Habilitar TLS/DTLS en los VDA

Habilite las conexiones TLS entre la aplicación Citrix Workspace™ y los Virtual Delivery Agents (VDA) completando las siguientes tareas:

• Instale certificados en los VDA. Para obtener más información, consulte (#requesting-and-installing-a-certificate)
• Configure TLS en las máquinas donde están instalados los VDA. (Para mayor comodidad, las referencias posteriores a las máquinas donde están instalados los VDA se denominan simplemente “VDA”). Se recomienda encarecidamente utilizar el script de PowerShell proporcionado por Citrix para configurar TLS/DTLS. Para obtener más información, consulte (#configure-tls-on-a-vda-using-the-powershell-script). Sin embargo, si desea configurar TLS/DTLS manualmente, consulte (#manually-configure-tls-on-a-vda).
• Configure TLS en los Grupos de entrega que contienen los VDA ejecutando un conjunto de cmdlets de PowerShell en Studio. Para obtener más información, consulte (#configure-tls-on-delivery-groups).

Requisitos y consideraciones:

• Configure TLS en los Grupos de entrega y en los VDA después de instalar los componentes, crear un Sitio, crear catálogos de máquinas y crear Grupos de entrega.
• Para configurar TLS en los Grupos de entrega, debe tener permiso para cambiar las reglas de acceso del Controller. Un Administrador con todos los permisos tiene este permiso.
• Para configurar TLS en los VDA, debe ser un administrador de Windows en la máquina donde está instalado el VDA.
• En los VDA agrupados que se aprovisionan mediante Machine Creation Services™ o Provisioning Services, la imagen de máquina VDA se restablece al reiniciar, lo que provoca la pérdida de la configuración TLS anterior. Ejecute el script de PowerShell cada vez que se reinicie el VDA para reconfigurar los ajustes de TLS.

Un Grupo de entrega no puede tener una mezcla de VDA con TLS configurado y VDA sin TLS configurado. Antes de configurar TLS para un Grupo de entrega, asegúrese de haber configurado TLS para todos los VDA de ese Grupo de entrega.

Cuando se configura TLS en los VDA, se cambian los permisos del certificado TLS instalado, lo que otorga al servicio ICA® acceso de lectura a la clave privada del certificado e informa al servicio ICA de lo siguiente:

• Qué certificado del almacén de certificados se debe usar para TLS.

• Qué número de puerto TCP se debe usar para las conexiones TLS.

  El Firewall de Windows (si está habilitado) debe configurarse para permitir la conexión entrante en este puerto TCP. Esta configuración se realiza automáticamente al usar el script de PowerShell.

• Qué versiones del protocolo TLS permitir.

  Importante:

  Citrix recomienda usar TLS 1.2 o superior. SSL y las versiones anteriores de TLS están en desuso.

  Las versiones de protocolo TLS admitidas siguen una jerarquía (de la más baja a la más alta): SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 y TLS 1.3. Especifique la versión mínima permitida; se permiten todas las conexiones de protocolo que utilicen esa versión o una superior.

  Por ejemplo, si especifica TLS 1.1 como la versión mínima, se permiten las conexiones de protocolo TLS 1.1, TLS 1.2 y TLS 1.3. Si especifica SSL 3.0 como la versión mínima, se permiten las conexiones para todas las versiones admitidas. Si especifica TLS 1.3 como la versión mínima, solo se permiten las conexiones TLS 1.3.

• Qué conjuntos de cifrado TLS permitir.

  Un conjunto de cifrado selecciona el cifrado que se utiliza para una conexión. Los clientes y los VDA pueden admitir diferentes conjuntos de cifrado. Cuando un cliente (aplicación Citrix Workspace) se conecta y envía una lista de conjuntos de cifrado TLS admitidos, el VDA compara uno de los conjuntos de cifrado del cliente con uno de los conjuntos de cifrado de su propia lista de conjuntos de cifrado configurados y acepta la conexión. Si no hay ningún conjunto de cifrado coincidente, el VDA rechaza la conexión.

  El VDA admite tres conjuntos de cifrado (también conocidos como modos de cumplimiento): GOV(ernment), COM(mercial) y ALL. Los conjuntos de cifrado aceptables también dependen del modo FIPS de Windows; consulte http://support.microsoft.com/kb/811833 para obtener información sobre el modo FIPS de Windows. La siguiente tabla enumera los conjuntos de cifrado de cada conjunto:

  Conjunto de cifrado	TODOS	COM	GOV	TODOS	COM	GOV
  Modo FIPS	Desactivado	Desactivado	Desactivado	Activado	Activado	Activado
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  Nota:

  El VDA no admite conjuntos de cifrado DHE (por ejemplo, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 y TLS_DHE_RSA_WITH_AES_128_CBC_SHA). Si Windows los selecciona, la conexión fallará.

  Si utiliza un NetScaler Gateway, consulte la documentación de NetScaler para obtener información sobre la compatibilidad de conjuntos de cifrado para la comunicación de back-end. Para obtener información sobre la compatibilidad de conjuntos de cifrado TLS, consulte Cifrados disponibles en los dispositivos Citrix ADC. Para obtener información sobre la compatibilidad de conjuntos de cifrado DTLS, consulte Compatibilidad de cifrado DTLS.

Solicitar e instalar un certificado

Para usar TLS, debe instalar un certificado cuyo nombre alternativo incluya el FQDN del VDA. El certificado debe ser de confianza para cualquier cliente que se conecte directamente al VDA (no a través de un Citrix Gateway). Para permitir que los dispositivos no administrados, donde no puede implementar certificados fácilmente, se conecten al VDA, considere la posibilidad de implementar un NetScaler® Gateway.

Crear un certificado mediante una entidad de certificación de Microsoft

Si sus clientes y VDA se encuentran en un bosque de confianza y este tiene una entidad de certificación de Microsoft, puede adquirir un certificado desde el asistente de inscripción de certificados del complemento MMC de certificados.

1. En el VDA, abra la consola MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
2. Expanda Personal > Certificados y, a continuación, use el comando del menú contextual Todas las tareas > Solicitar nuevo certificado.
3. Haga clic en Siguiente para comenzar y en Siguiente para confirmar que está adquiriendo el certificado de la inscripción de Active Directory.

4. Seleccione la plantilla para el certificado de autenticación de servidor. Son aceptables tanto la plantilla predeterminada de Windows Equipo como Servidor web exportable. Si la plantilla se ha configurado para proporcionar automáticamente los valores para el Asunto, puede hacer clic en Inscribir sin proporcionar más detalles.

   

5. Para proporcionar más detalles para la plantilla de certificado, haga clic en Detalles y configure lo siguiente:

   Nombre del asunto — seleccione el tipo Nombre común y agregue el FQDN del VDA

   Nombre alternativo — seleccione el tipo DNS y añada el FQDN del VDA

   

   Nota:

   Utilice la inscripción automática de certificados de Active Directory Certificate Services para automatizar la emisión e implementación de certificados en los VDA. Esto se describe en Habilitar la inscripción automática de certificados).

   Puede utilizar certificados comodín para permitir que un solo certificado proteja varios VDA:

   Nombre del sujeto — seleccione el tipo Nombre común e introduzca el *.dominio.principal de los VDA

   Nombre alternativo — seleccione el tipo DNS y añada el *.dominio.principal de los VDA

   

   Puede utilizar certificados SAN para permitir que un solo certificado proteja varios VDA específicos:

   Nombre del sujeto — seleccione el tipo Nombre común e introduzca una cadena para ayudar a identificar el uso del certificado

   Nombre alternativo — seleccione el tipo DNS y añada una entrada para el FQDN de cada VDA. Mantenga el número de nombres alternativos al mínimo para garantizar una negociación TLS óptima.

   

   Nota:

   Tanto los certificados comodín como los SAN requieren que la opción Exportar clave privada de la ficha Clave privada esté seleccionada:

   

Configurar TLS en un VDA mediante el script de PowerShell

Instale el certificado TLS en el área Equipo local > Personal > Certificados del almacén de certificados. Si hay más de un certificado en esa ubicación, proporcione la huella digital del certificado al script de PowerShell.

Nota:

A partir de XenApp and XenDesktop 7.15 LTSR, el script de PowerShell busca el certificado correcto basándose en el FQDN del VDA. No es necesario que proporcione la huella digital cuando solo hay un certificado presente para el FQDN del VDA.

El script Enable-VdaSSL.ps1 habilita o deshabilita el agente de escucha TLS en un VDA. Este script está disponible en la carpeta Support > Tools > SslSupport de los medios de instalación.

Cuando habilita TLS, los conjuntos de cifrado DHE se deshabilitan. Los conjuntos de cifrado ECDHE no se ven afectados.

Cuando habilita TLS, el script deshabilita todas las reglas existentes del Firewall de Windows para el puerto TCP especificado. A continuación, agrega una nueva regla que permite al Servicio ICA aceptar conexiones entrantes solo en los puertos TCP y UDP de TLS. También deshabilita las reglas del Firewall de Windows para:

• Citrix ICA (predeterminado: 1494)
• Citrix CGP (predeterminado: 2598)
• Citrix WebSocket (predeterminado: 8008)

El efecto es que los usuarios solo pueden conectarse mediante TLS o DTLS. No pueden usar ICA/HDX, ICA/HDX con fiabilidad de sesión o HDX a través de WebSocket, sin TLS o DTLS.

Nota:

DTLS no es compatible con ICA/HDX Audio a través de transporte UDP en tiempo real, ni con ICA/HDX Framehawk.

Consulte Puertos de red.

El script contiene las siguientes descripciones de sintaxis, además de ejemplos adicionales; puede usar una herramienta como Notepad++ para revisar esta información.

Importante:

Especifique el parámetro Enable o Disable, y el parámetro CertificateThumbPrint. Los demás parámetros son opcionales.

Sintaxis

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

Ejemplos

El siguiente script instala y habilita el valor de la versión del protocolo TLS. La huella digital (representada como “12345678987654321” en este ejemplo) se utiliza para seleccionar el certificado que se va a usar.

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

El siguiente script instala y habilita el agente de escucha TLS, y especifica el puerto TLS 400, el conjunto de cifrado GOV y un valor de protocolo TLS 1.2 mínimo. La huella digital (representada como “12345678987654321” en este ejemplo) se utiliza para seleccionar el certificado que se va a usar.

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

El siguiente script deshabilita el agente de escucha TLS en el VDA.

Enable-VdaSSL -Disable

Configurar TLS manualmente en un VDA

Al configurar TLS en un VDA manualmente, se concede acceso de lectura genérico a la clave privada del certificado TLS para el servicio adecuado en cada VDA: NT SERVICE\PorticaService para un VDA para SO de sesión única de Windows, o NT SERVICE\TermService para un VDA para SO de varias sesiones de Windows. En la máquina donde está instalado el VDA:

PASO 1. Inicie la consola de administración de Microsoft (MMC): Inicio > Ejecutar > mmc.exe.

PASO 2. Agregue el complemento Certificados a la MMC:

1. Seleccione Archivo > Agregar o quitar complemento.
2. Seleccione Certificados y, a continuación, haga clic en Agregar.
3. Cuando se le pregunte “Este complemento siempre administrará los certificados para:”, elija “Cuenta de equipo” y, a continuación, haga clic en Siguiente.
4. Cuando se le pregunte “Seleccione el equipo que desea que administre este complemento”, elija “Equipo local” y, a continuación, haga clic en Finalizar.

PASO 3. En Certificados (equipo local) > Personal > Certificados, haga clic con el botón secundario en el certificado y, a continuación, seleccione Todas las tareas > Administrar claves privadas.

PASO 4. El Editor de la lista de control de acceso muestra “Permisos para claves privadas de (FriendlyName)”, donde (FriendlyName) es el nombre de su certificado TLS. Agregue uno de los siguientes servicios y concédale acceso de lectura:

• Para un VDA para SO de sesión única de Windows, “PORTICASERVICE”
• Para un VDA para SO multisesión de Windows, “TERMSERVICE”

PASO 5. Haga doble clic en el certificado TLS instalado. En el cuadro de diálogo del certificado, seleccione la ficha Detalles y, a continuación, desplácese hasta el final. Haga clic en Huella digital.

PASO 6. Ejecute regedit y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. Modifique la clave SSL Thumbprint y copie el valor de la huella digital del certificado TLS en este valor binario. Puede ignorar sin problemas los elementos desconocidos en el cuadro de diálogo Editar valor binario (como ‘0000’ y los caracteres especiales).
2. Modifique la clave SSLEnabled y cambie el valor DWORD a 1. (Para inhabilitar SSL más tarde, cambie el valor DWORD a 0).

3. Si quiere cambiar la configuración predeterminada (opcional), utilice lo siguiente en la misma ruta del Registro:

   SSLPort DWORD: número de puerto SSL. Predeterminado: 443.

   SSLMinVersion DWORD: 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Predeterminado: 2 (TLS 1.0).

   SSLCipherSuite DWORD: 1 = GOV, 2 = COM, 3 = ALL. Predeterminado: 3 (ALL).

PASO 7. Asegúrese de que los puertos TCP y UDP de TLS estén abiertos en el Firewall de Windows si no son el 443 predeterminado. (Al crear la regla de entrada en el Firewall de Windows, asegúrese de que sus propiedades tengan seleccionadas las entradas “Permitir la conexión” y “Habilitado”).

PASO 8. Asegúrese de que ninguna otra aplicación o servicio (como IIS) esté utilizando el puerto TCP de TLS.

PASO 9. Para los VDA multisesión, reinicie la máquina para que los cambios surtan efecto. (No es necesario reiniciar las máquinas VDA de sesión única).

PASO 10. Modifique la preferencia de la suite de cifrado de Windows para que las suites de cifrado compatibles con el VDA tengan la máxima prioridad y así evitar problemas de conexión.

Importante:

Los cambios de la directiva de grupo que se describen a continuación solo surten efecto después de reiniciar el sistema.

Si utiliza hosts de sesión no persistentes aprovisionados con MCS o PVS, debe aplicar esta configuración en la imagen maestra.

Opción 1:

Con el Editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Configuración de SSL > Orden de la suite de cifrado SSL. Asegúrese de que las siguientes suites de cifrado estén en la parte superior de la lista:

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

Nota:

TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256 solo se aplican a Windows 11 y Windows Server 2022 o versiones posteriores. Si utiliza sistemas operativos más antiguos, no incluya estas suites de cifrado en su lista.

Tenga en cuenta que las suites de cifrado enumeradas también especifican la curva elíptica, P384 o P256, para garantizar que no se seleccione “curve25519”. El modo FIPS no impide el uso de “curve25519”.

No es necesario quitar ninguna suite de cifrado de la lista. Tenga en cuenta que esta configuración se aplica a todo el sistema, por lo que, si decide quitar alguna suite de cifrado, debe asegurarse de que ninguna aplicación o servicio que se ejecute en sus hosts de sesión la requiera.

Opción 2:

Con el Editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Configuración de SSL > Orden de la suite de cifrado SSL. Asegúrese de que las siguientes suites de cifrado estén en la parte superior de la lista:

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

Nota:

TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256 solo se aplican a Windows 11 y Windows Server 2022, o versiones posteriores. Si utiliza sistemas operativos más antiguos, no incluya estas suites de cifrado en su lista.

No es necesario quitar ninguna suite de cifrado de la lista. Tenga en cuenta que esta configuración se aplica a todo el sistema, por lo que, si decide quitar alguna suite de cifrado, debe asegurarse de que ninguna aplicación o servicio que se ejecute en sus hosts de sesión la requiera.

Mediante el Editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Configuración de SSL > Orden de curva ECC. Habilite la configuración e incluya las siguientes curvas en la lista:

NistP384
NistP256
<!--NeedCopy-->

Nota:

Esto garantiza que no se seleccione «curve25519». El modo FIPS no impide el uso de «curve25519».

El VDA selecciona un conjunto de cifrado solo si aparece en ambas listas: la lista de directivas de grupo y la lista del modo de cumplimiento seleccionado (COM, GOV o ALL). El conjunto de cifrado también debe aparecer en la lista enviada por el cliente (aplicación Citrix Workspace).

Configurar TLS en grupos de entrega

Complete este procedimiento para cada grupo de entrega que contenga VDA que haya configurado para conexiones TLS.

1. Desde Studio, abra la consola de PowerShell.
2. Ejecute Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
3. Ejecute Set-BrokerSite -DnsResolutionEnabled $true.

Habilitación de SSL para VDA agrupados mediante la inscripción automática

Cuando se utilizan VDA agrupados, si se agrega un certificado a la imagen maestra, todos los VDA comparten la misma imagen. Puede usar un certificado comodín, pero una desventaja es que si alguno de los VDA se ve comprometido, este potente certificado significaría que las conexiones HDX™ pertenecientes a todos los VDA estarían en riesgo.

En su lugar, una alternativa segura es aprovechar los Servicios de certificados de Microsoft Active Directory para aprovisionar certificados automáticamente mediante directivas de grupo. Puede usar un script de inicio en el VDA para aprovisionar dinámicamente un nuevo certificado y habilitar SSL para el VDA.

Tenga en cuenta que este enfoque solo funcionará para VDA de escritorio de sesión única. Para los VDA de varias sesiones, el agente de escucha de ICA se inicia demasiado pronto durante el proceso de arranque, antes de que los certificados puedan aprovisionarse automáticamente.

Dado que los Servicios de certificados de Active Directory utilizan una entidad de certificación empresarial interna, no serán confiables automáticamente para todas las instalaciones de Windows. Si los clientes son administrados por la corporación y forman parte de un bosque de dominio, los certificados de CA de confianza se pueden distribuir automáticamente mediante directivas de grupo. Para dispositivos BYOD y otros dispositivos no unidos a un dominio, debe distribuir los certificados de CA de confianza a sus usuarios mediante algún otro mecanismo (como ofrecer un enlace de descarga) o usar una puerta de enlace de NetScaler.

Habilitar la inscripción automática de certificados

Primero, asegúrese de tener el rol de Servicios de certificados de Active Directory instalado en un servidor de su bosque de dominio de VDA que proporcione una CA empresarial; de lo contrario, la inscripción automática no será posible.

Tenga en cuenta que esto puede generar una carga considerablemente mayor de lo habitual en su CA empresarial, ya que los VDA enviarán una solicitud de certificado en cada arranque. Asegúrese de asignar suficiente CPU y memoria al servidor de CA para hacer frente a la carga y, como siempre, pruebe la escalabilidad de la implementación en un entorno de laboratorio antes de pasar a producción.

En el Editor de administración de directivas de grupo, cree una nueva directiva que se aplique a la Unidad organizativa que contendrá sus VDA agrupados con SSL habilitado, de la siguiente manera:

1. Expanda Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas de clave pública
2. Edite las propiedades del objeto ‘Directiva de inscripción automática del cliente de servicios de certificados’
3. Configure como se muestra en la captura de pantalla siguiente.
4. Haga clic con el botón derecho en el contenedor Solicitud automática de certificado y seleccione Nuevo -> Solicitud automática de certificado…
5. En el Asistente para la configuración de la solicitud automática de certificado, haga clic en Siguiente
6. Asegúrese de que la plantilla de certificado de equipo esté seleccionada y haga clic en Siguiente
7. Haga clic en Finalizar

Preparación de la imagen maestra de Windows

Copie el script Enable-VdaSsl.ps1 de los medios de instalación del producto en la carpeta Support\Tools\SslSupport a la imagen maestra de VDA. Tenga en cuenta que la imagen maestra no debe contener ningún certificado que se vaya a utilizar para las conexiones HDX SSL. Los certificados se aprovisionarán cuando se cree el catálogo de máquinas MCS o PVS. Ahora cree una nueva tarea programada de la siguiente manera (no ejecute la tarea programada ahora):

1. Abra el Programador de tareas.

2. En el panel Acciones, pulse Crear tarea…

3. En la pestaña General:

   • Introduzca un Nombre como Enable VDA SSL

   • Haga clic en Cambiar usuario o grupo… y, en el cuadro de diálogo Seleccionar usuario o grupo, introduzca SYSTEM y haga clic en Aceptar.

   

4. Seleccione la pestaña Desencadenadores.

5. Haga clic en Nuevo…. En el cuadro de diálogo Nuevo desencadenador:

   1. Establezca Iniciar la tarea en En un evento.

   2. Establezca Registro en Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational.

   3. Establezca Origen en Microsoft-Windows-CertificateServicesClient-Lifecycle-System.

   4. Establezca ID de evento en 1006.

   5. Haga clic en Aceptar para guardar el desencadenador.

   

6. Seleccione la pestaña Acciones.

7. Haga clic en Nuevo….

8. En el cuadro de diálogo Nueva acción:

   1. Establezca Acción en Iniciar un programa

   2. En el campo Programa/script, introduzca powershell.exe

   3. En el campo Agregar argumentos, introduzca -ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$False, incluida la ruta al script de PowerShell.

   4. Pulse Aceptar para guardar la acción

   

9. Pulse Aceptar para guardar la tarea

Solución de problemas

Si se produce un error de conexión, compruebe el registro de eventos del sistema en el VDA.

Al usar la aplicación Citrix Workspace para Windows, si recibe un error de conexión que indica un error de TLS, inhabilite Desktop Viewer y, a continuación, intente conectarse de nuevo. Aunque la conexión siga fallando, es posible que se proporcione una explicación del problema de TLS subyacente. Por ejemplo, especificó una plantilla incorrecta al solicitar un certificado a la entidad de certificación).

La mayoría de las configuraciones que utilizan HDX Adaptive Transport funcionan correctamente con DTLS, incluidas las que utilizan las últimas versiones de la aplicación Citrix Workspace, Citrix Gateway y el VDA. Algunas configuraciones que utilizan DTLS entre la aplicación Citrix Workspace y Citrix Gateway, y que utilizan DTLS entre Citrix Gateway y el VDA, requieren una acción adicional.

Se necesita una acción adicional si:

• la versión de Citrix Receiver es compatible con HDX Adaptive Transport y DTLS: Receiver para Windows (4.7, 4.8, 4.9), Receiver para Mac (12.5, 12.6, 12.7), Receiver para iOS (7.2, 7.3.x) o Receiver para Linux (13.7)

y también se aplica alguna de las siguientes opciones:

• la versión de Citrix Gateway es compatible con DTLS para el VDA, pero la versión del VDA no es compatible con DTLS (versión 7.15 o anterior),

• la versión del VDA es compatible con DTLS (versión 7.16 o posterior), pero la versión de Citrix Gateway no es compatible con DTLS para el VDA.

Para evitar que fallen las conexiones de Citrix Receiver™, haga una de las siguientes acciones:

• actualice Citrix Receiver a Receiver para Windows versión 4.10 o posterior, Receiver para Mac 12.8 o posterior, o Receiver para iOS versión 7.5 o posterior; o bien,
• actualice Citrix Gateway a una versión que admita DTLS para el VDA; o bien,
• actualice el VDA a la versión 7.16 o posterior; o bien,
• inhabilite DTLS en el VDA; o bien,
• inhabilite HDX Adaptive Transport.

Nota:

Todavía no hay disponible una actualización adecuada para Receiver para Linux. Receiver para Android (versión 3.12.3) no es compatible con HDX Adaptive Transport y DTLS a través de Citrix Gateway, por lo que no se ve afectado.

Para inhabilitar DTLS en el VDA, modifique la configuración del firewall del VDA para inhabilitar el puerto UDP 443. Consulte Puertos de red.

Redirección de vídeo HTML5 y redirección de contenido del explorador con TLS

Puede utilizar la redirección de vídeo HTML5 y la redirección de contenido del explorador para redirigir sitios web HTTPS. El JavaScript inyectado en esos sitios web debe establecer una conexión TLS con el servicio de redirección de vídeo HTML5 de Citrix HDX que se ejecuta en el VDA. Para ello, el servicio de redirección de vídeo HTML5 genera dos certificados personalizados en el almacén de certificados del VDA. Al detener el servicio, se eliminan los certificados.

La directiva de redirección de vídeo HTML5 está inhabilitada de forma predeterminada.

La redirección de contenido del explorador está habilitada de forma predeterminada.

Para obtener más información sobre la redirección de vídeo HTML5, consulte Configuración de directivas multimedia.