Documentación de productos
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Administración de certificados

May 31, 2026
Contribución de: 
C

Información general

Las conexiones directas de HDX™ se protegen con cifrado a nivel de red. Para facilitar esto, cada host de sesión tiene un certificado de CA raíz autofirmado único y un certificado de servidor correspondiente, que está firmado por el certificado de CA raíz autofirmado.

Esta solución ofrece las siguientes ventajas:

  • Seguridad optimizada: Las conexiones directas de HDX se protegen sin la sobrecarga administrativa de gestionar certificados dentro del entorno.
  • Superficie de ataque reducida: La superficie de ataque se limita a un único host porque cada host tiene un conjunto único de claves y certificados.
  • Seguridad mejorada para entornos no persistentes: En entornos con hosts de sesión no persistentes, la seguridad se mejora aún más, ya que se generan nuevas claves y certificados al reiniciar.

Host de sesión

El Citrix ClxMtp Service y el Citrix Certificate Manager Service son los dos servicios responsables de gestionar los certificados en cada host de sesión. El servicio ClxMtp gestiona la generación y rotación de claves, mientras que el servicio Certificate Manager genera y gestiona los certificados.

Se crean dos certificados: una CA raíz autofirmada y un certificado de servidor. Ambos se emiten con un periodo de validez de dos años; sin embargo, se reemplazan cuando se rotan las claves. Además, se generan nuevos certificados cada vez que se reinician las máquinas no persistentes.

Los detalles de cada certificado son los siguientes:

  • CA raíz autofirmada
    • Emitido para: CA-Citrix-Certificate-Manager
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalles del emisor: La organización es Citrix Systems, Inc.
  • Certificado de servidor
    • Emitido para: <host FQDN> (Por ejemplo, FTLW11-001.ctxlab.net)
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalles del emisor: La organización es Citrix Systems, Inc.

NOTA:

El servicio Citrix Certificate Manager genera certificados RSA que utilizan claves de 2048 bits.

Si existe un certificado de máquina creado por el servicio Citrix Certificate Manager y el nombre del sujeto no coincide con el FQDN de la máquina, se genera un nuevo certificado.

Rotación de claves

El Citrix ClxMtp Service rota automáticamente las claves cada seis meses. Sin embargo, puede activar una rotación de claves manualmente aumentando el contador de rotación en el registro del host de sesión.

Para rotar las claves, actualice el siguiente valor:

  • Clave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
  • Tipo de valor: DWORD
  • Nombre del valor: ClxMtpRotateRequestCounter
  • Datos: entero (decimal)

NOTA:

Para la primera rotación de claves:

  1. Cree la clave ClxMtpConnectorSvcRotateKeyPairs.
  2. Cree y establezca el valor ClxMtpRotateRequestCounter en 1.

Para las rotaciones de claves posteriores, aumente el valor ClxMtpRotateRequestCounter en 1.

Una vez actualizado el valor, el Servicio Citrix ClxMtp rotará automáticamente las claves sin necesidad de reiniciar. El Servicio Citrix Certificate Manager generará nuevos certificados automáticamente una vez que detecte nuevas claves.

Dispositivo cliente

El certificado de CA raíz se envía al cliente mediante Workspace o Storefront™ a través de la ruta de conexión segura y de confianza ya establecida. Esto elimina la necesidad de distribuir certificados de CA a los almacenes de certificados de los dispositivos cliente y garantiza que el cliente confíe en los certificados utilizados para proteger la conexión HDX Direct.

Uso de certificados personalizados

HDX Direct admite el uso de certificados emitidos y administrados por su propia PKI. Los siguientes pasos describen cómo instalar su certificado, configurar los permisos necesarios, vincularlo al servicio de administrador de sesiones y habilitar los oyentes TLS necesarios.

  1. Vaya al paso 2 si HDX Direct está inhabilitado en la máquina. Si HDX Direct está habilitado, siga los pasos que se indican a continuación:
    1. Abra el editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    2. Establezca el valor SSLEnabled en 0.
    3. Vaya a HKLM\Software\Citrix\HDX-Direct.
    4. Establezca el valor HdxDirectCaInTls en 0.

  2. Instale el certificado adecuado emitido por su PKI en el almacén de certificados de la máquina.

  3. Conceda al servicio de administrador de sesiones acceso de lectura a las claves privadas del certificado.
    1. Inicie la consola de administración de Microsoft (MMC): Inicio > Ejecutar > mmc.exe.
    2. Vaya a Archivo > Agregar o quitar complemento.
    3. Seleccione Certificados y, a continuación, haga clic en Agregar.
    4. Elija Cuenta de equipo y haga clic en Siguiente.
    5. Seleccione Equipo local y haga clic en Finalizar.
    6. Vaya a Certificados (equipo local) > Personal > Certificados.
    7. Haga clic con el botón derecho en el certificado adecuado y seleccione Todas las tareas > Administrar claves privadas.
    8. Agregue uno de los siguientes servicios y concédale acceso de lectura:
      • Para VDA de sesión única: NT SERVICE\PorticaService
      • Para VDA de varias sesiones: NT SERVICE\TermService
    9. Haga clic en Aplicar y, a continuación, en Aceptar.
  4. Vincule el certificado al servicio de administrador de sesiones.
    1. Recupere la huella digital del certificado (haga doble clic en el certificado > Detalles > Huella digital).
    2. Abra el editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    3. Edite el valor de SSLThumbprint y pegue la huella digital del certificado.
  5. Habilite los agentes de escucha TLS de Citrix.
    1. En la misma ubicación del Registro, establezca el valor de SSLEnabled en 1.
  6. Habilite HDX Direct (en directiva de Citrix).

El medio de instalación de Citrix Virtual Apps and Desktops incluye un script de PowerShell (Enable-VdaSSL.ps1) que automatiza varias de estas tareas:

  • Establecer permisos para las claves del certificado
  • Vincular el certificado al servicio del administrador de sesiones
  • Habilitar los agentes de escucha TLS de Citrix

Este script se encuentra en el directorio Support > Tools > SslSupport. Para obtener más información, consulte Configurar TLS en un VDA mediante el script de PowerShell.

NOTA:

Los dispositivos que se conectan a los hosts de sesión deben tener instalados los certificados de CA raíz y CA intermedia correctos si utiliza sus propios certificados.

Administración de certificados
May 31, 2026
Contribución de: 
C
May 31, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.