Protege las sesiones de usuario con TLS
A partir de la versión 7.16, el VDA de Linux es compatible con el cifrado TLS para sesiones de usuario seguras. El cifrado TLS está deshabilitado de forma predeterminada.
Habilitar el cifrado TLS
-
Para habilitar el cifrado TLS en las sesiones de usuario seguras, obtén los certificados y habilita el cifrado TLS tanto en el VDA de Linux como en el Delivery Controller™ (el Controller).
-
Obtener certificados
Obtén certificados de servidor en formato PEM y certificados raíz en formato CRT de una entidad de certificación (CA) de confianza. Un certificado de servidor contiene las siguientes secciones:
- Certificado
- Clave privada sin cifrar
- Certificados intermedios (opcional)
Un ejemplo de certificado de servidor:
Habilitar el cifrado TLS
Habilitar el cifrado TLS en el VDA de Linux
En el VDA de Linux, usa la herramienta enable_vdassl.sh para habilitar (o deshabilitar) el cifrado TLS. La herramienta se encuentra en el directorio /opt/Citrix/VDA/sbin. Para obtener información sobre las opciones disponibles en la herramienta, ejecuta el comando /opt/Citrix/VDA/sbin/enable_vdassl.sh -help.
Consejo: Debes instalar un certificado de servidor en cada servidor VDA de Linux y certificados raíz en cada servidor y cliente VDA de Linux.
Habilitar el cifrado TLS en el Controller
Nota:
Solo puedes habilitar el cifrado TLS para grupos de entrega completos. No puedes habilitar el cifrado TLS para aplicaciones específicas.
En una ventana de PowerShell del Controller, ejecuta los siguientes comandos en secuencia para habilitar el cifrado TLS para el grupo de entrega de destino.
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Nota:
Para asegurarte de que solo los FQDN de VDA estén contenidos en un archivo de sesión ICA®, también puedes ejecutar el comando
Set-BrokerSite –DnsResolutionEnabled $true. El comando habilita la resolución DNS. Si deshabilitas la resolución DNS, un archivo de sesión ICA revela las direcciones IP del VDA y proporciona FQDN solo para los elementos relacionados con TLS, como SSLProxyHost y UDPDTLSPort.
Para deshabilitar el cifrado TLS en el Controller, ejecuta los siguientes comandos en secuencia:
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $falseSet-BrokerSite –DnsResolutionEnabled $false
Solución de problemas
El siguiente error “Can’t assign requested address” (No se puede asignar la dirección solicitada) puede ocurrir en la aplicación Citrix Workspace™ para Windows cuando intentas acceder a una sesión de escritorio publicada:
Como solución alternativa, agrega una entrada al archivo hosts, similar a la siguiente:
<Dirección IP del VDA de Linux> <FQDN del VDA de Linux>
En las máquinas Windows, el archivo hosts se encuentra normalmente en C:\Windows\System32\drivers\etc\hosts.