Citrix Hypervisor

Verificación de certificados

Cuando se habilita la verificación de certificados para un grupo, todos los puntos finales de comunicación TLS de su red de administración utilizan certificados para validar la identidad de sus pares antes de transmitir información confidencial.

Comportamiento

Las conexiones iniciadas por un servidor Citrix Hypervisor en la red de administración requieren que el punto final de destino proporcione un certificado TLS para verificar su identidad. Este requisito afecta a los siguientes elementos que forman parte del grupo o interactúan con él:

  • servidores en el grupo
  • Centro Citrix Hypervisor
  • clientes de terceros que usan la API

La verificación de certificados es compatible tanto con los certificados autofirmados que proporciona Citrix Hypervisor como con los certificados instalados por el usuario firmados por una autoridad de confianza. Para obtener más información, consulte Instalar un certificado TLS en su servidor.

Cada servidor Citrix Hypervisor de un grupo tiene dos certificados que lo identifican:

  • Loscertificados de identidad internos del grupo se utilizan para proteger las comunicaciones entre los servidores del grupo. Para la comunicación dentro del grupo, Citrix Hypervisor siempre usa certificados autofirmados.

  • Loscertificados de identidad del servidor se utilizan para verificar la identidad de un servidor para cualquier aplicación cliente que se comunique con el grupo en la red de administración. Para la comunicación entre el servidor y una aplicación cliente, puede usar certificados autofirmados o puede instalar sus propios certificados TLS en sus servidores.

Cuando un servidor se une por primera vez al grupo o un cliente hace una conexión al grupo por primera vez, el grupo confía en la conexión. Durante esta primera conexión, los certificados se intercambian entre el grupo y el servidor que se une o el cliente que se conecta. Para todas las comunicaciones posteriores de este servidor o cliente en la red de administración, los certificados se utilizan para verificar la identidad de las partes involucradas en la comunicación.

Si un servidor Citrix Hypervisor que tiene habilitada la verificación de certificados intenta unirse a un grupo que no tiene esta función habilitada, la operación no se realiza correctamente. Citrix Hypervisor Center proporciona un mensaje de advertencia que le indica que habilite la verificación de certificados en el grupo.

Si un servidor Citrix Hypervisor que no tiene habilitada la verificación de certificados intenta unirse a un grupo que sí tiene esta función habilitada, la operación no se realiza correctamente. Citrix Hypervisor Center proporciona un mensaje de advertencia que le indica que habilite la verificación de certificados en el servidor que se une.

Cuando un servidor sale de un grupo con la verificación de certificados habilitada, tanto el servidor como el grupo eliminan los certificados relacionados con el otro.

Comportamiento de dispositivos

Durante esta vista previa, el dispositivo virtual Citrix Hypervisor Conversion Manager está exento del requisito de comprobación de certificación cuando actúa como punto final de cliente TLS.

Durante esta vista previa, el dispositivo virtual Equilibrio de carga de trabajo se puede usar con la verificación de certificados. Debe asegurarse de que se cumplan las siguientes condiciones:

  • La longitud de la clave del certificado autofirmado es 2048
  • Se agrega un parámetro necesario a la configuración del túnel
  • Los certificados autofirmados de Equilibrio de carga de trabajo se instalan en el servidor Citrix Hypervisor

Para obtener más información, consulte Configurar Citrix Hypervisor para verificar el certificado autofirmado.

Habilitar la verificación de certificados para su grupo

La verificación de certificados está habilitada de forma predeterminada en las instalaciones nuevas de Citrix Hypervisor 8 Cloud y posteriores.

Si actualiza desde una versión anterior de Citrix Hypervisor, la verificación de certificados no se habilita automáticamente y debe habilitarla. Citrix Hypervisor Center le pide que habilite la verificación de certificados la próxima vez que se conecte al grupo actualizado.

Antes de habilitar la verificación de certificados en un grupo, asegúrese de que no se estén ejecutando operaciones en el grupo.

Habilitar mediante Citrix Hypervisor Center

Citrix Hypervisor Center ofrece varias formas de habilitar la verificación de certificados.

  • Cuando conecte por primera vez Citrix Hypervisor Center a un grupo sin la verificación de certificados habilitada, se le pedirá que la habilite. Haga clic en Sí, habilitar la verificación de certificados.

  • En el menú Agrupación, seleccione Habilitar verificación de certificados.

  • En la ficha General del grupo, haga clic con el botón derecho en la entrada Verificación de certificados y seleccione Habilitar verificación de certificados en el menú.

Habilitar mediante la CLI xe

Para habilitar la verificación de certificados para un grupo, ejecute el siguiente comando en la consola de un servidor del grupo:

xe pool-enable-tls-verification

Administración de certificados

Puede instalar, ver información y restablecer los certificados que se utilizan para verificar la identidad de un servidor.

Instalación de certificados

Puede instalar su propio certificado TLS para que el servidor lo presente como su certificado de identidad cuando reciba conexiones de aplicaciones cliente en la red de administración.

Para obtener más información, consulte Instalar un certificado TLS en el servidor

Ver la información del certificado

Para saber si un grupo tiene habilitada la verificación de certificados:

  • En Citrix Hypervisor Center, busque el grupo en la ficha General. La sección General tiene una entrada para Verificación de certificados que muestra si la verificación de certificados está habilitada o inhabilitada. Esta ficha también contiene una sección Certificados que enumera el nombre, la validez y la huella digital de los certificados de CA.

  • Con la CLI xe, puede ejecutar el siguiente comando:

     xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
    

    Si la verificación de certificados está habilitada, la línea tls-verification-enabled ( RO): true aparece en el resultado del comando.

Para ver información sobre los certificados en un servidor Citrix Hypervisor:

  • En Citrix Hypervisor Center, vaya a la ficha General de ese servidor. La sección Certificados muestra la huella digital y las fechas de validez del certificado de identidad del servidor y el certificado de identidad interno del grupo.

  • Con la CLI xe, puede ejecutar el siguiente comando:

     xe certificate-list
    

Actualización de certificados de identidad internos del grupo

Puede actualizar el certificado de identidad interno del grupo mediante la CLI xe:

  1. Busque el UUID del servidor cuyo certificado desea restablecer ejecutando el siguiente comando:

    xs host-list
    
  2. Para restablecer el certificado, ejecute el siguiente comando:

    xe host-refresh-server-certificate host=<host_uuid>
    

    Nota

    Se puede usar cualquier parámetro de selector de host con este comando para indicar el servidor en el que se debe restablecer el certificado.

Restablecer los certificados de identidad del servidor

Puede restablecer el certificado de identidad del servidor desde Citrix Hypervisor Center o desde la CLI xe. Al restablecer un certificado, se elimina el certificado del servidor y se instala un nuevo certificado autofirmado en su lugar.

Para restablecer un certificado en Citrix Hypervisor Center:

  1. Vaya a la ficha General del servidor.
  2. En la sección Certificados, haga clic con el botón derecho en el certificado que desea restablecer.
  3. En el menú, selecciona Restablecer certificado.
  4. En el cuadro de diálogo que aparece, haga clic en para confirmar el restablecimiento del certificado.

Como alternativa, en el menú Servidor, puede ir a Certificados > Restablecer certificado.

Al restablecer un certificado, se desconectan todas las conexiones existentes al servidor, incluida la conexión entre Citrix Hypervisor Center y el servidor.

Para restablecer un certificado mediante la CLI xe:

  1. Busque el UUID del servidor cuyo certificado desea restablecer ejecutando el siguiente comando:

    xs host-list
    
  2. Para restablecer el certificado, ejecute el siguiente comando:

    xe host-reset-server-certificate host=<host_uuid>
    

    Nota

    Se puede usar cualquier parámetro de selector de host con este comando para indicar el servidor en el que se debe restablecer el certificado.

Al restablecer un certificado, se desconectan todas las conexiones existentes al servidor, incluida la conexión entre Citrix Hypervisor Center y el servidor. Citrix Hypervisor Center se vuelve a conectar automáticamente al servidor tras un restablecimiento del certificado.

Alertas de caducidad

Citrix Hypervisor muestra alertas en la vista Notificaciones cuando los certificados de identidad del servidor, los certificados de identidad internos del grupo o los certificados de CA del grupo están cerca de su fecha de caducidad.

Desactivación temporal de la verificación de certificados

No se recomienda inhabilitar la verificación de certificados después de haberla habilitado en un servidor o grupo. Sin embargo, Citrix Hypervisor proporciona comandos que se pueden usar para inhabilitar la verificación de certificados por servidor al solucionar problemas con los certificados.

Para inhabilitar temporalmente la verificación de certificados, ejecute el siguiente comando en la consola del servidor:

xe host-emergency-disable-tls-verification

Citrix Hypervisor Center muestra una alerta en las Notificaciones cuando la verificación de certificados está inhabilitada en un servidor de un grupo en el que la función está habilitada.

Una vez que haya resuelto cualquier problema con los certificados en el servidor, asegúrese de volver a habilitar la verificación de certificados en él. Para volver a habilitar la verificación de certificados, ejecute el siguiente comando en la consola del servidor:

xe host-emergency-reenable-tls-verification
Verificación de certificados