y habilitar las escuchas TLS necesarias.
- Prosiga con el paso 2 si HDX Direct está inhabilitado en la máquina. Si HDX Direct está habilitado, siga los pasos que se indican a continuación:
- Abra el Editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Establezca el valor SSLEnabled en 0.
- Vaya a HKLM\Software\Citrix\HDX-Direct.
- Establezca el valor HdxDirectCaInTls en 0.
-
Instale el certificado apropiado emitido por su PKI en el almacén de certificados de la máquina.
- Conceda al servicio de administrador de sesiones acceso de lectura a las claves privadas del certificado.
- Inicie la consola de administración de Microsoft (MMC): Inicio > Ejecutar > mmc.exe.
- Vaya a Archivo > Agregar o quitar complemento.
- Seleccione Certificados y, a continuación, haga clic en Agregar.
- Seleccione Cuenta de equipo y haga clic en Siguiente.
- Seleccione Equipo local y haga clic en Finalizar.
- Vaya a Certificados (equipo local) > Personal > Certificados.
- Haga clic con el botón secundario en el certificado apropiado y seleccione Todas las tareas > Administrar claves privadas.
- Agregue uno de los siguientes servicios y dele acceso de lectura:
- Para VDA de sesión única:
NT SERVICE\PorticaService - Para VDA multisesión:
NT SERVICE\TermService
- Para VDA de sesión única:
- Haga clic en Aplicar y, a continuación, en Aceptar.
- Vincule el certificado al servicio del administrador de sesiones.
- Obtenga la huella digital del certificado (haga doble clic en el certificado > Detalles > Huella digital).
- Abra el Editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Modifique el valor SSLThumbprint y pegue la huella digital del certificado.
- Habilite las escuchas TLS de Citrix.
- En la misma ubicación del Registro, establezca el valor SSLEnabled en 1.
- Habilitar HDX Direct (en la directiva de Citrix).
El medio de instalación de Citrix Virtual Apps and Desktops incluye un script de PowerShell (Enable-VdaSSL.ps1) que automatiza varias de estas tareas:
- Configuración de permisos para las claves del certificado
- Enlace del certificado al servicio del administrador de sesiones
- Habilitación de las escuchas TLS de Citrix
Este script se encuentra en el directorio Support > Tools > SslSupport. Para obtener más detalles, consulte Configurar TLS en un VDA mediante el script de PowerShell.
NOTA:
Los dispositivos que se conectan a los hosts de sesión deben tener instalados los certificados de CA raíz e intermedios correctos si usa sus propios certificados.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.