Product Documentation

Protección de puntos finales mediante TLS

Jul 07, 2016

En este documento se explica cómo usar TLS para proteger los puntos finales de la API de OData de Monitor Service. Si decide utilizar TLS, debe configurar TLS en todos los Delivery Controllers del sitio. No puede usar ninguna combinación de TLS y no TLS.

Para proteger los puntos finales de Monitor Service con TLS, debe realizar la siguiente configuración. Algunos pasos deben realizarse solo una vez por sitio; otros deben ejecutarse en cada máquina que aloje Monitor Service del sitio. Los pasos se describen a continuación.

1ª parte: Registro de certificados con el sistema

  1. Cree un certificado mediante un administrador de certificados de confianza. El certificado debe asociarse al puerto de la máquina que desea usar para TLS de OData.
  2. Configure Monitor Service para usar este puerto para la comunicación TLS. Los pasos dependen de su entorno y de cómo este funciona con certificados. El siguiente ejemplo muestra cómo configurar el puerto 449:
  • Asocie el certificado a un puerto:
    netsh http add sslcert ipport=0.0.0.0:449 certhash=97bb629e50d556c80528f4991721ad4f28fb74e9  appid='{00000000-0000-0000-0000-000000000000}'
    Sugerencia: En una ventana de comandos de PowerShell, asegúrese de incluir comillas simples alrededor de los GUID en el appID, como se muestra en la parte superior, o el comando no funcionará. Tenga en cuenta que se ha agregado un salto de línea en este ejemplo solo para facilitar su lectura.

2ª parte: Modificar los parámetros de configuración de Monitor Service

  1. En cualquier Delivery Controller del sitio, ejecute los siguientes comandos de PowerShell una vez. Esto elimina el registro de Monitor Service con Configuration Service.
    asnp citrix.*   $serviceGroup = get-configregisteredserviceinstance -servicetype Monitor | Select -First 1 ServiceGroupUid   remove-configserviceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid 
  2. Haga lo siguiente en todos los Controllers del sitio:
    • Con una línea de comandos, busque el directorio instalado de Citrix Monitor (normalmente en C:\Program Files\Citrix\Monitor\Service). En ese directorio ejecute:
      Citrix.Monitor.Exe -CONFIGUREFIREWALL -ODataPort 449 -RequireODataSsl
    • Ejecute los siguientes comandos de PowerShell:
    asnp citrix.*  (if not already run within this window)  get-MonitorServiceInstance | register-ConfigServiceInstance   Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership