Citrix Virtual Apps and Desktops

Gestisci le chiavi di sicurezza

Nota:

È necessario utilizzare questa funzionalità in combinazione con StoreFront 1912 LTSR CU2 o versione successiva.

Questa funzionalità consente di consentire solo alle macchine StoreFront e Citrix Gateway approvate di comunicare con i Citrix Delivery Controller. Dopo aver abilitato questa funzionalità, tutte le richieste che non contengono la chiave verranno bloccate. Utilizzare questa funzionalità per aggiungere un ulteriore livello di sicurezza per proteggersi dagli attacchi provenienti dalla rete interna.

Un flusso di lavoro generale per utilizzare questa funzionalità è il seguente:

  1. Abilita Studio per mostrare le impostazioni delle funzionalità.

  2. Configura le impostazioni per il tuo sito (utilizza la console Studio o PowerShell).

  3. Configurare le impostazioni in StoreFront (utilizzare PowerShell).

  4. Configurare le impostazioni in Citrix ADC (utilizzare PowerShell).

Abilita Studio per mostrare le impostazioni delle funzionalità

Per impostazione predefinita, le impostazioni per le chiavi di sicurezza sono nascoste in Studio. Per consentire a Studio di visualizzarli, utilizzare PowerShell SDK come segue:

Per abilitare la funzionalità, procedere come segue:

  1. Eseguire Citrix Virtual Apps and Desktops Remote PowerShell SDK.
  2. In una finestra di comando, eseguire i seguenti comandi:
    • Aggiungi-PSSnapIn Citrix*. Questo comando aggiunge gli snap-in Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Per ulteriori informazioni sull’SDK Remote PowerShell, vedere SDK e API.

Configura le impostazioni per il tuo sito

È possibile configurare le impostazioni in Studio utilizzando la console di Studio o PowerShell.

Utilizzare la console Studio

Dopo aver abilitato Studio per mostrare le impostazioni delle funzionalità, vai a Studio > Configurazione > Gestisci chiave di sicurezza. Potrebbe essere necessario fare clic su Aggiorna affinché venga visualizzata l’opzione Gestisci chiave di sicurezza .

La finestra Gestisci chiave di sicurezza viene visualizzata dopo aver fatto clic su Gestisci chiave di sicurezza.

Procedura guidata Gestisci chiave di sicurezza

Importante:

  • Sono disponibili due chiavi. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Ti consigliamo di utilizzare una sola chiave alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione della chiave.
  • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso. In caso contrario, si verificherà un’interruzione del servizio.

Fare clic sull’icona di aggiornamento per generare nuove chiavi.

Richiede chiave per le comunicazioni tramite porta XML (solo StoreFront). Se selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta XML. StoreFront comunica con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo del Knowledge Center CTX127945.

Richiede chiave per le comunicazioni sulla porta STA. Se selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo del Knowledge Center CTX101988.

Dopo aver applicato le modifiche, fare clic su Chiudi per uscire dalla finestra Gestisci chiave di sicurezza .

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni di Studio.

  1. Eseguire Citrix Virtual Apps and Desktops Remote PowerShell SDK.

  2. In una finestra di comando, eseguire il seguente comando:
    • Add-PSSnapIn Citrix*
  3. Eseguire i seguenti comandi per generare una chiave e configurare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Eseguire i seguenti comandi per generare una chiave e configurare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Eseguire uno o entrambi i seguenti comandi per abilitare l’uso di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni tramite la porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni sulla porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Per istruzioni e sintassi, consultare la guida dei comandi di PowerShell.

Configurare le impostazioni in StoreFront

Dopo aver completato la configurazione in Studio, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.

Sul server StoreFront, eseguire i seguenti comandi PowerShell:

Per configurare la chiave per le comunicazioni sulla porta XML, utilizzare il comando [Set-STFStoreFarm https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Per esempio
  $store = Get-STFStoreService -VirtualPath [Path to store]
  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Immettere i valori appropriati per i seguenti parametri:

  • Path to store
  • Resource feed name
  • secret

Per configurare la chiave per le comunicazioni sulla porta STA, utilizzare i comandi New-STFSecureTicketAuthority e Set-STFRoamingGateway . Per esempio:

  $gateway = Get-STFRoamingGateway -Name [Gateway name]
  $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Immettere i valori appropriati per i seguenti parametri:

  • Gateway name
  • STA URL
  • Secret

Per istruzioni e sintassi, consultare la guida dei comandi di PowerShell.

Configurare le impostazioni in Citrix ADC

Nota:

La configurazione di questa funzionalità in Citrix ADC non è richiesta, a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire i passaggi indicati di seguito.

  1. Assicurarsi che la seguente configurazione dei prerequisiti sia già in atto:

    • Sono configurati i seguenti indirizzi IP correlati a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP di subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per maggiori dettagli, vedere Configurazione degli indirizzi IP della subnet.
      • Indirizzo IP virtuale di Citrix Gateway e indirizzo IP virtuale del bilanciatore del carico per accedere all’appliance ADC per l’avvio della sessione. Per i dettagli, vedere Crea un server virtuale.

      Indirizzo IP della sottorete

    • Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nell’interfaccia utente grafica di Citrix ADC andare su Sistema > Impostazioni > Configura modalità.
      • Per abilitare le funzionalità, nell’interfaccia utente grafica di Citrix ADC andare su Sistema > Impostazioni > Configura funzionalità di base.
    • Le configurazioni relative ai certificati sono complete.
      • Viene creata la richiesta di firma del certificato (CSR). Per maggiori dettagli, vedere Creare un certificato.

      Crea un certificato CSR

      Installa il certificato del server

      Installa il certificato CA

      Gateway per desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per maggiori dettagli, vedere Configurazione di un’azione di riscrittura.

    1. Vai a AppExpert > Riscrivi > Azioni.
    2. Fare clic su Aggiungi per aggiungere un’azione di riscrittura. È possibile denominare l’azione “imposta tipo su INSERT_HTTP_HEADER”.

    Aggiungi azione di riscrittura

    1. In digita, seleziona INSERT_HTTP_HEADER.
    2. In Nome intestazione, immettere X-Citrix-XmlServiceKey.
    3. Nell’espressione **, aggiungere <XmlServiceKey1 value> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Desktop Delivery Controller.

    Valore chiave del servizio XML

  3. Aggiungere una politica di riscrittura. Per maggiori dettagli, vedere Configurazione di un criterio di riscrittura.
    1. Vai a AppExpert > Riscrivi > Criteri.

    2. Fare clic su Aggiungi per aggiungere una policy.

    Aggiungere la politica di riscrittura

    1. In Azione, seleziona l’azione creata nel passaggio precedente.
    2. Nell’espressione **, aggiungere HTTP.REQ.IS_VALID.
    3. Fare clic su OK.
  4. Imposta il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ogni server STA. In caso contrario, le sessioni non verranno avviate.

    Per maggiori dettagli, vedere Imposta il bilanciamento del carico di base.

    1. Creare un server virtuale per il bilanciamento del carico.
      • Vai a Gestione del traffico > Bilanciamento del carico > Server.
      • Nella pagina Server virtuali , fare clic su Aggiungi.

      Aggiungere un server di bilanciamento del carico

      • Nel protocollo **, seleziona **HTTP.
      • Aggiungere l’indirizzo IP virtuale per il bilanciamento del carico e nella porta ** selezionare **80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Vai a Gestione del traffico > Bilanciamento del carico > Servizi.

      Aggiungere un servizio di bilanciamento del carico

      • In Server esistente, seleziona il server virtuale creato nel passaggio precedente.
      • In Protocollo, seleziona HTTP e in Porta seleziona 80.
      • Fare clic su OK, e quindi fare clic su Fatto.
    3. Associare il servizio al server virtuale.
      • Seleziona il server virtuale creato in precedenza e fai clic su Modifica.
      • In Servizi e gruppi di servizi, fare clic su Nessun collegamento al servizio del server virtuale con bilanciamento del carico.

      Associare il servizio a un server virtuale

      • In Service Binding, seleziona il servizio creato in precedenza.
      • Fare clic su Associa.
    4. Associare il criterio di riscrittura creato in precedenza al server virtuale.
      • Seleziona il server virtuale creato in precedenza e fai clic su Modifica.
      • In Impostazioni avanzate, clicca su Criteri, e poi nella sezione Criteri clicca su +.

      Politica di riscrittura del binding

      • In Scegli Policy, seleziona Riscrivi e in Scegli Tipo, seleziona Richiesta.
      • Fai clic su Continua.
      • In Seleziona Policy, seleziona la policy di riscrittura creata in precedenza.
      • Fare clic su Associa.
      • Fai clic su Fatto.
    5. Se necessario, impostare la persistenza per il server virtuale.
      • Seleziona il server virtuale creato in precedenza e fai clic su Modifica.
      • Nelle Impostazioni avanzate, fare clic su Persistenza.

      Imposta la persistenza

      • Seleziona il tipo di persistenza come Altri.
      • Selezionare DESTIP per creare sessioni di persistenza basate sull’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione)
      • In IPv4 Netmask, aggiungere la stessa maschera di rete del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

Modifiche alla configurazione se l’appliance Citrix ADC è già configurata con Citrix Virtual Desktops

Se hai già configurato l’appliance Citrix ADC con Citrix Virtual Desktops, per utilizzare la funzionalità Secure XML devi apportare le seguenti modifiche alla configurazione.

  • Prima di avviare la sessione, modificare l’URL della Security Ticket Authority del gateway per utilizzare gli FQDN dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il parametro TrustRequestsSentToTheXmlServicePort sia impostato su False. Per impostazione predefinita, il parametro TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix Virtual Desktops, TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nell’interfaccia utente grafica di Citrix ADC, vai su Configurazione > Integrazione con prodotti Citrix e fai clic su XenApp e XenDesktop.
  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modifica la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modifica i dettagli di StoreFront

  4. Aggiungere l’URL della Secure Ticket Authority **.
    • Se la funzionalità XML sicuro è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità XML sicuro è disabilitata, l’URL STA deve essere l’URL di STA (indirizzo DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.

    Aggiungi URL STA

Gestisci le chiavi di sicurezza