-
Planifier et créer un déploiement
-
Communication WebSocket entre le VDA et le Delivery Controller™
-
-
Créer des catalogues de machines d'images préparées
-
Créer une image préparée pour les instances gérées Amazon WorkSpaces Core
-
Créer un catalogue d'instances gérées Amazon WorkSpaces Core
-
Créer un catalogue de machines d'images préparées dans AWS EC2
-
Créer un catalogue de machines d'images préparées dans Azure
-
Créer un catalogue de machines d'images préparées dans Red Hat OpenShift
-
Créer un catalogue de machines d'images préparées dans VMware
-
Créer un catalogue de machines d'images préparées dans XenServer
-
-
Créer des catalogues de machines
-
Pools d'identités de différents types de jonction d'identité de machine
-
-
-
Gestion des certificats
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gestion des certificats
Vue d’ensemble
Les connexions directes HDX™ sont sécurisées par un chiffrement au niveau du réseau. Pour ce faire, chaque hôte de session dispose d’un certificat d’autorité de certification racine auto-signé unique et d’un certificat de serveur correspondant, signé par ce certificat d’autorité de certification racine auto-signé.
Cette solution offre les avantages suivants :
- Sécurité simplifiée : Les connexions directes HDX sont sécurisées sans la surcharge administrative liée à la gestion des certificats dans l’environnement.
- Surface d’attaque réduite : La surface d’attaque est limitée à un seul hôte, car chaque hôte dispose d’un ensemble unique de clés et de certificats.
- Sécurité améliorée pour les environnements non persistants : Dans les environnements avec des hôtes de session non persistants, la sécurité est encore améliorée, car de nouvelles clés et de nouveaux certificats sont générés au redémarrage.
Hôte de session
Les services Citrix ClxMtp Service et Citrix Certificate Manager Service sont les deux services responsables de la gestion des certificats sur chaque hôte de session. Le service ClxMtp gère la génération et la rotation des clés, tandis que le service Certificate Manager génère et gère les certificats.
Deux certificats sont créés : une autorité de certification racine auto-signée et un certificat de serveur. Les deux sont émis avec une période de validité de deux ans ; cependant, ils sont remplacés lorsque les clés sont renouvelées. De plus, de nouveaux certificats sont générés chaque fois que les machines non persistantes redémarrent.
Les détails de chaque certificat sont les suivants :
-
Autorité de certification racine auto-signée
- Émis à : CA-Citrix-Certificate-Manager
- Émis par : CA-Citrix-Certificate-Manager
- Détails de l’émetteur : L’organisation est Citrix Systems, Inc.
-
Certificat de serveur
- Émis à : <FQDN de l’hôte> (Par exemple, FTLW11-001.ctxlab.net)
- Émis par : CA-Citrix-Certificate-Manager
- Détails de l’émetteur : L’organisation est Citrix Systems, Inc.
REMARQUE :
Le service Citrix Certificate Manager génère des certificats RSA qui utilisent des clés de 2048 bits.
S’il existe un certificat de machine créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au FQDN de la machine, un nouveau certificat est généré.
Rotation des clés
Le service Citrix ClxMtp Service renouvelle automatiquement les clés tous les six mois. Cependant, vous pouvez déclencher manuellement une rotation des clés en augmentant le compteur de rotation dans le registre de l’hôte de session.
Pour renouveler les clés, mettez à jour la valeur suivante :
- Clé : SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Type de valeur : DWORD
- Nom de la valeur : ClxMtpRotateRequestCounter
- Données : entier (décimal)
REMARQUE :
Pour la première rotation des clés :
- Créez la clé ClxMtpConnectorSvcRotateKeyPairs.
- Créez et définissez la valeur ClxMtpRotateRequestCounter sur 1.
Pour les rotations de clés ultérieures, augmentez la valeur ClxMtpRotateRequestCounter de 1.
Une fois la valeur mise à jour, le service Citrix ClxMtp Service renouvellera automatiquement les clés sans nécessiter de redémarrage. Le service Citrix Certificate Manager Service générera alors automatiquement de nouveaux certificats dès qu’il détectera de nouvelles clés.
Appareil client
Le certificat d’autorité de certification racine est envoyé au client par Workspace ou Storefront™ via le chemin de connexion sécurisé et fiable déjà établi. Cela élimine la nécessité de distribuer les certificats d’autorité de certification aux magasins de certificats des appareils clients et garantit que le client fait confiance aux certificats utilisés pour sécuriser la connexion directe HDX.
Utilisation de certificats personnalisés
HDX Direct prend en charge l’utilisation de certificats émis et gérés par votre propre PKI. Les étapes suivantes décrivent comment installer votre certificat, configurer les autorisations nécessaires, le lier au service du gestionnaire de session et activer les écouteurs TLS requis.
- Passez à l’étape 2 si HDX Direct est désactivé sur la machine. Si HDX Direct est activé, suivez les étapes ci-dessous :
- Ouvrez l’éditeur de registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Définissez la valeur SSLEnabled sur 0.
- Accédez à HKLM\Software\Citrix\HDX-Direct.
- Définissez la valeur HdxDirectCaInTls sur 0.
-
Installez le certificat approprié émis par votre PKI dans le magasin de certificats de la machine.
- Accordez au service du gestionnaire de session un accès en lecture aux clés privées du certificat.
- Lancez la console de gestion Microsoft (MMC) : Démarrer > Exécuter > mmc.exe.
- Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable.
- Sélectionnez Certificats, puis cliquez sur Ajouter.
- Choisissez Compte d’ordinateur et cliquez sur Suivant.
- Sélectionnez Ordinateur local et cliquez sur Terminer.
- Accédez à Certificats (ordinateur local) > Personnel > Certificats.
- Cliquez avec le bouton droit sur le certificat approprié et sélectionnez Toutes les tâches > Gérer les clés privées.
- Ajoutez l’un des services suivants et accordez-lui un accès en lecture :
- Pour VDA à session unique :
NT SERVICE\PorticaService - Pour VDA multi-session :
NT SERVICE\TermService
- Pour VDA à session unique :
- Cliquez sur Appliquer, puis sur OK.
- Lie le certificat au service du gestionnaire de session.
- Récupérez l’empreinte numérique du certificat (double-cliquez sur le certificat > Détails > Empreinte numérique).
- Ouvrez l’éditeur de registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Modifiez la valeur SSLThumbprint et collez l’empreinte numérique du certificat.
- Activez les écouteurs TLS Citrix.
- Au même emplacement dans le registre, définissez la valeur SSLEnabled sur 1.
- Activez HDX Direct (dans la stratégie Citrix).
Le support d’installation de Citrix Virtual Apps and Desktops inclut un script PowerShell (Enable-VdaSSL.ps1) qui automatise plusieurs de ces tâches :
- Définition des autorisations pour les clés du certificat
- Liaison du certificat au service du gestionnaire de session
- Activation des écouteurs TLS Citrix
Ce script se trouve dans le répertoire Support > Tools > SslSupport. Pour plus de détails, consultez Configurer TLS sur un VDA à l’aide du script PowerShell.
REMARQUE :
Les appareils se connectant aux hôtes de session doivent avoir les certificats d’autorité de certification racine et d’autorité de certification intermédiaire corrects installés si vous utilisez vos propres certificats.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.