-
Pianificare e creare una distribuzione
-
Creare e gestire le connessioni
-
Creare cataloghi di macchine con immagini preparate
-
Creare un'immagine preparata per le istanze gestite di Amazon WorkSpaces Core
-
Creare un catalogo di istanze gestite di Amazon WorkSpaces Core
-
Creare un catalogo di macchine con immagini preparate in Azure
-
Creare un catalogo di macchine con immagini preparate in Red Hat OpenShift
-
Creare un catalogo di macchine con immagini preparate in VMware
-
Creare un catalogo di macchine con immagini preparate in XenServer
-
-
Pool di identità di diversi tipi di join di identità delle macchine
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gestione dei certificati
Panoramica
Le connessioni dirette HDX™ sono protette con crittografia a livello di rete. Per facilitare ciò, ogni host di sessione dispone di un certificato CA radice autofirmato univoco e di un certificato server corrispondente, firmato dal certificato CA radice autofirmato.
Questa soluzione offre i seguenti vantaggi:
- Sicurezza ottimizzata: Le connessioni dirette HDX sono protette senza il sovraccarico amministrativo della gestione dei certificati all’interno dell’ambiente.
- Superficie di attacco ridotta: La superficie di attacco è limitata a un singolo host perché ogni host ha un set univoco di chiavi e certificati.
- Sicurezza migliorata per ambienti non persistenti: Negli ambienti con host di sessione non persistenti, la sicurezza è ulteriormente migliorata poiché nuove chiavi e certificati vengono generati al riavvio.
Host di sessione
Il Citrix ClxMtp Service e il Citrix Certificate Manager Service sono i due servizi responsabili della gestione dei certificati su ciascun host di sessione. Il servizio ClxMtp gestisce la generazione e la rotazione delle chiavi, mentre il servizio Certificate Manager genera e gestisce i certificati.
Vengono creati due certificati: una CA radice autofirmata e un certificato server. Entrambi vengono emessi con un periodo di validità di due anni; tuttavia, vengono sostituiti quando le chiavi vengono ruotate. Inoltre, nuovi certificati vengono generati ogni volta che le macchine non persistenti vengono riavviate.
I dettagli per ciascun certificato sono i seguenti:
-
CA radice autofirmata
- Rilasciato a: CA-Citrix-Certificate-Manager
- Rilasciato da: CA-Citrix-Certificate-Manager
- Dettagli emittente: L’organizzazione è Citrix Systems, Inc.
-
Certificato server
- Rilasciato a: <FQDN host> (Ad esempio, FTLW11-001.ctxlab.net)
- Rilasciato da: CA-Citrix-Certificate-Manager
- Dettagli emittente: L’organizzazione è Citrix Systems, Inc.
NOTA:
Il Citrix Certificate Manager Service genera certificati RSA che utilizzano chiavi a 2048 bit.
Se esiste un certificato macchina creato dal Citrix Certificate Manager Service e il nome del soggetto non corrisponde all’FQDN della macchina, viene generato un nuovo certificato.
Rotazione delle chiavi
Il Citrix ClxMtp Service ruota automaticamente le chiavi ogni sei mesi. Tuttavia, è possibile attivare manualmente la rotazione delle chiavi aumentando il contatore di rotazione nel registro dell’host di sessione.
Per ruotare le chiavi, aggiornare il seguente valore:
- Chiave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Tipo di valore: DWORD
- Nome valore: ClxMtpRotateRequestCounter
- Dati: integer (Decimale)
NOTA:
Per la prima rotazione delle chiavi:
- Creare la chiave ClxMtpConnectorSvcRotateKeyPairs.
- Creare e impostare il valore ClxMtpRotateRequestCounter su 1.
Per le rotazioni successive delle chiavi, aumentare il valore ClxMtpRotateRequestCounter di 1.
Una volta aggiornato il valore, il Citrix ClxMtp Service ruoterà automaticamente le chiavi senza richiedere un riavvio. Il Citrix Certificate Manager Service genererà quindi automaticamente nuovi certificati una volta rilevate le nuove chiavi.
Dispositivo client
Il certificato CA radice viene inviato al client da Workspace o Storefront™ tramite il percorso di connessione sicuro e affidabile già stabilito. Ciò elimina la necessità di distribuire i certificati CA negli archivi certificati dei dispositivi client e garantisce che il client si fidi dei certificati utilizzati per proteggere la connessione diretta HDX.
Utilizzo di certificati personalizzati
HDX Direct supporta l’uso di certificati emessi e gestiti dalla propria PKI. I passaggi seguenti descrivono come installare il certificato, configurare le autorizzazioni necessarie, associarlo al servizio di gestione sessioni e abilitare i listener TLS richiesti.
- Procedere al passaggio 2 se HDX Direct è disabilitato sulla macchina. Se HDX Direct è abilitato, seguire i passaggi seguenti:
- Aprire l’editor del registro (regedit.exe) e passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Impostare il valore SSLEnabled su 0.
- Passare a HKLM\Software\Citrix\HDX-Direct.
- Impostare il valore HdxDirectCaInTls su 0.
-
Installare il certificato appropriato emesso dalla propria PKI nell’archivio certificati della macchina.
- Concedere al servizio di gestione sessioni l’accesso in lettura alle chiavi private del certificato.
- Avviare la console di gestione Microsoft (MMC): Start > Esegui > mmc.exe.
- Passare a File > Aggiungi/Rimuovi snap-in.
- Selezionare Certificati, quindi fare clic su Aggiungi.
- Scegliere Account computer e fare clic su Avanti.
- Selezionare Computer locale e fare clic su Fine.
- Passare a Certificati (computer locale) > Personale > Certificati.
- Fare clic con il pulsante destro del mouse sul certificato appropriato e selezionare Tutte le attività > Gestisci chiavi private.
- Aggiungere uno dei seguenti servizi e concedergli l’accesso in lettura:
- Per VDA a sessione singola:
NT SERVICE\PorticaService - Per VDA a sessione multipla:
NT SERVICE\TermService
- Per VDA a sessione singola:
- Fare clic su Applica, quindi su OK.
- Associare il certificato al servizio di gestione sessioni.
- Recuperare l’identificazione personale del certificato (fare doppio clic sul certificato > Dettagli > Identificazione personale).
- Aprire l’editor del registro (regedit.exe) e passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Modificare il valore SSLThumbprint e incollare l’identificazione personale del certificato.
- Abilitare i listener TLS di Citrix.
- Nella stessa posizione del registro, impostare il valore SSLEnabled su 1.
- Abilitare HDX Direct (in Criteri Citrix).
Il supporto di installazione di Citrix Virtual Apps and Desktops include uno script PowerShell (Enable-VdaSSL.ps1) che automatizza diverse di queste attività:
- Impostazione delle autorizzazioni per le chiavi del certificato
- Associazione del certificato al servizio di gestione sessioni
- Abilitazione dei listener TLS di Citrix
Questo script si trova nella directory Support > Tools > SslSupport. Per maggiori dettagli, vedere Configurare TLS su un VDA utilizzando lo script PowerShell.
NOTA:
I dispositivi che si connettono agli host di sessione devono avere installati i certificati CA radice e CA intermedia corretti se si utilizzano i propri certificati.
Condividi
Condividi
In questo articolo
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.