Documentazione dei prodotti
Citrix DaaS
Visualizza PDF

Gestire le chiavi di sicurezza

April 14, 2023
Grazie al contributo di: 
C

Nota:

  • È necessario utilizzare questa funzione in combinazione con StoreFront 1912 LTSR CU2 o versioni successive.

  • La funzionalità Secure XML è supportata solo su Citrix ADC e Citrix Gateway versione 12.1 e successive.

Mediante questa funzione è possibile consentire solo alle macchine StoreFront e Citrix Gateway approvati di comunicare con i Citrix Delivery Controller. Dopo aver attivato questa funzione, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzione per aggiungere un ulteriore livello di sicurezza per proteggere dagli attacchi provenienti dalla rete interna.

Un flusso di lavoro generale per utilizzare questa funzione è il seguente:

  1. Visualizzare le impostazioni della chiave di sicurezza nell’interfaccia Full Configuration. (Utilizzare l’SDK Remote PowerShell)

  2. Configurare le impostazioni per la propria distribuzione. Utilizzare l’interfaccia Full Configuration o l’SDK Remote PowerShell.

  3. Configurare le impostazioni in StoreFront (utilizzare PowerShell).

  4. Configurare le impostazioni in Citrix ADC.

Visualizzare le impostazioni della chiave di sicurezza nell’interfaccia Full Configuration

Per impostazione predefinita, le impostazioni per le chiavi di sicurezza non sono visibili nell’interfaccia Full Configuration. Per visualizzarle in quell’interfaccia, utilizzare l’SDK Remote PowerShell. Per ulteriori informazioni sull’SDK Remote PowerShell, vedere SDK e API.

I passaggi dettagliati sono i seguenti:

  1. Eseguire l’SDK Remote PowerShell.
  2. In una finestra di comando, eseguire i comandi seguenti:
    • Add-PSSnapIn Citrix*. Questo comando aggiunge gli snap-in Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurare le impostazioni per la propria distribuzione

È possibile configurare le impostazioni per la distribuzione utilizzando Full Configuration o PowerShell.

Utilizzare l’interfaccia Full Configuration

Dopo aver abilitato la funzionalità, accedere a Full Configuration > Settings > Manage Security Key e fare clic su Edit. Viene visualizzato il pannello Manage Security Key. Fare clic su Save per applicare le modifiche e uscire dal pannello.

Procedura guidata Manage Security Key (Gestisci chiave di sicurezza)

Importante:

  • Vi sono due chiavi disponibili per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Si consiglia di utilizzare solo una chiave alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione delle chiavi.
  • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso, altrimenti vi sarà un’interruzione del servizio.

Fare clic sull’icona di aggiornamento per generare nuove chiavi.

Require key for communications over XML port (solo StoreFront). Se questa opzione è selezionata, viene richiesta una chiave per autenticare le comunicazioni tramite la porta XML. StoreFront comunica con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo CTX127945 del Knowledge Center.

Require key for communications over STA port. Se questa opzione selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo CTX101988 del Knowledge Center.

Dopo aver applicato le modifiche, fare clic su Close per uscire dal pannello Manage Security Key.

Utilizzare l’SDK Remote PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni eseguite nell’interfaccia Full Configuration.

  1. Eseguire l’SDK Remote PowerShell.

  2. In una finestra di comando, eseguire il comando seguente:
    • Add-PSSnapIn Citrix*
  3. Eseguire i seguenti comandi per generare una chiave e impostare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Eseguire i seguenti comandi per generare una chiave e impostare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Eseguire uno o entrambi i comandi seguenti per abilitare l’utilizzo di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni tramite la porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni tramite la porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni in StoreFront

Dopo aver completato le impostazioni per la distribuzione, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.

Sul server StoreFront eseguire i seguenti comandi di PowerShell:

  • Per configurare la chiave per le comunicazioni tramite la porta XML, utilizzare i comandi Get-STFStoreServie e Set-STFStoreService. Ad esempio:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Per configurare la chiave per le comunicazioni tramite la porta STA, utilizzare il comando New-STFSecureTicketAuthority. Ad esempio:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni in Citrix ADC

Nota:

La configurazione di questa funzionalità in Citrix ADC non è necessaria a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire la procedura riportata di seguito.

  1. Assicurarsi che sia stata applicata la seguente configurazione dei prerequisiti:

    • Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP della subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per ulteriori informazioni, vedere Configurazione degli indirizzi IP delle subnet.
      • Indirizzo IP virtuale Citrix Gateway e indirizzo IP virtuale dell’unità di bilanciamento del carico per accedere all’appliance ADC per l’avvio della sessione. Per ulteriori informazioni, vedere Creare un server virtuale.

      Indirizzo IP subnet

    • Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Mode (Configura modalità).
      • Per abilitare le funzionalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Basic Features (Configura funzionalità di base).
    • Le configurazioni relative ai certificati sono complete.
      • Viene creata la richiesta di firma del certificato (CSR). Per ulteriori informazioni, vedere Creare un certificato.

      Creare un certificato CSR

      Installare il certificato del server

      Installare il certificato CA

      • È stato creato un Citrix Gateway per Citrix DaaS (precedentemente chiamato servizio Citrix Virtual Apps and Desktops). Verificare la connettività facendo clic sul pulsante Test STA Connectivity (Verifica connettività STA) per confermare che i server virtuali sono online. Per ulteriori informazioni, vedere Configurazione di Citrix ADC per Citrix Virtual Apps and Desktops.

      Gateway per i desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per ulteriori informazioni, vedere Configurazione di un’azione di riscrittura.

    1. Accedere ad AppExpert > Rewrite (Riscrivi) > Actions (Azioni).
    2. Fare clic su Add (Aggiungi) per aggiungere una nuova azione di riscrittura. È possibile assegnare all’azione un nome come “set Type to INSERT_HTTP_HEADER” (imposta Tipo su INSERT_HTTP_HEADER).

    Aggiungere un'azione di riscrittura

    1. In Type (Tipo), selezionare INSERT_HTTP_HEADER.
    2. In Header Name (Nome intestazione), immettere X-Citrix-XmlServiceKey.
    3. In Expression (Espressione), aggiungere <XmlServiceKey1 value> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Delivery Controller desktop.

    Valore della chiave di servizio XML

  3. Aggiungere un criterio di riscrittura. Per ulteriori informazioni, vedere Configurazione di un criterio di riscrittura.

    1. Accedere ad AppExpert > Rewrite (Riscrivi) > Policies (Criteri).

    2. Fare clic su Add (Aggiungi) per aggiungere un nuovo criterio.

    Aggiungere un criterio di riscrittura

    1. In Action (Azione), selezionare l’azione creata nel passaggio precedente.
    2. In Expression (Espressione), aggiungere HTTP.REQ.IS_VALID.
    3. Fare clic su OK.

  4. Impostare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ciascun server STA. In caso contrario, le sessioni non vengono avviate.

    Per ulteriori informazioni, vedere Impostare il bilanciamento del carico di base.

    1. Creare un server virtuale di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Servers (Server).
      • Nella pagina Virtual Servers (Server virtuali), fare clic su Add (Aggiungi).

      Aggiungere un server di bilanciamento del carico

      • In Protocol (Protocollo), selezionare HTTP.
      • Aggiungere l’indirizzo IP virtuale di bilanciamento del carico e in Port (Porta) selezionare 80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Services (Servizi).

      Aggiungere un servizio di bilanciamento del carico

      • In Existing Server (Server esistente), selezionare il server virtuale creato nel passaggio precedente.
      • In Protocol (Protocollo), selezionare HTTP e in Port (Porta) selezionare 80.
      • Fare clic su OK e quindi su Done (Fine).
    3. Associare il servizio al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Services and Service Groups (Servizi e gruppi di servizi), fare clic su No Load Balancing Virtual Server Service Binding (Nessuna associazione del servizio del server virtuale con bilanciamento del carico).

      Associare il servizio a un server virtuale

      • In Service Binding (Associazione del servizio), selezionare Citrix DaaS creato in precedenza.
      • Fare clic su Bind (Associa).
    4. Associare il criterio di riscrittura creato in precedenza al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Policies (Criteri), quindi nella sezione Policies (Criteri) fare clic su +.

      Associare un criterio di riscrittura

      • In Choose Policy (Scegli criterio), selezionare Rewrite (Riscrivi) e in Choose Type (Scegli tipo) selezionare Request (Richiesta).
      • Fare clic su Continue (Continua).
      • In Select Policy (Seleziona criterio), selezionare il criterio di riscrittura creato in precedenza.
      • Fare clic su Bind (Associa).
      • Fare clic su Done (Fine).
    5. Impostare la persistenza per il server virtuale, se necessario.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Persistence (Persistenza).

      Impostare la persistenza

      • Selezionare il tipo di persistenza Others (Altro).
      • Selezionare DESTIP per creare sessioni di persistenza in base all’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione).
      • In IPv4 Netmask (Netmask IPv4), aggiungere la stessa maschera di rete del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

La configurazione cambia se l’appliance Citrix ADC è già configurata con Citrix DaaS

Se è già stata configurata l’appliance Citrix ADC con Citrix DaaS, per utilizzare la funzionalità Secure XML è necessario apportare le seguenti modifiche alla configurazione.

  • Prima dell’avvio della sessione, modificare l’URL Security Ticket Authority del gateway per utilizzare i nomi di dominio completi dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il parametro TrustRequestsSentToTheXmlServicePort sia impostato su False. Per impostazione predefinita, il parametro TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix DaaS, TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nella GUI di Citrix ADC, accedere a Configuration (Configurazione) > Integrate with Citrix Products (Integra con i prodotti Citrix) e fare clic su XenApp and XenDesktop (XenApp e XenDesktop).

  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modificare la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modificare i dettagli di StoreFront

  4. Aggiungere l’URL Secure Ticket Authority.
    • Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.

    Aggiungere URL STA

Gestire le chiavi di sicurezza
April 14, 2023
Grazie al contributo di: 
C
April 14, 2023
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.