Gestire le chiavi di sicurezza
Nota:
È necessario utilizzare questa funzione in combinazione con StoreFront 1912 LTSR CU2 o versioni successive.
La funzionalità Secure XML è supportata solo su Citrix ADC e Citrix Gateway versione 12.1 e successive.
Mediante questa funzione è possibile consentire solo alle macchine StoreFront e Citrix Gateway approvati di comunicare con i Citrix Delivery Controller. Dopo aver attivato questa funzione, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzione per aggiungere un ulteriore livello di sicurezza per proteggere dagli attacchi provenienti dalla rete interna.
Un flusso di lavoro generale per utilizzare questa funzione è il seguente:
-
Abilitare Studio per visualizzare le impostazioni delle funzionalità.
-
Configurare le impostazioni del proprio sito.
-
Configurare le impostazioni in StoreFront
-
Configurare le impostazioni in Citrix ADC.
Abilitare Studio per visualizzare le impostazioni delle funzionalità
Per impostazione predefinita, le impostazioni per le chiavi di sicurezza sono nascoste da Studio. Per consentire a Studio di visualizzarli, utilizzare l’SDK PowerShell come segue:
- Eseguire l’SDK PowerShell di Citrix Virtual Apps and Desktops.
- In una finestra di comando, eseguire i comandi seguenti:
-
Add-PSSnapIn Citrix*
. Questo comando aggiunge gli snap-in Citrix. Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"
-
Per ulteriori informazioni sull’SDK PowerShell, vedere SDK e API.
Configurare le impostazioni del sito
È possibile utilizzare Web Studio o PowerShell per configurare le impostazioni delle chiavi di sicurezza per il sito.
Utilizzare la console Studio
-
Accedere a Studio > Settings (Impostazioni) > Manage Security Key (Gestisci chiave di sicurezza) e fare clic su Edit (Modifica). Viene visualizzata la finestra Manage Security Key (Gestisci chiave di sicurezza).
Importante:
- Vi sono due chiavi disponibili per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Si consiglia di utilizzare solo una chiave alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione delle chiavi.
- Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso, altrimenti vi sarà un’interruzione del servizio.
-
Fare clic sull’icona di aggiornamento per generare nuove chiavi.
-
Selezionare dove è richiesta una chiave:
-
Require key for communications over XML port (solo StoreFront). Se questa opzione è selezionata, viene richiesta una chiave per autenticare le comunicazioni tramite la porta XML. StoreFront comunica con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo CTX127945 del Knowledge Center.
-
Require key for communications over STA port. Se questa opzione selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo CTX101988 del Knowledge Center.
-
-
Fare clic su Save (Salva) per applicare le modifiche e uscire dalla finestra.
Utilizzare PowerShell
Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni di Studio.
-
Eseguire l’SDK Remote PowerShell di Citrix Virtual Apps and Desktops.
- In una finestra di comando, eseguire il comando seguente:
Add-PSSnapIn Citrix*
- Eseguire i seguenti comandi per generare una chiave e impostare Key1:
New-BrokerXmlServiceKey
Set-BrokerSite -XmlServiceKey1 <the key you generated>
- Eseguire i seguenti comandi per generare una chiave e impostare Key2:
New-BrokerXmlServiceKey
Set-BrokerSite -XmlServiceKey2 <the key you generated>
- Eseguire uno o entrambi i comandi seguenti per abilitare l’utilizzo di una chiave nell’autenticazione delle comunicazioni:
- Per autenticare le comunicazioni tramite la porta XML:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- Per autenticare le comunicazioni tramite la porta STA:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- Per autenticare le comunicazioni tramite la porta XML:
Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.
Configurare le impostazioni in StoreFront
Dopo aver completato la configurazione del proprio sito, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.
Sul server StoreFront eseguire i seguenti comandi di PowerShell:
- Per configurare la chiave per le comunicazioni tramite la porta XML, utilizzare i comandi
Get-STFStoreServie
eSet-STFStoreService
. Ad esempio:PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
- Per configurare la chiave per le comunicazioni tramite la porta STA, utilizzare il comando
New-STFSecureTicketAuthority
. Ad esempio:PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>
Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.
Configurare le impostazioni in Citrix ADC
Nota:
La configurazione di questa funzionalità in Citrix ADC non è necessaria a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire la procedura riportata di seguito.
-
Assicurarsi che sia stata applicata la seguente configurazione dei prerequisiti:
- Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.
- Indirizzo Citrix ADC Management IP (NSIP) per l’accesso alla console Citrix ADC. Per ulteriori informazioni, vedere Configurazione dell’indirizzo NSIP.
- Indirizzo IP della subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per ulteriori informazioni, vedere Configurazione degli indirizzi IP delle subnet.
- Indirizzo IP virtuale Citrix Gateway e indirizzo IP virtuale dell’unità di bilanciamento del carico per accedere all’appliance ADC per l’avvio della sessione. Per ulteriori informazioni, vedere Creare un server virtuale.
- Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
- Per abilitare le modalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Mode (Configura modalità).
- Per abilitare le funzionalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Basic Features (Configura funzionalità di base).
- Le configurazioni relative ai certificati sono complete.
- Viene creata la richiesta di firma del certificato (CSR). Per ulteriori informazioni, vedere Creare un certificato.
- I certificati del server e CA e i certificati radice sono installati. Per ulteriori informazioni, vedere Installazione, collegamento e aggiornamenti.
- È stato creato un Citrix Gateway per Citrix Virtual Desktops. Verificare la connettività facendo clic sul pulsante Test STA Connectivity (Verifica connettività STA) per confermare che i server virtuali sono online. Per ulteriori informazioni, vedere Configurazione di Citrix ADC per Citrix Virtual Apps and Desktops.
- Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.
-
Aggiungere un’azione di riscrittura. Per ulteriori informazioni, vedere Configurazione di un’azione di riscrittura.
- Accedere ad AppExpert > Rewrite (Riscrivi) > Actions (Azioni).
- Fare clic su Add (Aggiungi) per aggiungere una nuova azione di riscrittura. È possibile assegnare all’azione un nome come “set Type to INSERT_HTTP_HEADER” (imposta Tipo su INSERT_HTTP_HEADER).
- In Type (Tipo), selezionare INSERT_HTTP_HEADER.
- In Header Name (Nome intestazione), immettere X-Citrix-XmlServiceKey.
- In Expression (Espressione), aggiungere
<XmlServiceKey1 value>
con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Delivery Controller desktop.
- Aggiungere un criterio di riscrittura. Per ulteriori informazioni, vedere Configurazione di un criterio di riscrittura.
-
Accedere ad AppExpert > Rewrite (Riscrivi) > Policies (Criteri).
-
Fare clic su Add (Aggiungi) per aggiungere un nuovo criterio.
- In Action (Azione), selezionare l’azione creata nel passaggio precedente.
- In Expression (Espressione), aggiungere HTTP.REQ.IS_VALID.
- Fare clic su OK.
-
-
Impostare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ciascun server STA. In caso contrario, le sessioni non vengono avviate.
Per ulteriori informazioni, vedere Impostare il bilanciamento del carico di base.
- Creare un server virtuale di bilanciamento del carico.
- Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Servers (Server).
- Nella pagina Virtual Servers, fare clic su Add.
- In Protocol (Protocollo), selezionare HTTP.
- Aggiungere l’indirizzo IP virtuale di bilanciamento del carico e in Port (Porta) selezionare 80.
- Fare clic su OK.
- Creare un servizio di bilanciamento del carico.
- Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Services (Servizi).
- In Existing Server (Server esistente), selezionare il server virtuale creato nel passaggio precedente.
- In Protocol (Protocollo), selezionare HTTP e in Port (Porta) selezionare 80.
- Fare clic su OK e quindi su Done (Fine).
- Associare il servizio al server virtuale.
- Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
- In Services and Service Groups (Servizi e gruppi di servizi), fare clic su No Load Balancing Virtual Server Service Binding (Nessuna associazione del servizio del server virtuale con bilanciamento del carico).
- In Service Binding (Associazione a servizio), selezionare il servizio creato in precedenza.
- Fare clic su Bind (Associa).
- Associare il criterio di riscrittura creato in precedenza al server virtuale.
- Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
- In Advanced Settings (Impostazioni avanzate), fare clic su Policies (Criteri), quindi nella sezione Policies (Criteri) fare clic su +.
- In Choose Policy (Scegli criterio), selezionare Rewrite (Riscrivi) e in Choose Type (Scegli tipo) selezionare Request (Richiesta).
- Fare clic su Continue (Continua).
- In Select Policy (Seleziona criterio), selezionare il criterio di riscrittura creato in precedenza.
- Fare clic su Bind (Associa).
- Fare clic su Done (Fine).
- Impostare la persistenza per il server virtuale, se necessario.
- Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
- In Advanced Settings (Impostazioni avanzate), fare clic su Persistence (Persistenza).
- Selezionare il tipo di persistenza Others (Altro).
- Selezionare DESTIP per creare sessioni di persistenza in base all’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione).
- In IPv4 Netmask (Netmask IPv4), aggiungere la stessa maschera di rete del DDC.
- Fare clic su OK.
- Ripetere questi passaggi anche per l’altro server virtuale.
- Creare un server virtuale di bilanciamento del carico.
La configurazione cambia se l’appliance Citrix ADC è già configurata con Citrix Virtual Desktops
Se è già stata configurata l’appliance Citrix ADC con Citrix Virtual Desktops, per utilizzare la funzionalità Secure XML è necessario apportare le seguenti modifiche alla configurazione.
- Prima dell’avvio della sessione, modificare l’URL Security Ticket Authority del gateway per utilizzare i nomi di dominio completi dei server virtuali di bilanciamento del carico.
- Assicurarsi che il parametro
TrustRequestsSentToTheXmlServicePort
sia impostato su False. Per impostazione predefinita, il parametroTrustRequestsSentToTheXmlServicePort
è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix Virtual Desktops,TrustRequestsSentToTheXmlServicePort
è impostato su True.
- Nella GUI di Citrix ADC, accedere a Configuration (Configurazione) > Integrate with Citrix Products (Integra con i prodotti Citrix) e fare clic su XenApp and XenDesktop (XenApp e XenDesktop).
-
Selezionare l’istanza del gateway e fare clic sull’icona di modifica.
-
Nel riquadro StoreFront, fare clic sull’icona di modifica.
- Aggiungere l’URL Secure Ticket Authority.
- Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
- Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.