Citrix Virtual Apps and Desktops

Administrar las claves de seguridad

Nota:

Debe utilizar esta función en combinación con StoreFront 1912 LTSR CU2 o una versión posterior.

Esta función permite especificar que solo las máquinas StoreFront y Citrix Gateway aprobadas se comuniquen con los Delivery Controllers de Citrix. Después de habilitar esta función, se bloquearán todas las solicitudes que no contengan la clave. Utilice esta función para agregar una capa adicional de seguridad y protegerse contra ataques que se originen en la red interna.

He aquí un flujo de trabajo general para utilizar esta función:

  1. Habilite Studio para mostrar los parámetros de las funciones.

  2. Configure los parámetros de su sitio (use la consola de Studio o PowerShell).

  3. Configure los parámetros en StoreFront (use PowerShell).

  4. Configure los parámetros en Citrix ADC (use PowerShell).

Habilitar Studio para mostrar los parámetros de las funciones

De forma predeterminada, los parámetros de las claves de seguridad están ocultos en Studio. Para permitir que Studio los muestre, utilice el SDK de PowerShell de esta manera:

Para habilitarlo, siga estos pasos:

  1. Ejecute el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops
  2. En una ventana de comandos, ejecute los siguientes comandos:
    • Add-PSSnapIn Citrix*. Este comando agrega los complementos de Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Para obtener más información sobre el SDK de PowerShell remoto, consulte SDK y API.

Configurar los parámetros de su sitio

Puede configurar los parámetros en Studio mediante la consola de Studio o PowerShell.

Usar la consola de Studio

Después de habilitar Studio para que muestre los parámetros de las funciones, vaya a Studio > Parámetros > Administrar clave de seguridad. Es posible que deba hacer clic en Actualizar para que aparezca la opción Administrar clave de seguridad.

La ventana Administrar clave de seguridad aparece después de hacer clic en Administrar clave de seguridad.

Asistente para administrar clave de seguridad

Importante:

  • Hay dos claves disponibles para uso. Puede utilizar la misma clave o claves diferentes para las comunicaciones a través de los puertos XML y STA. Le recomendamos usar solo una tecla a la vez. La clave no utilizada solo se utiliza para la rotación de claves.
  • No haga clic en el icono de actualización para actualizar la clave que ya está en uso. Si lo hace, se producirá una interrupción del servicio.

Haga clic en el icono de actualización para generar nuevas claves.

Requerir clave para las comunicaciones a través del puerto XML (solo para StoreFront). Si se selecciona, se necesita una clave para autenticar las comunicaciones a través del puerto XML. StoreFront se comunica con Citrix Cloud a través de este puerto. Para obtener información acerca de cómo cambiar el puerto XML, consulte el artículo CTX127945 de Knowledge Center.

Requerir clave para las comunicaciones a través del puerto STA. Si se selecciona, se necesita una clave para autenticar las comunicaciones a través del puerto STA. Citrix Gateway y StoreFront se comunican con Citrix Cloud a través de este puerto. Para obtener información sobre cómo cambiar el puerto STA, consulte el artículo CTX101988 de Knowledge Center.

Después de aplicar los cambios, haga clic en Cerrar para salir de la ventana Administrar clave de seguridad.

Mediante PowerShell

Estos son los pasos en PowerShell equivalentes a las operaciones en Studio.

  1. Ejecute el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops

  2. En una ventana de comandos, ejecute el siguiente comando:
    • Add-PSSnapIn Citrix*
  3. Ejecute los siguientes comandos para generar una clave y configurar Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Ejecute los siguientes comandos para generar una clave y configurar Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Ejecute uno o estos dos comandos para habilitar el uso de una clave en la autenticación de comunicaciones:
    • Para autenticar las comunicaciones a través del puerto XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar las comunicaciones a través del puerto STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte la ayuda de los comandos de PowerShell para ver instrucciones y sintaxis.

Configurar los parámetros en StoreFront

Una vez completada la configuración en Studio, debe configurar los parámetros relevantes en StoreFront mediante PowerShell.

En el servidor de StoreFront, ejecute estos comandos de PowerShell:

  • Para configurar la clave para las comunicaciones a través del puerto XML, utilice los comandos Get-STFStoreServie y Set-STFStoreService. Por ejemplo:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Para configurar la clave para las comunicaciones a través del puerto STA, utilice el comando New-STFSecureTicketAuthority. Por ejemplo:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Consulte la ayuda de los comandos de PowerShell para ver instrucciones y sintaxis.

Configurar los parámetros en Citrix ADC

Nota:

No es necesario configurar esta función en Citrix ADC, a no ser que utilice Citrix ADC como puerta de enlace. Si utiliza Citrix ADC, siga los pasos que se indican a continuación.

  1. Asegúrese de que ya está implementada la siguiente configuración de requisitos previos:

    • Se configuran las siguientes direcciones IP relacionadas con Citrix ADC.

      Dirección IP de administración de ADC

      • Dirección IP de subred (SNIP) para permitir la comunicación entre el dispositivo Citrix ADC y los servidores back-end. Para obtener más información, consulte Configurar direcciones IP de subred.
      • Dirección IP virtual de Citrix Gateway y dirección IP virtual del equilibrador de carga para iniciar sesión en el dispositivo ADC para el lanzamiento de sesiones. Para obtener más información, consulte Crear un servidor virtual.

      Dirección IP de subred

    • Los modos y las funciones requeridos en el dispositivo Citrix ADC están habilitados.
      • Para habilitar los modos, en la GUI de Citrix ADC vaya a System > Settings > Configure Mode.
      • Para habilitar las funciones, en la GUI de Citrix ADC vaya a System > Settings > Configure Basic Features.
    • Se han completado las configuraciones relacionadas con los certificados.
      • Se crea la solicitud de firma de certificado (CSR). Para obtener más información, consulte Crear un certificado.

      Crear un certificado CSR

      Instalar certificado del servidor

      Instalar certificado de CA

      • Se ha creado una conexión de Citrix Gateway para Citrix Virtual Desktops. Pruebe la conectividad. Para ello, haga clic en el botón Test STA Connectivity para confirmar que los servidores virtuales están conectados. Para obtener más información, consulte Configurar Citrix ADC para Citrix Virtual Apps and Desktops.

      Puerta de enlace para escritorios virtuales

  2. Agregue una acción de reescritura. Para obtener más información, consulte Configurar una acción de reescritura.

    1. Vaya a AppExpert > Rewrite > Actions.
    2. Haga clic en Add para agregar una acción de reescritura. Puede asignar a la acción el nombre “set Type to INSERT_HTTP_HEADER”.

    Agregar acción de reescritura

    1. En Type, seleccione INSERT_HTTP_HEADER.
    2. En Header Name, escriba X-Citrix-XmlServiceKey.
    3. En Expression, agregue <XmlServiceKey1 value> con las comillas. Puede copiar el valor XmlServiceKey1 desde la configuración de Desktop Delivery Controller.

    Valor de clave del servicio XML

  3. Agregue una directiva de reescritura. Para obtener más información, consulte Configurar una directiva de reescritura.
    1. Vaya a AppExpert > Rewrite > Policies.

    2. Haga clic en Agregar para agregar una directiva.

    Agregar directiva de reescritura

    1. En Action, seleccione la acción creada en el paso anterior.
    2. En Expression, agregue HTTP.REQ.IS_VALID.
    3. Haga clic en Aceptar.
  4. Configure el equilibrio de carga. Debe configurar un servidor virtual de equilibrio de carga por cada servidor STA. En caso contrario, no se iniciarán las sesiones.

    Para obtener más información, consulte Configurar el equilibrio de carga básico.

    1. Cree un servidor virtual de equilibrio de carga.
      • Vaya a Traffic Management -> Load Balancing -> Virtual Servers.
      • En la página Virtual Servers, haga clic en Add.

      Agregar un servidor de equilibrio de carga

      • En Protocol, seleccione HTTP.
      • Agregue la dirección IP virtual de equilibrio de carga y, en Port, seleccione 80.
      • Haga clic en Aceptar.
    2. Cree un servicio de equilibrio de carga.
      • Vaya a Traffic Management > Load Balancing > Services.

      Agregar un servicio de equilibrio de carga

      • En Existing Server, seleccione el servidor virtual creado en el paso anterior.
      • En Protocol, seleccione HTTP y, en Port, seleccione 80.
      • Haga clic en OK y, a continuación, en Done.
    3. Enlace el servicio al servidor virtual.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Edit.
      • En Services and Service Groups, haga clic en No Load Balancing Virtual Server Service Binding.

      Enlazar el servicio a un servidor virtual

      • En Service Binding, seleccione el servicio creado anteriormente.
      • Haga clic en Bind.
    4. Vincule la directiva de reescritura creada anteriormente al servidor virtual.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Edit.
      • En Advanced Settings, haga clic en Policies, y, a continuación, en la sección Policies haga clic en +.

      Vincular la directiva de reescritura

      • En Choose Policy, seleccione Rewrite y, en Choose Type, seleccione Request.
      • Haga clic en Continuar.
      • En Select Policy, seleccione la directiva de reescritura creada anteriormente.
      • Haga clic en Bind.
      • Haga clic en Listo.
    5. Configure la persistencia para el servidor virtual, si es necesario.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Edit.
      • En Advanced Settings, haga clic en Persistence.

      Establecer persistencia

      • Seleccione el tipo de persistencia Others.
      • Seleccione DESTIP para crear sesiones de persistencia basadas en la dirección IP del servicio seleccionado por el servidor virtual (la dirección IP de destino)
      • En IPv4 Netmask, agregue una máscara de red igual que la del Desktop Delivery Controller.
      • Haga clic en Aceptar.
    6. Repita estos pasos para el otro servidor virtual.

La configuración cambia si el dispositivo Citrix ADC ya está configurado con Citrix Virtual Desktops

Si ya ha configurado el dispositivo Citrix ADC con Citrix Virtual Desktops, para utilizar la funcionalidad Secure XML, debe realizar los siguientes cambios de configuración.

  • Antes de iniciar la sesión, cambie la URL de Secure Ticket Authority (STA) de la puerta de enlace para que utilice utilizar los nombres de dominio completos (FQDN) de los servidores virtuales de equilibrio de carga.
  • Compruebe que el parámetro TrustRequestsSentToTheXmlServicePort esté establecido en False. De forma predeterminada, el parámetro TrustRequestsSentToTheXmlServicePort se establece en False. Sin embargo, si el cliente ya ha configurado Citrix ADC para Citrix Virtual Desktops, TrustRequestsSentToTheXmlServicePort se establece en True.
  1. En la GUI de Citrix ADC, vaya a Configuration > Integrate with Citrix Products y haga clic en XenApp and XenDesktop.
  2. Seleccione la instancia de puerta de enlace y haga clic en el icono de modificación.

    Modificar la configuración de la puerta de enlace

  3. En el panel StoreFront, haga clic en el icono de modificación.

    Modificar los detalles de StoreFront

  4. Agregue la URL de Secure Ticket Authority
    • Si la funcionalidad Secure XML está habilitada, la URL de STA debe ser la URL del servicio de equilibrio de carga.
    • Si la funcionalidad Secure XML está inhabilitada, la URL de STA debe ser la URL de STA (la dirección del Desktop Delivery Controller) y el parámetro TrustRequestsSentToTheXmlServicePort del Desktop Delivery Controller debe establecerse en True.

    Agregar URL de STA

Administrar las claves de seguridad