-
Planifier et créer un déploiement
-
-
Créer des catalogues de machines
-
Pools d'identités de machines de différents types de jonction
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gestion des certificats
Vue d’ensemble
Les connexions HDX directes sont sécurisées par un cryptage au niveau du réseau. Pour faciliter ce procédé, chaque hôte de session dispose d’un certificat CA racine auto-signé unique et d’un certificat de serveur correspondant, lui-même signé par le certificat CA racine auto-signé.
Cette solution offre les avantages suivants :
- Sécurité simplifiée : les connexions HDX Direct sont sécurisées sans la charge administrative inhérente à la gestion des certificats au sein de l’environnement.
- Surface d’attaque réduite : la surface d’attaque est limitée à un seul hôte, car chaque hôte possède un ensemble unique de clés et de certificats.
- Sécurité renforcée dans les environnements non persistants : dans les environnements composés d’hôtes de session non persistants, la sécurité est renforcée à mesure que de nouvelles clés et de nouveaux certificats sont générés au redémarrage.
Hôte de la session
Citrix ClxMtp et Citrix Certificate Manager sont les deux services responsables de la gestion des certificats sur chaque hôte de session. Le service ClxMtp se charge de la génération et de la rotation des clés, tandis que le service Certificate Manager génère et gère les certificats.
Deux certificats sont créés : un certificat d’autorité de certification racine auto-signé et un certificat de serveur. Les deux sont délivrés avec une période de validité de deux ans, mais sont remplacés lors de la rotation des clés. De plus, de nouveaux certificats sont générés à chaque redémarrage de machines non persistantes.
Les détails de chaque certificat sont les suivants :
-
Autorité de certification racine auto-signée
- Délivré à : CA-Citrix-Certificate-Manager
- Émis par : CA-Citrix-Certificate-Manager
- Informations sur l’émetteur : l’entreprise est Citrix Systems, Inc.
-
Certificat de serveur
- Délivré à : <Nom complet de l’hôte> (par exemple, FTLW11-001.ctxlab.net)
- Émis par : CA-Citrix-Certificate-Manager
- Informations sur l’émetteur : l’entreprise est Citrix Systems, Inc.
REMARQUE :
Le service Citrix Certificate Manager génère des certificats RSA qui exploitent des clés de 2 048 bits.
Si un certificat de machine existant a été créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au nom de domaine complet de la machine, un nouveau certificat est généré.
Rotation des clés
Le service Citrix ClxMtp effectue automatiquement une rotation des clés tous les six mois. Cependant, vous pouvez déclencher une rotation de clé manuellement en augmentant le compteur de rotation dans le registre de l’hôte de session.
Pour activer la rotation des clés, mettez à jour la valeur suivante :
- Clé : SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Type de valeur : DWORD
- Nom de la valeur : ClxMtpRotateRequestCounter
- Données : entier (décimal)
REMARQUE :
Pour la première rotation des clés :
- Créez la clé ClxMtpConnectorSvcRotateKeyPairs.
- Créez et définissez la valeur ClxMtpRotateRequestCounter sur 1.
Pour les rotations de clés suivantes, augmentez la valeur ClxMtpRotateRequestCounter de 1.
Une fois la valeur mise à jour, le service Citrix ClxMtp exécutera automatiquement la rotation des clés sans nécessiter de redémarrage. Le service Citrix Certificate Manager générera alors de nouveaux certificats automatiquement une fois qu’il détectera de nouvelles clés.
Machine cliente
Le certificat CA racine est envoyé au client par Workspace ou Storefront via le chemin de connexion sécurisé et fiable déjà établi. Avec ce procédé, il n’est plus nécessaire de distribuer les certificats CA aux magasins de certificats des machines clientes et la fiabilité des certificats utilisés pour sécuriser les connexions HDX Direct est garantie.
Utilisation de certificats personnalisés
HDX Direct prend en charge l’utilisation de certificats émis et gérés par votre propre PKI. Les étapes suivantes décrivent comment installer votre certificat, configurer les autorisations nécessaires, le lier au service gestionnaire de session et activer les écouteurs TLS requis.
- Si HDX Direct est désactivé sur la machine, passez à l’étape 2. Si HDX Direct est activé, suivez les étapes ci-dessous :
- Ouvrez l’éditeur de registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Définissez la valeur SSLEnabled sur 0.
- Accédez à HKLM\Software\Citrix\HDX-Direct.
- Définissez la valeur HdxDirectCaInTls sur 0.
-
Installez le certificat approprié émis par votre PKI sur le magasin de certificats de la machine.
- Accordez au service gestionnaire de session un accès en lecture aux clés privées du certificat.
- Lancez la console de gestion Microsoft (MMC) : Démarrer > Exécuter > mmc.exe.
- Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable.
- Sélectionnez Certificats, puis cliquez sur Ajouter.
- Choisissez Compte d’ordinateur et cliquez sur Suivant.
- Sélectionnez Ordinateur local et cliquez sur Terminer.
- Accédez à Certificats (ordinateur local) > Personnel > Certificats.
- Faites un clic droit sur le certificat approprié et sélectionnez Toutes les tâches > Gérer les clés privées.
- Ajoutez l’un des services suivants et accordez-lui un accès en lecture :
- Pour VDA mono-session :
NT SERVICE\PorticaService - Pour VDA multisession :
SERVICE NT\TermService
- Pour VDA mono-session :
- Cliquez sur Appliquer, puis sur OK.
- Liez le certificat au service gestionnaire de session.
- Récupérez l’empreinte du certificat (double-cliquez sur le certificat > Détails > Empreinte).
- Ouvrez l’éditeur de registre (regedit.exe) et accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Modifiez la valeur SSLThumbprint et collez l’empreinte numérique du certificat.
- Activez les écouteurs Citrix TLS.
- Dans le même emplacement de registre, définissez la valeur SSLEnabled sur 1.
- Activer HDX Direct (dans Stratégie Citrix).
Le support d’installation de Citrix Virtual Apps and Desktops inclut un script PowerShell (Enable-VdaSSL.ps1) qui automatise plusieurs de ces tâches :
- Définition des autorisations pour les clés du certificat
- Liaison du certificat au service gestionnaire de session
- Activation des écouteurs Citrix TLS
Ce script se trouve dans le répertoire Support > Outils > SslSupport. Pour plus d’informations, consultez Configurer TLS sur un VDA à l’aide du script PowerShell.
REMARQUE :
Les machines se connectant aux hôtes de session doivent disposer des certificats CA racine et CA intermédiaire appropriés installés si vous utilisez vos propres certificats.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.