Citrix Virtual Apps and Desktops

Gestire le chiavi di sicurezza

Nota:

  • È necessario utilizzare questa funzione in combinazione con StoreFront 1912 LTSR CU2 o versioni successive.

  • La funzionalità Secure XML è supportata solo su Citrix ADC e Citrix Gateway versione 12.1 e successive.

Mediante questa funzione è possibile consentire solo ai computer StoreFront e Citrix Gateway approvati di comunicare con i Citrix Delivery Controller. Dopo aver attivato questa funzione, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzione per aggiungere un ulteriore livello di sicurezza per proteggere dagli attacchi provenienti dalla rete interna.

Un flusso di lavoro generale per utilizzare questa funzione è il seguente:

  1. Abilitare la funzione in Studio utilizzando PowerShell SDK.

  2. Configurare le impostazioni in Studio (utilizzare la console Studio o PowerShell).

  3. Configurare le impostazioni in StoreFront (utilizzare PowerShell).

  4. Configurare le impostazioni in Citrix ADC.

Attivare la funzione chiave di sicurezza

Per impostazione predefinita la funzione è disabilitata. Per abilitarla, utilizzare l’SDK Remote PowerShell. Per ulteriori informazioni sull’SDK Remote PowerShell, vedere SDK e API.

Per abilitare la funzionalità, attenersi alla seguente procedura:

  1. Eseguire l’SDK Remote PowerShell di Citrix Virtual Apps and Desktops.
  2. In una finestra di comando, eseguire i comandi seguenti:
    • Add-PSSnapIn Citrix*. Questo comando aggiunge gli snap-in Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Configurare le impostazioni in Studio

È possibile configurare le impostazioni in Studio utilizzando la console Studio o PowerShell.

Utilizzare la console Studio

Dopo aver abilitato la funzionalità, accedere a Studio > Settings (Impostazioni) > Manage Security Key (Gestisci chiave di sicurezza) e fare clic su Edit (Modifica). Viene visualizzata la finestra Manage Security Key (Gestisci chiave di sicurezza). Fare clic su Save (Salva) per applicare le modifiche e uscire dalla finestra.

Procedura guidata Manage Security Key (Gestisci chiave di sicurezza)

Importante:

  • Vi sono due chiavi disponibili per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Si consiglia di utilizzare solo una chiave alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione delle chiavi.
  • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso, altrimenti vi sarà un’interruzione del servizio.

Fare clic sull’icona di aggiornamento per generare nuove chiavi.

Require key for communications over XML port (solo StoreFront). Se questa opzione è selezionata, viene richiesta una chiave per autenticare le comunicazioni tramite la porta XML. StoreFront comunica con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo CTX127945 del Knowledge Center.

Require key for communications over STA port. Se questa opzione selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo CTX101988 del Knowledge Center.

Dopo aver applicato le modifiche, fare clic su Chiudi per uscire dalla finestra Manage Security Key.

Usa PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni di Studio.

  1. Eseguire l’SDK Remote PowerShell di Citrix Virtual Apps and Desktops.

  2. In una finestra di comando, eseguire il comando seguente:
    • Add-PSSnapIn Citrix*
  3. Eseguire i seguenti comandi per generare una chiave e impostare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Eseguire i seguenti comandi per generare una chiave e impostare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Eseguire uno o entrambi i comandi seguenti per abilitare l’utilizzo di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni tramite la porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni tramite la porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni in StoreFront

Dopo aver completato la configurazione in Studio, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.

Sul server StoreFront eseguire i seguenti comandi di PowerShell:

  • Per configurare la chiave per le comunicazioni tramite la porta XML, utilizzare i comandi Get-STFStoreServie e Set-STFStoreService. Ad esempio:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Per configurare la chiave per le comunicazioni tramite la porta STA, utilizzare il comando New-STFSecureTicketAuthority. Ad esempio:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni in Citrix ADC

Nota:

La configurazione di questa funzionalità in Citrix ADC non è necessaria a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire la procedura riportata di seguito.

  1. Assicurarsi che sia stata applicata la seguente configurazione dei prerequisiti:

    • Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP della subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per ulteriori informazioni, vedere Configurazione degli indirizzi IP delle subnet.
      • Indirizzo IP virtuale Citrix Gateway e indirizzo IP virtuale dell’unità di bilanciamento del carico per accedere all’appliance ADC per l’avvio della sessione. Per ulteriori informazioni, vedere Creare un server virtuale.

      Indirizzo IP subnet

    • Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Mode (Configura modalità).
      • Per abilitare le funzionalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Basic Features (Configura funzionalità di base).
    • Le configurazioni relative ai certificati sono complete.
      • Viene creata la richiesta di firma del certificato (CSR). Per ulteriori informazioni, vedere Creare un certificato.

      Creare un certificato CSR

      Installare il certificato del server

      Installare il certificato CA

      Gateway per i desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per ulteriori informazioni, vedere Configurazione di un’azione di riscrittura.

    1. Accedere ad AppExpert > Rewrite (Riscrivi) > Actions (Azioni).
    2. Fare clic su Add (Aggiungi) per aggiungere una nuova azione di riscrittura. È possibile assegnare all’azione un nome come “set Type to INSERT_HTTP_HEADER” (imposta Tipo su INSERT_HTTP_HEADER).

    Aggiungere un'azione di riscrittura

    1. In Type (Tipo), selezionare INSERT_HTTP_HEADER.
    2. In Header Name (Nome intestazione), immettere X-Citrix-XmlServiceKey.
    3. In Expression (Espressione), aggiungere <XmlServiceKey1 value> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Delivery Controller desktop.

    Valore della chiave di servizio XML

  3. Aggiungere un criterio di riscrittura. Per ulteriori informazioni, vedere Configurazione di un criterio di riscrittura.
    1. Accedere ad AppExpert > Rewrite (Riscrivi) > Policies (Criteri).

    2. Fare clic su Add (Aggiungi) per aggiungere un nuovo criterio.

    Aggiungere un criterio di riscrittura

    1. In Action (Azione), selezionare l’azione creata nel passaggio precedente.
    2. In Expression (Espressione), aggiungere HTTP.REQ.IS_VALID.
    3. Fare clic su OK.
  4. Impostare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ciascun server STA. In caso contrario, le sessioni non vengono avviate.

    Per ulteriori informazioni, vedere Impostare il bilanciamento del carico di base.

    1. Creare un server virtuale di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Servers (Server).
      • Nella pagina Virtual Servers (Server virtuali), fare clic su Add (Aggiungi).

      Aggiungere un server di bilanciamento del carico

      • In Protocol (Protocollo), selezionare HTTP.
      • Aggiungere l’indirizzo IP virtuale di bilanciamento del carico e in Port (Porta) selezionare 80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Services (Servizi).

      Aggiungere un servizio di bilanciamento del carico

      • In Existing Server (Server esistente), selezionare il server virtuale creato nel passaggio precedente.
      • In Protocol (Protocollo), selezionare HTTP e in Port (Porta) selezionare 80.
      • Fare clic su OK e quindi su Done (Fine).
    3. Associare il servizio al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Services and Service Groups (Servizi e gruppi di servizi), fare clic su No Load Balancing Virtual Server Service Binding (Nessuna associazione del servizio del server virtuale con bilanciamento del carico).

      Associare il servizio a un server virtuale

      • In Service Binding (Associazione a servizio), selezionare il servizio creato in precedenza.
      • Fare clic su Bind (Associa).
    4. Associare il criterio di riscrittura creato in precedenza al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Policies (Criteri), quindi nella sezione Policies (Criteri) fare clic su +.

      Associare un criterio di riscrittura

      • In Choose Policy (Scegli criterio), selezionare Rewrite (Riscrivi) e in Choose Type (Scegli tipo) selezionare Request (Richiesta).
      • Fare clic su Continue (Continua).
      • In Select Policy (Seleziona criterio), selezionare il criterio di riscrittura creato in precedenza.
      • Fare clic su Bind (Associa).
      • Fare clic su Done (Fine).
    5. Impostare la persistenza per il server virtuale, se necessario.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Persistence (Persistenza).

      Impostare la persistenza

      • Selezionare il tipo di persistenza Others (Altro).
      • Selezionare DESTIP per creare sessioni di persistenza in base all’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione).
      • In IPv4 Netmask (Netmask IPv4), aggiungere la stessa maschera di rete del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

La configurazione cambia se l’appliance Citrix ADC è già configurata con Citrix Virtual Desktops

Se è già stata configurata l’appliance Citrix ADC con Citrix Virtual Desktops, per utilizzare la funzionalità Secure XML è necessario apportare le seguenti modifiche alla configurazione.

  • Prima dell’avvio della sessione, modificare l’URL Security Ticket Authority del gateway per utilizzare i nomi di dominio completi dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il parametro TrustRequestsSentToTheXmlServicePort sia impostato su False. Per impostazione predefinita, il parametro TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix Virtual Desktops, TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nella GUI di Citrix ADC, accedere a Configuration (Configurazione) > Integrate with Citrix Products (Integra con i prodotti Citrix) e fare clic su XenApp and XenDesktop (XenApp e XenDesktop).
  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modificare la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modificare i dettagli di StoreFront

  4. Aggiungere l’URL Secure Ticket Authority.
    • Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.

    Aggiungere URL STA

Gestire le chiavi di sicurezza