-
-
Grupos de identidad de diferentes tipos de unión de identidad de máquinas
-
Servicio independiente Citrix Secure Ticketing Authority (STA) (Technical Preview)
-
-
Compatibilidad de proxy con el agente de actualización de VDA
-
Hacer copia de seguridad o migrar la configuración
-
Copia de seguridad y restauración mediante la herramienta de configuración automatizada
-
Mejores prácticas para realizar copias de seguridad y restaurar
-
Cmdlets de herramientas de configuración automatizada para la migración
-
Cmdlets de herramientas de configuración automatizada para realizar copias de seguridad y restaurar
-
Solucionar problemas con Configuración automatizada e información adicional
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Habilitar TLS en los controladores de entrega
De forma predeterminada, tanto HTTP como HTTPS están habilitados. HTTPS usa un certificado autofirmado con el FQDN del servidor como nombre común, en el cual no confían StoreFront ni los exploradores web.
Para habilitar TLS en un Delivery Controller, debe hacer lo siguiente:
-
Obtenga, instale y registre un certificado de servidor en todos los Delivery Controllers. Para obtener más detalles, consulte Solicitar e instalar un certificado.
-
Configure un puerto con el certificado TLS. Para obtener más detalles, consulte Instalar un certificado.
- Habilite HTTPS para Monitor Service.
-
Exija el tráfico HTTPS inhabilitando HTTP. Para obtener más detalles, consulte Solo aplicar el tráfico HTTPS.
- Si lo quiere, puede cambiar los puertos que Controller utiliza para escuchar el tráfico HTTP y HTTPS. Para obtener más detalles, consulte Cambiar puertos HTTP o HTTPS.
Solicitar e instalar un certificado
Para usar TLS, debe instalar un certificado cuyo nombre común o nombre alternativo del sujeto coincida con el FQDN del servidor. Si usa un equilibrador de carga delante de los Delivery Controllers, incluya los FQDN del servidor y del equilibrador de carga como nombres alternativos del sujeto. Para obtener más información, consulte Certificados. Para que StoreFront se conecte al Delivery Controller, debe usar un algoritmo de firma digital RSA. StoreFront no admite certificados que usen el algoritmo ECDSA.
Configurar el puerto de escucha SSL/TLS
Si el componente IIS de Windows está instalado en el mismo servidor que se instala como parte de Web Studio y Director, puede configurar TLS mediante IIS. Para obtener más información, consulte Habilitar TLS en Web Studio y Director. De lo contrario, para configurar el certificado mediante PowerShell:
-
Para comprobar si hay un certificado vinculado, abra un símbolo del sistema y ejecute
netsh http show sslcert
:netsh http show sslcert <!--NeedCopy-->
-
Si existe un vínculo, elimínelo.
netsh http delete sslcert ipport=0.0.0.0:443 <!--NeedCopy-->
Sustituya
0.0.0.0:443
por una dirección IP y un puerto específicos si había uno especificado en el enlace existente. -
Busque la huella digital del certificado que instaló anteriormente. Para ver la huella digital, abra Administrar certificados de equipo, busque el certificado, ábralo y vaya a la ficha Detalles.
Como alternativa, puede usar PowerShell. Por ejemplo, el siguiente script busca un certificado cuyo nombre común coincida con el nombre de host del servidor e imprime la miniatura:
$HostName = ([System.Net.Dns]::GetHostByName(($env:computerName))).Hostname $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match ("CN=" + $HostName)}).Thumbprint -join ';' Write-Host -Object "Certificate Thumbprint for $($HostName): $($Thumbprint)" -Foreground Yellow <!--NeedCopy-->
Si el nombre común del certificado no coincide con los nombres de host, el proceso fallará. Si hay varios certificados para el nombre de host, se devuelven varias huellas digitales concatenadas entre sí y deberá elegir la huella digital pertinente.
En el siguiente ejemplo, se busca un certificado por nombre descriptivo:
$friendlyName = "My certificate name" $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.FriendlyName -eq $friendlyNam}).Thumbprint -join ';' Write-Host -Object "Certificate Thumbprint for $friendlyName: $($Thumbprint)" -Foreground Yellow <!--NeedCopy-->
Si hay varios certificados con el nombre descriptivo especificado, se devuelven varias huellas digitales concatenadas entre sí y deberá elegir la huella digital pertinente.
-
Para vincular el certificado al puerto, use el comando
netsh http add sslcert
:netsh http add sslcert ipport=[IP address]:443 certhash=[certificate hash] appid=[application GUID] disablelegacytls=enable <!--NeedCopy-->
-
ipport
especifica la dirección IP y el puerto. El uso de 0.0.0.0:443 aplica esto a todas las direcciones IP. En su lugar, puede especificar una dirección IP específica. -
appid
: Un GUID arbitrario que sirve para identificar la aplicación que agregó el vínculo. Puede usar cualquier GUID válido, como, por ejemplo,{91fe7386-e0c2-471b-a252-1e0a805febac}
. -
disabledlegacytls=enable
: Inhabilita las versiones antiguas de TLS. Este parámetro está disponible en Windows 2022 y versiones posteriores. Windows 2022 inhabilita TLS 1.0 y 1.1. En Windows 2025 esto no es necesario, ya que TLS 1.0 y 1.1 están inhabilitados de forma predeterminada.
Por ejemplo, ejecute el siguiente comando para vincular el certificado con la huella digital
bc96f958848639fd101a793b87915d5f2829b0b6
al puerto443
en todas las direcciones IP:netsh http add sslcert ipport=0.0.0.0:443 certhash=bc96f958848639fd101a793b87915d5f2829b0b6 appid={91fe7386-e0c2-471b-a252-1e0a805febac} disablelegacytls=enable <!--NeedCopy-->
-
Una vez que HTTPS esté habilitado, deberá configurar todas las implementaciones de StoreFront y Netscaler Gateway para usar HTTPS en lugar de HTTP para conectarse al Delivery Controller.
Configurar la API OData de Monitor Service para HTTPS
Monitor Service proporciona la API OData v3 y v4 para permitir que Citrix y aplicaciones de terceros consulten datos. Director se conecta al servicio de supervisión mediante la API OData V3. Para configurar las API de supervisión OData para HTTPS, siga estos pasos:
-
Ejecute el siguiente PowerShell:
$serviceGroup = Get-ConfigRegisteredServiceInstance -ServiceType Monitor | Select -First 1 ServiceGroupUid Remove-ConfigServiceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid & 'C:\Program Files\Citrix\Monitor\Service\citrix.monitor.exe' -ConfigureFirewall -RequireODataTls –OdataPort 443 -RequireODataSdkTls –OdataSdkPort 443 get-MonitorServiceInstance | register-ConfigServiceInstance Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership <!--NeedCopy-->
-
Abra el archivo
C:\Archivos de programa\Citrix\Monitor\Service\Citrix.Monitor.exe.Config
con un editor de texto. Busque el elemento<add key="owin:baseAddress" value="http://localhost/citrix/monitor/odata/v4" />
y cámbielo a<add key="owin:baseAddress" value="https://localhost/citrix/monitor/odata/v4" />
.
Configurar conjuntos de cifrado
La lista ordenada de conjuntos de cifrado debe incluir los conjuntos TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
o TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
(o ambas); y estos conjuntos de cifrado deben preceder a cualquier conjunto de cifrado TLS_DHE_
.
- Desde el editor de directivas de grupo de Microsoft, vaya a Configuración del equipo > Plantillas administrativas > Red > Opciones de configuración SSL.
- Modifique la directiva “Orden de conjuntos de cifrado SSL”. De manera predeterminada, esta directiva está establecida en “No configurada”. Habilite esta directiva.
- Ordene los conjuntos de cifrado; quite aquellos conjuntos que no quiera usar.
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
o TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
deben preceder a cualquier conjunto de cifrado TLS_DHE_
.
En Microsoft Learn, consulte también Configuración del orden del conjunto de cifrado TLS.
Solo aplicar el tráfico HTTPS
Se recomienda configurar el servicio XML para ignorar el tráfico HTTP.
- Ejecute
regedit
- Abra
HKLM\Software\Citrix\DesktopServer\
- Cree un nuevo valor DWORD con el nombre
XmlServicesEnableNonSsl
y establézcalo en 0. - Reinicie el servicio de broker.
Hay un valor DWORD de Registro correspondiente XmlServicesEnableSsl
que puede crear para ignorar el tráfico HTTPS. Compruebe que no está establecido en 0.
Cambiar puertos HTTP o HTTPS
De forma predeterminada, el XML Service en el Controller escucha en los puertos 80 para el tráfico HTTP y 443 para el tráfico HTTPS. Aunque se pueden utilizar otros puertos distintos de los predeterminados, tenga en cuenta los riesgos de seguridad que implica la exposición de un Controller a redes que no son de confianza. Antes que cambiar los valores predeterminados, es preferible implementar un servidor de StoreFront independiente.
Para cambiar los puertos HTTP o HTTPS predeterminados que usa el Controller, ejecute el comando siguiente en Studio:
BrokerService.exe -StoreFrontPort <http-port> -StoreFrontTlsPort <https-port>
<!--NeedCopy-->
donde <http-port>
es el número de puerto para el tráfico HTTP y <https-port>
es el número de puerto para el tráfico HTTPS.
Nota:
Después de cambiar de un puerto, Studio puede mostrar un mensaje acerca de la actualización y la compatibilidad de licencias. Para resolver el problema, vuelva a registrar las instancias de servicio mediante esta secuencia de cmdlet de PowerShell:
Get-ConfigRegisteredServiceInstance -ServiceType Broker -Binding XML_HTTPS |
Unregister-ConfigRegisteredServiceInstance
Get-BrokerServiceInstance | where Binding -eq "XML_HTTPS" |
Register-ConfigServiceInstance
<!--NeedCopy-->
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.