Documentación de productos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR

Habilitar TLS en los VDA

May 29, 2025
Contribución de: 
C

Habilite las conexiones TLS entre la aplicación Citrix Workspace y los agentes VDA (Virtual Delivery Agent) completando las siguientes tareas:

Requisitos y consideraciones:

  • Configure TLS en los grupos de entrega y en los VDA después de instalar los componentes, crear un sitio, crear catálogos de máquinas y crear grupos de entrega.
  • Para configurar TLS en los grupos de entrega, debe tener permiso para cambiar las reglas de acceso a los Controllers. Un administrador total tiene este permiso.
  • Para configurar TLS en los VDA, debe ser un administrador Windows en la máquina donde está instalado el VDA.
  • En agentes VDA agrupados y aprovisionados por Machine Creation Services o Provisioning Services, la imagen de la máquina del VDA se restablece en el proceso de reinicio, lo que provoca la pérdida de la configuración anterior de TLS. Ejecute el script de PowerShell cada vez que se reinicie el VDA para volver a configurar los parámetros de TLS.

Un grupo de entrega no puede incluir una mezcla de VDA con TLS configurado y VDA sin TLS configurado. Antes de configurar TLS para un grupo de entrega, debe haber configurado TLS para todos los VDA en ese grupo de entrega.

Si configura TLS en los VDA, cambian los permisos en el certificado TLS instalado, lo que da al servicio ICA acceso de lectura a la clave privada del certificado e informa al servicio ICA de lo siguiente:

  • Qué certificado del almacén de certificados hay que usar para TLS.

  • Qué número de puerto TCP hay que usar para las conexiones TLS.

    El Firewall de Windows (si está habilitado) debe estar configurado para permitir conexiones entrantes en este puerto TCP. Esta configuración se lleva a cabo cuando se usa el script de PowerShell.

  • Qué versiones del protocolo TLS se deben permitir.

    Importante:

    Citrix recomienda usar TLS 1.2 o una versión posterior. SSL y las versiones anteriores de TLS son obsoletas.

    Las versiones compatibles con el protocolo TLS siguen una jerarquía (de menor a mayor): SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 y TLS 1.3. Debe especificar la versión mínima permitida; se permitirán todas las conexiones que usen esa versión del protocolo o una versión más alta.

    Por ejemplo, si especifica TLS 1.1 como la versión mínima, se permitirán conexiones con los protocolos TLS 1.1, TLS 1.2 y TLS 1.3. Si elige SSL 3.0 como la versión mínima, se permitirán conexiones con todas las versiones admitidas. Si especifica TLS 1.3 como la versión mínima, solo se permiten conexiones con TLS 1.3.

  • Qué conjuntos de cifrado TLS se deben permitir.

    El conjunto de cifrado selecciona el cifrado que se usa para una conexión. Los clientes y los agentes VDA pueden admitir varios grupos diferentes de conjuntos de cifrado. Cuando un cliente (la aplicación Citrix Workspace) se conecta y envía una lista de los conjuntos de cifrado TLS compatibles, el VDA asigna uno de los conjuntos de cifrado del cliente a uno de los conjuntos de cifrado en su propia lista de conjuntos de cifrado configurados y acepta la conexión. Si no encaja ningún conjunto de cifrado, el VDA rechazará la conexión.

    El VDA admite tres grupos de conjuntos de cifrado (también conocidos como modos de conformidad): GOV (Government o Gobierno), COM (Commercial o Comercial) y ALL (Todos). Los conjuntos de cifrado que se aceptan también dependen del modo FIPS de Windows; consulte http://support.microsoft.com/kb/811833 para obtener más información sobre el modo FIPS de Windows. La tabla siguiente muestra los conjuntos de cifrado en cada grupo:

    Conjunto de cifrado ALL COM GOV ALL COM GOV
    Modo FIPS No No No
    TLS_AES_256_GCM_SHA384 X   X X   X
    TLS_AES_128_GCM_SHA256 X     X   X
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X   X X   X
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X   X X   X
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA X X   X X  

    Nota:

    El VDA no admite conjuntos de cifrados DHE (por ejemplo, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 y TLS_DHE_RSA_WITH_AES_128_CBC_SHA). Si Windows lo selecciona, la conexión fallará.

    Si usa NetScaler Gateway, consulte la documentación de NetScaler para obtener información sobre la disponibilidad del conjunto de cifrado para la comunicación back-end. Para obtener información sobre la disponibilidad del conjunto de cifrado TLS, consulte Cifrados disponibles en los dispositivos Citrix ADC. Para obtener información sobre la disponibilidad del conjunto de cifrado DTLS, consulte Compatibilidad con cifrado DTLS.

Solicitar e instalar un certificado

Para usar TLS, debe instalar un certificado cuyo nombre alternativo incluya el FQDN del VDA. El certificado debe ser de confianza para cualquier cliente que se conecte directamente al VDA (no a través de Citrix Gateway). Para permitir que los dispositivos no administrados en los que no se pueden implementar certificados fácilmente se conecten al VDA, considere la posibilidad de implementar un NetScaler Gateway.

Crear un certificado usando la entidad de certificación de Microsoft

Si los clientes y los VDA se encuentran en un bosque de confianza y tiene una entidad de certificación de Microsoft, puede adquirir un certificado en el asistente para la inscripción de certificados del complemento MMC Certificados.

  1. En el VDA, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
  2. Expanda Personal > Certificados y, a continuación, use el comando del menú contextual Todas las tareas > Solicitar nuevo certificado.
  3. Haga clic en Siguiente para comenzar y en Siguiente para confirmar que va a adquirir el certificado de inscripción en Active Directory.

  4. Seleccione la plantilla para Certificado de autenticación de servidor. Tanto el equipo Windows predeterminado como el servidor web exportable son aceptables. Si la plantilla se ha configurado para proporcionar automáticamente los valores para Asunto, puede hacer clic en Inscribir sin proporcionar más datos.

    Cuadro de diálogo de solicitud de certificados

  5. Para proporcionar más detalles para la plantilla de certificado, haga clic en Detalles y configure lo siguiente:

    Nombre del sujeto: Seleccione el tipo Nombre común y agregue el nombre de dominio completo (FQDN) del VDA

    Nombre alternativo: Seleccione el tipo DNS y agregue el FQDN del VDA

    Propiedades del certificado

    Nota:

    Use la función de inscripción automática de certificados de Servicios de certificados de Active Directory para automatizar la emisión y la implementación de certificados en los VDA. Esto se describe en Habilitar la inscripción automática de certificados).

    Puede usar certificados comodín para permitir que un solo certificado cubra varios VDA:

    Nombre del sujeto: Seleccione el tipo Nombre común e introduzca el *.primary.domain de los VDA

    Nombre alternativo: Seleccione el tipo DNS y agregue el *.primary.domain de los VDA

    Cuadro de diálogo comodín de solicitud de certificados

    Puede usar certificados SAN para permitir que un solo certificado cubra diversos VDA específicos:

    Nombre del sujeto: Seleccione el tipo Nombre común e introduzca una cadena que ayude a identificar el uso del certificado

    Nombre alternativo: Seleccione el tipo DNS y agregue una entrada para el FQDN de cada VDA. Mantenga el número de nombres alternativos al mínimo para garantizar una negociación de TLS óptima.

    Cuadro de diálogo de solicitud de certificados

    Nota:

    Tanto los certificados comodín como los certificados SAN requieren que se seleccione Hacer exportable la clave privada en la ficha Clave privada:

    Cuadro de diálogo de solicitud de certificados

Configurar TLS en un VDA mediante el script de PowerShell

Instale el certificado de TLS en el área Equipo local > Personal > Certificados del almacén de certificados. Si hay más de un certificado en esa ubicación, proporcione la huella digital del certificado al script de PowerShell.

Nota:

A partir de XenApp y XenDesktop 7.15 LTSR, el script de PowerShell busca el certificado correcto basándose en el nombre de dominio completo del VDA. No es necesario facilitar la huella digital cuando existe solo un certificado para el FQDN del VDA.

El script Enable-VdaSSL.ps1 habilita o inhabilita la escucha de TLS en un VDA. Este script está disponible en la carpeta Support > Tools > SslSupport del medio de instalación.

Cuando habilita TLS, los conjuntos de cifrado DHE se inhabilitan. Los conjuntos de cifrado ECDHE no se ven afectados.

Al habilitar TLS, el script inhabilita todas las reglas de Firewall de Windows para el puerto TCP especificado. A continuación, agrega una nueva regla que permite al servicio ICA aceptar conexiones entrantes solo en los puertos UDP y TCP de TLS. También inhabilita las reglas de Firewall de Windows para:

  • Citrix ICA (predeterminado: 1494)
  • Citrix CGP (predeterminado: 2598)
  • Citrix WebSocket (predeterminado: 8008)

La consecuencia es que los usuarios solo pueden conectarse con TLS o DTLS. No pueden usar ICA/HDX, ICA/HDX con fiabilidad de la sesión o HDX por WebSocket, sin TLS o DTLS.

Nota:

No se admite el protocolo DTLS con audio ICA/HDX por protocolo UDP de transporte en tiempo real ni con ICA/HDX Framehawk.

Consulte Puertos de red.

El script contiene las siguientes descripciones de sintaxis, además de ejemplos adicionales; puede usar una herramienta como Notepad++ para consultar esta información.

Importante:

Debe indicar el parámetro Enable o Disable, así como el parámetro CertificateThumbPrint. Los demás parámetros son opcionales.

Sintaxis

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

Parámetro Descripción
Enable Instala y habilita la escucha de TLS en el VDA. Este parámetro o el parámetro Disable es obligatorio.
Disable Inhabilita la escucha de TLS en el VDA. Este parámetro o el parámetro Enable es obligatorio. Si se especifica este parámetro, ningún otro parámetro es válido.
CertificateThumbPrint ‘”thumbprint”’ Huella digital del certificado TLS en el almacén de certificados, entre comillas. El script utiliza la huella digital especificada para seleccionar el certificado a utilizar. Este parámetro es obligatorio; si no lo indica, se selecciona un certificado incorrecto.
SSLPort ‘port’ Puerto TLS. Valor predeterminado: 443
SSLMinVersion ‘”version”’ Versión mínima del protocolo TLS, indicada entre comillas. Valores válidos: SSL_3.0, TLS_1.0 (predeterminado), TLS_1.1, TLS_1.2 y TLS_1.3. TLS_1.3 requiere Windows 11 o Windows Server 2022 o una versión posterior.
SSLCipherSuite ‘”suite”’ Conjunto de cifrado TLS, entre comillas. Valores válidos: “GOV”, “COM” y “ALL” (valor predeterminado).

Ejemplos

El siguiente script instala y habilita el valor de versión del protocolo TLS. La huella digital (representada como “12345678987654321” en este ejemplo) se utiliza para seleccionar el certificado que se utilizará.

  Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

El siguiente script instala y habilita la escucha de TLS, y especifica el puerto TLS 400, el conjunto de cifrado GOV y una versión de protocolo mínima de TLS 1.2. La huella digital (representada como “12345678987654321” en este ejemplo) se utiliza para seleccionar el certificado que se utilizará.

  Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

El siguiente script inhabilita la escucha de TLS en el VDA.

  Enable-VdaSSL -Disable

Configurar TLS manualmente en un VDA

Al configurar manualmente TLS en un VDA, se concede acceso genérico de lectura a la clave privada del certificado TLS para el servicio apropiado en cada VDA: NT SERVICE\PorticaService para un VDA de SO de sesión única Windows o NT SERVICE\TermService para un VDA de SO multisesión Windows. En la máquina donde está instalado el VDA:

PASO 1. Inicie la consola Microsoft Management Console (MMC): Inicio > Ejecutar > mmc.exe.

PASO 2. Agregue el complemento Certificados en la consola MMC:

  1. Seleccione Archivo > Agregar o quitar complemento.
  2. Seleccione Certificados y haga clic en Agregar.
  3. En “Este complemento administrará siempre certificados de”, elija “Cuenta de equipo” y luego haga clic en “Siguiente”.
  4. En “Seleccione el equipo que desea administrar con este complemento”, elija “Equipo local” y, a continuación, haga clic en “Finalizar”.

PASO 3. En Certificados (Equipo local) > Personal > Certificados, haga clic con el botón secundario en el certificado y seleccione Todas las tareas > Administrar claves privadas.

STEP 4. El editor de la lista de control de acceso muestra “Permisos para claves privadas de (nombre)”, donde (nombre) es el nombre del certificado TLS. Agregue uno de los siguientes servicios y dele acceso de lectura:

  • Para un VDA con SO de sesión única de Windows, “PORTICASERVICE”
  • Para un VDA con SO multisesión Windows, “TERMSERVICE”

PASO 5. Haga doble clic en el certificado TLS instalado. En el cuadro de diálogo del certificado, seleccione la ficha Detalles y vaya a la parte inferior. Haga clic en Huella digital.

PASO 6. Ejecute regedit y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Tterminal Server\Wds\icawd.

  1. Modifique la clave de huella digital SSL Thumbprint y copie en el valor binario la huella digital que figura en el certificado TLS. Puede ignorar los elementos desconocidos del diálogo Modificar valor binario (por ejemplo, ‘0000’ y los caracteres especiales).
  2. Modifique la clave SSLEnabled y cambie el valor DWORD a 1 (para inhabilitar SSL más adelante, cambie el valor DWORD a 0).

  3. Si quiere cambiar la configuración predeterminada (optativo), use lo siguiente en la misma ruta de Registro:

    SSLPort DWORD – número de puerto SSL. Valor predeterminado: 443.

    SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Valor predeterminado: 2 (TLS 1.0).

    SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Valor predeterminado: 3 (ALL).

PASO 7. Compruebe que los puertos UDP y TCP de TLS están abiertos en el Firewall de Windows, si no son el predeterminado 443. (cuando cree la regla de entrada en el Firewall de Windows, compruebe que tenga seleccionadas las entradas “Permitir la conexión” y “Habilitada” en las propiedades).

PASO 8. Asegúrese de que no hay otros servicios o aplicaciones (por ejemplo, IIS) que estén usando el puerto TCP de TLS.

PASO 9. Para los VDA multisesión, reinicie la máquina para que los cambios surtan efecto. (No es necesario reiniciar las máquinas VDA de sesión única).

PASO 10. A fin de evitar problemas de conexión, modifique la preferencia del conjunto de cifrado de Windows para que los conjuntos de cifrado compatibles con VDA tengan la máxima prioridad.

Importante:

Los cambios en la directiva de grupo que se describen a continuación solo surten efecto después de reiniciar el sistema.

Si usa hosts de sesión no persistentes aprovisionados con MCS o PVS, debe aplicar estos parámetros en la imagen maestra.

Opción 1:

En el editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Valores de configuración de SSL > Orden del conjunto de cifrado SSL. Asegúrese de que estos conjuntos de cifrado estén en la parte superior de la lista:

  TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

Nota:

TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256 solo se aplican a Windows 11 y Windows Server 2022 o una versión más reciente. Si usa sistemas operativos más antiguos, no incluya estos conjuntos de cifrado en su lista.

Tenga en cuenta que los conjuntos de cifrado enumerados también especifican la curva elíptica, P384 o P256, para asegurarse de que no se seleccione “curve25519”. El modo FIPS no impide el uso de “curve25519”.

No es necesario quitar ningún conjunto de cifrado de la lista. Tenga en cuenta que estos parámetros se aplican a todo el sistema, por lo que, si decide quitar cualquier conjunto de cifrado, debe asegurarse de que ninguna aplicación o servicio que se ejecute en los hosts de sesión los requiera.

Opción 2:

En el editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Valores de configuración de SSL > Orden del conjunto de cifrado SSL. Asegúrese de que estos conjuntos de cifrado estén en la parte superior de la lista:

  TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

Nota:

TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256 solo se aplican a Windows 11 y Windows Server 2022 o una versión más reciente. Si usa sistemas operativos más antiguos, no incluya estos conjuntos de cifrado en su lista.

No es necesario quitar ningún conjunto de cifrado de la lista. Tenga en cuenta que estos parámetros se aplican a todo el sistema, por lo que, si decide quitar cualquier conjunto de cifrado, debe asegurarse de que ninguna aplicación o servicio que se ejecute en los hosts de sesión los requiera.

En el editor de directivas de grupo, vaya a Configuración del equipo > Directivas > Plantillas administrativas > Red > Valores de configuración de SSL > Orden de curva ECC. Habilite el parámetro e incluya las siguientes curvas en la lista:

  NistP384
NistP256
<!--NeedCopy-->

Nota:

Esto garantiza que no se seleccione “curve25519”. El modo FIPS no impide el uso de “curve25519”.

El VDA selecciona un conjunto de cifrado solo si aparece en las dos listas: la lista de la directiva de grupo y la lista del modo de conformidad seleccionado (COM, GOV o ALL). El conjunto de cifrado también debe aparecer en la lista que envíe el cliente (la aplicación Citrix Workspace).

Configurar TLS en grupos de entrega

Lleve a cabo este procedimiento para cada grupo de entrega que contenga VDA configurados para conexiones TLS.

  1. Desde Studio, abra la consola de PowerShell.
  2. Ejecute Get-BrokerAccessPolicyRule -DesktopGroupName ‘<nombre-grupo-entrega>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
  3. Ejecute Set-BrokerSite -DnsResolutionEnabled $true.

Habilitar SSL para VDA agrupados mediante la inscripción automática

Cuando se usan VDA agrupados, si agrega un certificado a la imagen maestra, todos los VDA comparten la misma imagen. Puede usar un certificado comodín, pero tiene la desventaja de que, si alguno de los VDA se ve comprometido, este potente certificado pondría en riesgo todas las conexiones HDX pertenecientes a todos los VDA.

En su lugar, una alternativa segura es aprovechar los Servicios de certificados de Microsoft Active Directory para aprovisionar certificados automáticamente mediante la directiva de grupo. Puede usar un script de inicio en el VDA para aprovisionar dinámicamente un certificado nuevo y habilitar SSL en el VDA.

Tenga en cuenta que este enfoque solo funcionará para los VDA de escritorio de sesión única. En el caso de los VDA multisesión, la escucha ICA se activa demasiado pronto durante el proceso de arranque, antes de que los certificados se puedan aprovisionar automáticamente.

Dado que Servicios de certificados de Active Directory usa una entidad de certificación empresarial interna, no todas las instalaciones de Windows confiarán automáticamente en ella. Si los clientes los administra la corporación y forman parte de un bosque de dominios, los certificados CA de confianza se pueden distribuir automáticamente mediante una directiva de grupo. En el caso de BYOD y otros dispositivos que no estén unidos a un dominio, debe distribuir los certificados de CA de confianza a los usuarios mediante algún otro mecanismo (como ofrecer un enlace de descarga) o usar un NetScaler Gateway.

Habilitar la inscripción automática de certificados

En primer lugar, asegúrese de que tiene instalado el rol Servicios de certificados de Active Directory en un servidor del bosque de dominios de VDA que proporciona una CA empresarial; de lo contrario, no será posible la inscripción automática.

Tenga en cuenta que esto puede suponer una carga considerablemente mayor de lo habitual para su entidad de certificación empresarial, ya que los VDA enviarán una solicitud de certificado en cada arranque. Asegúrese de asignar suficiente CPU y memoria en el servidor de CA para hacer frente a la carga y, como siempre, pruebe la escalabilidad de la implementación en un entorno de laboratorio antes de pasar a producción.

En el Editor de administración de directivas de grupo, cree una nueva directiva que se aplique a la unidad organizativa que contendrá los VDA agrupados con SSL habilitado de la siguiente manera:

  1. Expanda Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas de clave pública
  2. Modifique las propiedades del objeto “Cliente de Servicios de certificados- Inscripción automática”
  3. Configure como se muestra en la captura de pantalla que aparece a continuación.
  4. Haga clic con el botón secundario en el contenedor Solicitud de certificado automática y seleccione Nueva -> Solicitud de certificado automática…
  5. En el Asistente para configurar solicitudes de certificado automáticas, haga clic en Siguiente
  6. Compruebe que la plantilla de certificado Equipo esté seleccionada y haga clic en Siguiente
  7. Haga clic en Finalizar

Captura de pantalla de la directiva de inscripción

Preparar la imagen maestra de Windows

Copie el script Enable-VdaSsl.ps1 desde la carpeta Support\Tools\SslSupport del medio de instalación en la imagen maestra de VDA. Tenga en cuenta que la imagen maestra no debe contener ningún certificado que se use para conexiones SSL de HDX. Los certificados se proporcionarán cuando se cree el catálogo de máquinas de MCS o PVS. Ahora cree una nueva tarea programada de la siguiente manera (no ejecute la tarea programada aún):

  1. Abra el Programador de tareas.

  2. En el panel Acciones, presione Crear tarea…

  3. En la ficha General:

    • Introduzca un Nombre como Habilitar SSL para VDA

    • Haga clic en Cambiar usuario o grupo… y, en el cuadro de diálogo Seleccionar usuario o grupo, introduzca SYSTEM y haga clic en Aceptar

    Captura de pantalla de la ficha Acciones, crear tarea

  4. Seleccione la ficha Desencadenadores

  5. Haga clic en Nuevo…. En el cuadro de diálogo Nuevo desencadenador:

    1. Establezca Iniciar la tarea en En un evento

    2. Establezca Registro en Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational

    3. Establezca Origen en Microsoft-Windows-CertificateServicesClient-Lifecycle-System

    4. Establezca el ID de evento en 1006

    5. Haga clic en Aceptar para guardar el desencadenador

    Captura de pantalla de la ventana Nuevo desencadenador

  6. Seleccione la ficha Acciones

  7. Haga clic en Nuevo…

  8. En el cuadro de diálogo Nueva acción:

    1. Establezca Acción en Iniciar un programa

    2. En el campo Programa/script, introduzca powershell.exe

    3. En el campo Agregar argumentos, introduzca -ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$False, incluida la ruta al script de PowerShell.

    4. Presione Aceptar para guardar la acción

    Captura de pantalla de la ventana Nueva acción

  9. Presione Aceptar para guardar la tarea

Solución de problemas

Si se produce un error de conexión, consulte el registro de eventos del sistema en el VDA.

Cuando usa la aplicación Citrix Workspace para Windows, si recibe un error de conexión que indica un error de TLS, inhabilite Desktop Viewer y, a continuación, intente conectarse de nuevo. Aunque la conexión siga fallando, podrá obtener una explicación del problema de TLS subyacente. Por ejemplo: que especificó una plantilla incorrecta al solicitar un certificado de la entidad de certificación.)

La mayoría de las configuraciones que usan el transporte adaptable HDX funcionan con DTLS, incluidas las que utilizan las versiones más recientes de la aplicación Citrix Workspace, Citrix Gateway y VDA. Algunas configuraciones que usan DTLS entre la aplicación Citrix Workspace y Citrix Gateway, y que usan DTLS entre Citrix Gateway y el VDA, requieren configuración adicional.

Se necesita una configuración adicional si:

  • la versión de Citrix Receiver admite el transporte adaptable HDX y DTLS: Receiver para Windows (4.7, 4.8, 4.9), Receiver para Mac (12.5, 12.6, 12.7), Receiver para iOS (7.2, 7.3.x) o Receiver para Linux (13.7)

y también se da una de estas condiciones:

  • La versión de Citrix Gateway admite DTLS al VDA, pero la versión de VDA no admite DTLS (7.15 o anterior)

  • La versión de VDA admite DTLS (7.16 o una versión posterior), pero la versión de Citrix Gateway no admite DTLS al VDA

Para evitar que fallen las conexiones desde Citrix Receiver, realice una de estas acciones:

  • actualice Citrix Receiver a: Receiver para Windows 4.10 o una versión posterior, Receiver para Mac 12.8 o una versión posterior o Receiver para iOS 7.5 o una versión posterior;
  • Actualice Citrix Gateway a una versión que admita DTLS al VDA.
  • Actualice el VDA a la versión 7.16 o a una posterior.
  • Inhabilite DTLS en el VDA.
  • Inhabilite el transporte adaptable HDX.

Nota:

La actualización correspondiente de Receiver para Linux aún no está disponible. Receiver para Android (versión 3.12.3) no admite el transporte adaptable HDX ni DTLS a través de Citrix Gateway y, por lo tanto, no se ve afectado.

Para inhabilitar DTLS en el VDA, modifique la configuración del firewall del VDA para inhabilitar el puerto UDP 443. Consulte Puertos de red.

TLS, la redirección de vídeo HTML5 y la redirección de contenido del explorador web

Puede usar la redirección de vídeo HTML5 y la redirección de contenido del explorador web para redirigir los sitios web HTTPS. El JavaScript insertado en esos sitios web debe establecer una conexión TLS al servicio Citrix HDX HTML5 Video Redirection Service que se ejecuta en el VDA. Para ello, HTML5 Video Redirection Service genera dos certificados personalizados en el almacén de certificados presente en el VDA. Al detener este servicio, también se quitan los certificados.

La directiva de redirección de vídeo HTML5 está inhabilitada de forma predeterminada.

En cambio, la redirección de contenido del explorador web está habilitada de forma predeterminada.

Para obtener más información sobre la redirección de vídeos HTML5, consulte Configuraciones de directiva de Multimedia.

Habilitar TLS en los VDA
May 29, 2025
Contribución de: 
C
May 29, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.