Documentación de productos
Citrix Virtual Apps and Desktops 7 2203 LTSR
Ver PDF

Administrar claves de seguridad

May 30, 2026
Contribución de: 
C C

Nota:

Debe usar esta función en combinación con StoreFront™ 1912 LTSR CU2 o posterior.

Esta función le permite permitir que solo las máquinas StoreFront y Citrix Gateway aprobadas se comuniquen con los Citrix Delivery Controllers. Después de habilitar esta función, se bloqueará cualquier solicitud que no contenga la clave. Utilice esta función para añadir una capa adicional de seguridad para protegerse contra ataques originados en la red interna.

Un flujo de trabajo general para usar esta función es el siguiente:

  1. Habilite Studio para mostrar la configuración de la función.

  2. Configure los ajustes de su sitio (use la consola de Studio o PowerShell).

  3. Configure los ajustes en StoreFront (use PowerShell).

  4. Configure los ajustes en Citrix ADC (use PowerShell).

Habilitar Studio para mostrar la configuración de la función

De forma predeterminada, la configuración de las claves de seguridad está oculta en Studio. Para habilitar Studio para que las muestre, use el SDK de PowerShell de la siguiente manera:

Para habilitar la función, realice estos pasos:

  1. Ejecute el SDK remoto de PowerShell de Citrix Virtual Apps and Desktops™.
  2. En una ventana de comandos, ejecute los siguientes comandos:
    • Add-PSSnapIn Citrix*. Este comando añade los complementos de Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Para obtener más información sobre el SDK de PowerShell remoto, consulte SDK y API.

Configurar los ajustes de su sitio

Puede configurar los ajustes en Studio mediante la consola de Studio o PowerShell.

Usar la consola de Studio

Después de habilitar Studio para mostrar la configuración de funciones, vaya a Studio > Configuración > Administrar clave de seguridad. Es posible que deba hacer clic en Actualizar para que aparezca la opción Administrar clave de seguridad.

La ventana Administrar clave de seguridad aparece después de hacer clic en Administrar clave de seguridad.

Asistente para administrar clave de seguridad(/es-es/citrix-virtual-apps-desktops/1912-ltsr/media/manage-security-key-wizard.png)

Importante:

  • Hay dos claves disponibles para su uso. Puede usar la misma clave o claves diferentes para las comunicaciones a través de los puertos XML y STA. Recomendamos usar solo una clave a la vez. La clave no utilizada se usa solo para la rotación de claves.
  • No haga clic en el icono de actualización para actualizar la clave que ya está en uso. Si lo hace, se producirá una interrupción del servicio.

Haga clic en el icono de actualización para generar nuevas claves.

Requerir clave para comunicaciones a través del puerto XML (solo StoreFront). Si se selecciona, se requiere una clave para autenticar las comunicaciones a través del puerto XML. StoreFront se comunica con Citrix Cloud a través de este puerto. Para obtener información sobre cómo cambiar el puerto XML, consulte el artículo del Centro de conocimiento CTX127945.

Requerir clave para comunicaciones a través del puerto STA. Si se selecciona, se requiere una clave para autenticar las comunicaciones a través del puerto STA. Citrix Gateway y StoreFront se comunican con Citrix Cloud a través de este puerto. Para obtener información sobre cómo cambiar el puerto STA, consulte el artículo del Centro de conocimiento CTX101988.

Después de aplicar los cambios, haga clic en Cerrar para salir de la ventana Administrar clave de seguridad.

Usar PowerShell

Los siguientes son pasos de PowerShell equivalentes a las operaciones de Studio.

  1. Ejecute el SDK remoto de PowerShell de Citrix Virtual Apps and Desktops.

  2. En una ventana de comandos, ejecute el siguiente comando:
    • Add-PSSnapIn Citrix*
  3. Ejecute los siguientes comandos para generar una clave y configurar Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Ejecute los siguientes comandos para generar una clave y configurar Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Ejecute uno o ambos de los siguientes comandos para habilitar el uso de una clave en la autenticación de comunicaciones:
    • Para autenticar las comunicaciones a través del puerto XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar las comunicaciones a través del puerto STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte la ayuda del comando de PowerShell para obtener orientación y sintaxis.

Configurar los ajustes en StoreFront

Después de completar la configuración en Studio, debe configurar los ajustes relevantes en StoreFront mediante PowerShell.

En el servidor de StoreFront, ejecute los siguientes comandos de PowerShell:

Para configurar la clave para las comunicaciones a través del puerto XML, utilice el comando [Set-STFStoreFarm https://developer-docs.citrix.com/es-es/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Por ejemplo 
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Introduzca los valores adecuados para los siguientes parámetros:

  • Path to store
  • Resource feed name
  • secret

Para configurar la clave para las comunicaciones a través del puerto STA, utilice los comandos New-STFSecureTicketAuthority y Set-STFRoamingGateway. Por ejemplo:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Introduzca los valores adecuados para los siguientes parámetros:

  • Gateway name
  • STA URL
  • Secret

Consulte la ayuda del comando de PowerShell para obtener orientación y sintaxis.

Configurar ajustes en Citrix ADC

Nota:

La configuración de esta función en Citrix ADC no es necesaria a menos que utilice Citrix ADC como su puerta de enlace. Si utiliza Citrix ADC, siga los pasos que se indican a continuación.

  1. Asegúrese de que la siguiente configuración de requisitos previos ya esté implementada:

    • Las siguientes direcciones IP relacionadas con Citrix ADC están configuradas.

      Dirección IP de administración de ADC

      • Dirección IP de subred (SNIP) para habilitar la comunicación entre el dispositivo Citrix ADC y los servidores back-end. Para obtener más información, consulte Configuración de direcciones IP de subred.
      • Dirección IP virtual de Citrix Gateway y dirección IP virtual del equilibrador de carga para iniciar sesión en el dispositivo ADC para el inicio de la sesión. Para obtener más información, consulte Crear un servidor virtual.

      Dirección IP de subred

    • Los modos y funciones necesarios en el dispositivo Citrix ADC están habilitados.
      • Para habilitar los modos, en la GUI de Citrix ADC, vaya a System > Settings > Configure Mode.
      • Para habilitar las funciones, en la GUI de Citrix ADC, vaya a System > Settings > Configure Basic Features.
    • Las configuraciones relacionadas con los certificados están completas.
      • Se crea la solicitud de firma de certificado (CSR). Para obtener más información, consulte Crear un certificado.

      Crear un certificado CSR

      Instalar certificado de servidor

      Instalar certificado CA

      • Se ha creado un Citrix Gateway para Citrix Virtual Desktops. Pruebe la conectividad haciendo clic en el botón Test STA Connectivity para confirmar que los servidores virtuales están en línea. Para obtener más información, consulte Configurar Citrix ADC para Citrix Virtual Apps and Desktops.

      Gateway para escritorios virtuales

  2. Agregue una acción de reescritura. Para obtener más información, consulte Configurar una acción de reescritura.

    1. Vaya a AppExpert > Rewrite > Actions.
    2. Haga clic en Add para agregar una acción de reescritura. Puede nombrar la acción como “set Type to INSERT_HTTP_HEADER”.

    Agregar acción de reescritura

    1. En Type, seleccione INSERT_HTTP_HEADER.
    2. En Header Name, introduzca X-Citrix-XmlServiceKey.
    3. En Expression, agregue <XmlServiceKey1 value> con las comillas. Puede copiar el valor de XmlServiceKey1 de la configuración de su Desktop Delivery Controller™.

    Valor de clave de servicio XML

  3. Agregue una política de reescritura. Para obtener más información, consulte Configuración de una política de reescritura.

    1. Vaya a AppExpert > Rewrite > Policies.

    2. Haga clic en Add para agregar una política.

    Agregar política de reescritura

    1. En Action, seleccione la acción creada en el paso anterior.
    2. En Expression, agregue HTTP.REQ.IS_VALID.
    3. Haga clic en OK.

  4. Configure el equilibrio de carga. Debe configurar un servidor virtual de equilibrio de carga por cada servidor STA. De lo contrario, las sesiones no se iniciarán.

    Para obtener más información, consulte Configurar el equilibrio de carga básico.

    1. Cree un servidor virtual de equilibrio de carga.
      • Vaya a Traffic Management > Load Balancing > Servers.
      • En la página Virtual Servers, haga clic en Add.

      Agregar un servidor de equilibrio de carga

      • En Protocol, seleccione HTTP.
      • Agregue la dirección IP virtual de equilibrio de carga y en Port seleccione 80.
      • Haga clic en Aceptar.
    2. Cree un servicio de equilibrio de carga.
      • Vaya a Traffic Management > Load Balancing > Services.

      Agregar un servicio de equilibrio de carga

      • En Existing Server, seleccione el servidor virtual creado en el paso anterior.
      • En Protocol, seleccione HTTP y en Port, seleccione 80.
      • Haga clic en Aceptar y, a continuación, en Listo.
    3. Enlace el servicio al servidor virtual.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Editar.
      • En Services and Service Groups, haga clic en No Load Balancing Virtual Server Service Binding.

      Enlazar servicio a un servidor virtual

      • En Service Binding, seleccione el servicio creado anteriormente.
      • Haga clic en Enlazar.
    4. Enlace la directiva de reescritura creada anteriormente al servidor virtual.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Editar.
      • En Configuración avanzada, haga clic en Directivas y, a continuación, en la sección Directivas, haga clic en +.

      Enlazar directiva de reescritura

      • En Elegir directiva, seleccione Reescribir y en Elegir tipo, seleccione Solicitud.
      • Haga clic en Continuar.
      • En Seleccionar directiva, seleccione la directiva de reescritura creada anteriormente.
      • Haga clic en Enlazar.
      • Haga clic en Listo.
    5. Configure la persistencia para el servidor virtual, si es necesario.
      • Seleccione el servidor virtual creado anteriormente y haga clic en Modificar.
      • En Configuración avanzada, haga clic en Persistencia.

      Establecer persistencia

      • Seleccione el tipo de persistencia como Otros.
      • Seleccione DESTIP para crear sesiones de persistencia basadas en la dirección IP del servicio seleccionado por el servidor virtual (la dirección IP de destino).
      • En Máscara de red IPv4, agregue la misma máscara de red que la del DDC.
      • Haga clic en Aceptar.
    6. Repita estos pasos también para el otro servidor virtual.

Cambios de configuración si el dispositivo Citrix ADC ya está configurado con Citrix Virtual Desktops™

Si ya ha configurado el dispositivo Citrix ADC con Citrix Virtual Desktops, para usar la función Secure XML, debe realizar los siguientes cambios de configuración.

  • Antes del inicio de la sesión, cambie la URL de la autoridad de tickets de seguridad de la puerta de enlace para usar los FQDN de los servidores virtuales de equilibrio de carga.
  • Asegúrese de que el parámetro TrustRequestsSentToTheXmlServicePort esté establecido en False. De forma predeterminada, el parámetro TrustRequestsSentToTheXmlServicePort está establecido en False. Sin embargo, si el cliente ya ha configurado Citrix ADC para Citrix Virtual Desktops, entonces TrustRequestsSentToTheXmlServicePort se establece en True.
  1. En la GUI de Citrix ADC, vaya a Configuración > Integrar con productos Citrix y haga clic en XenApp and XenDesktop®.

  2. Seleccione la instancia de puerta de enlace y haga clic en el icono de edición.

    Editar configuración de puerta de enlace existente

  3. En el panel de StoreFront, haga clic en el icono de edición.

    Editar detalles de StoreFront

  4. Agregue la URL de la autoridad de tickets de seguridad.
    • Si la función Secure XML está habilitada, la URL de STA debe ser la URL del servicio de equilibrio de carga.
    • Si la función Secure XML está deshabilitada, la URL de STA debe ser la URL de STA (dirección del DDC) y el parámetro TrustRequestsSentToTheXmlServicePort en el DDC debe establecerse en True.

    Agregar URL de STA

Administrar claves de seguridad
May 30, 2026
Contribución de: 
C C
May 30, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.