Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Transport Layer Security (TLS) su Universal Print Server

January 23, 2026
Grazie al contributo di: 
C

Il protocollo Transport Layer Security (TLS) è supportato per le connessioni basate su TCP tra il Virtual Delivery Agent (VDA) e l’Universal Print Server.

Attenzione:

Per le attività che includono l’utilizzo del Registro di sistema di Windows, la modifica errata del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix® non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.

Tipi di connessioni di stampa tra il VDA e l’Universal Print Server

Connessioni in chiaro

Le seguenti connessioni relative alla stampa hanno origine dal VDA e si connettono alle porte dell’Universal Print Server. Queste connessioni vengono stabilite solo quando l’impostazione dei criteri SSL abilitato è impostata su Disabilitato (impostazione predefinita).

  • Connessioni del servizio web di stampa in chiaro (porta TCP 8080)
  • Connessioni del flusso di dati di stampa in chiaro (CGP) (porta TCP 7229)

L’articolo di supporto Microsoft Panoramica del servizio e requisiti delle porte di rete per Windows descrive le porte utilizzate dal servizio Spooler di stampa di Microsoft Windows. Le impostazioni SSL/TLS in questo documento non si applicano alle connessioni NETBIOS e RPC stabilite dal servizio Spooler di stampa di Windows. Il VDA utilizza il provider di stampa di rete di Windows (win32spl.dll) come fallback se l’impostazione dei criteri Abilita Universal Print Server è impostata su Abilitato con fallback alla stampa remota nativa di Windows.

universal print server secure

Connessioni crittografate

Queste connessioni SSL/TLS relative alla stampa hanno origine dal VDA e si connettono alle porte dell’Universal Print Server. Queste connessioni vengono stabilite solo quando l’impostazione dei criteri SSL abilitato è impostata su Abilitato.

  • Connessioni del servizio web di stampa crittografate (porta TCP 8443)
  • Connessioni del flusso di dati di stampa crittografate (CGP) (porta TCP 443)

universal print server secure 2

Configurazione client SSL/TLS

Il VDA agisce come client SSL/TLS.

Utilizzare i Criteri di gruppo di Microsoft e il Registro di sistema per configurare Microsoft SCHANNEL SSP per le connessioni del servizio web di stampa crittografate (porta TCP 8443). L’articolo di supporto Microsoft Impostazioni del Registro di sistema TLS descrive le impostazioni del Registro di sistema per Microsoft SCHANNEL SSP.

Utilizzando l’Editor Criteri di gruppo sul VDA (Windows Server 2016 o Windows 10), accedere a Configurazione computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL > Ordine suite di crittografia SSL. Selezionare il seguente ordine:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Nota:

Quando questa impostazione dei Criteri di gruppo è configurata, il VDA seleziona una suite di crittografia per le connessioni del servizio web di stampa crittografate (porta predefinita: 8443) solo se le connessioni appaiono in entrambi gli elenchi di suite di crittografia SSL:

  • Elenco dell’ordine delle suite di crittografia SSL dei Criteri di gruppo
  • Elenco corrispondente all’impostazione dei criteri della suite di crittografia SSL selezionata (COM, GOV o ALL)

Questa configurazione dei Criteri di gruppo influisce anche su altre applicazioni e servizi TLS sul VDA. Se le applicazioni richiedono suite di crittografia specifiche, potrebbe essere necessario aggiungerle a questo elenco dell’ordine delle suite di crittografia dei Criteri di gruppo.

Importante:

Le modifiche ai Criteri di gruppo per la configurazione TLS hanno effetto solo dopo il riavvio del sistema operativo.

Utilizzare un criterio Citrix per configurare le impostazioni SSL/TLS per le connessioni del flusso di dati di stampa crittografate (CGP) (porta TCP 443).

Configurazione server SSL/TLS

L’Universal Print Server agisce come server SSL/TLS.

Utilizzare lo script PowerShell Enable-UpsSsl.ps1 per configurare le impostazioni SSL/TLS.

Installare il certificato server TLS sull’Universal Print Server

Per HTTPS, l’Universal Print Server supporta le funzionalità TLS utilizzando i certificati server. I certificati client non vengono utilizzati. Utilizzare i Servizi certificati di Microsoft Active Directory o un’altra autorità di certificazione per richiedere un certificato per l’Universal Print Server.

Tenere presente le seguenti considerazioni quando si registra/richiede un certificato utilizzando i Servizi certificati di Microsoft Active Directory:

  1. Posizionare il certificato nell’archivio certificati Personale del computer locale.
  2. Impostare l’attributo Nome comune del Nome distinto del soggetto (Subject DN) del certificato sul nome di dominio completo (FQDN) dell’Universal Print Server. Specificare questo nel modello di certificato.
  3. Impostare il Cryptographic Service Provider (CSP) utilizzato per generare la richiesta di certificato e la chiave privata su Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption). Specificare questo nel modello di certificato.
  4. Impostare la dimensione della chiave su almeno 2048 bit. Specificare questo nel modello di certificato.

Configurazione SSL sull’Universal Print Server

Il servizio XTE sull’Universal Print Server è in ascolto per le connessioni in entrata. Agisce come server SSL quando SSL è abilitato. Le connessioni in entrata sono di due tipi: connessioni del servizio web di stampa, che contengono comandi di stampa, e connessioni del flusso di dati di stampa, che contengono lavori di stampa. SSL può essere abilitato su queste connessioni. SSL protegge la riservatezza e l’integrità di queste connessioni. Per impostazione predefinita, SSL è disabilitato.

Lo script PowerShell utilizzato per configurare SSL si trova sul supporto di installazione e ha il seguente nome file: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Configurazione dei numeri di porta di ascolto sull’Universal Print Server

Queste sono le porte predefinite per il servizio XTE:

  • Porta TCP del servizio web di stampa in chiaro (HTTP): 8080
  • Porta TCP del flusso di dati di stampa in chiaro (CGP): 7229
  • Porta TCP del servizio web di stampa crittografato (HTTPS): 8443
  • Porta TCP del flusso di dati di stampa crittografato (CGP): 443

Per modificare le porte utilizzate dal servizio XTE sull’Universal Print Server, eseguire i seguenti comandi in PowerShell come amministratore (vedere la sezione successiva per le note sull’utilizzo dello script PowerShell Enable-UpsSsl.ps1):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> o Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

Impostazioni TLS sull’Universal Print Server

Se si dispone di più Universal Print Server in una configurazione con bilanciamento del carico, assicurarsi che le impostazioni TLS siano configurate in modo coerente su tutti gli Universal Print Server.

Quando si configura TLS sull’Universal Print Server, le autorizzazioni sul certificato TLS installato vengono modificate, concedendo al servizio di stampa universale l’accesso in lettura alla chiave privata del certificato e informando il servizio di stampa universale di quanto segue:

  • Quale certificato nell’archivio certificati utilizzare per TLS.
  • Quali numeri di porta TCP utilizzare per le connessioni TLS.

Il Firewall di Windows (se abilitato) deve essere configurato per consentire le connessioni in entrata su queste porte TCP. Questa configurazione viene eseguita automaticamente quando si utilizza lo script PowerShell Enable-UpsSsl.ps1.

  • Quali versioni del protocollo TLS consentire.

Universal Print Server supporta le versioni del protocollo TLS 1.2, 1.1 e 1.0. Specificare la versione minima consentita.

La versione predefinita del protocollo TLS è 1.2.

  • Quali suite di crittografia TLS consentire.

Una suite di crittografia seleziona gli algoritmi crittografici utilizzati per una connessione. I VDA e l’Universal Print Server possono supportare diversi set di suite di crittografia. Quando un VDA si connette e invia un elenco di suite di crittografia TLS supportate, l’Universal Print Server abbina una delle suite di crittografia del client a una delle suite di crittografia nel proprio elenco di suite di crittografia configurate e accetta la connessione. Se non esiste una suite di crittografia corrispondente, l’Universal Print Server rifiuta la connessione.

L’Universal Print Server supporta i seguenti set di suite di crittografia denominati GOV (governativo), COM (commerciale) e ALL (tutti) per le modalità OPEN, FIPS e SP800-52 native di Crypto Kit. Le suite di crittografia accettabili dipendono anche dall’impostazione dei criteri Modalità FIPS SSL e dalla modalità FIPS di Windows. Consultare questo articolo di supporto Microsoft per informazioni sulla modalità FIPS di Windows.

Suite di crittografia (in ordine di priorità decrescente) OPEN ALL OPEN COM OPEN GOV FIPS ALL FIPS COM FIPS GOV SP800-52 ALL SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

Configurare TLS su un Universal Print Server utilizzando lo script PowerShell

Installare il certificato TLS nell’area Computer locale > Personale > Certificati dell’archivio certificati. Se più di un certificato risiede in quella posizione, fornire l’identificazione personale (thumbprint) del certificato allo script PowerShell Enable-UpsSsl.ps1.

Nota:

Lo script PowerShell trova il certificato corretto in base all’FQDN dell’Universal Print Server. Non è necessario fornire l’identificazione personale del certificato quando è presente un solo certificato per l’FQDN dell’Universal Print Server.

Lo script Enable-UpsSsl.ps1 abilita o disabilita le connessioni TLS che hanno origine dal VDA verso l’Universal Print Server. Questo script è disponibile nella cartella Supporto > Strumenti > SslSupport sul supporto di installazione.

Quando si abilita TLS, lo script disabilita tutte le regole esistenti del Firewall di Windows per le porte TCP dell’Universal Print Server. Aggiunge quindi nuove regole che consentono al servizio XTE di accettare connessioni in entrata solo sulle porte TCP e UDP TLS. Disabilita anche le regole del Firewall di Windows per:

  • Connessioni del servizio web di stampa in chiaro (predefinito: 8080)
  • Connessioni del flusso di dati di stampa in chiaro (CGP) (predefinito: 7229)

L’effetto è che il VDA può stabilire queste connessioni solo quando utilizza TLS.

Nota:

L’abilitazione di TLS non influisce sulle connessioni RPC/SMB dello Spooler di stampa di Windows che hanno origine dal VDA e vanno all’Universal Print Server.

Importante:

Specificare Enable o Disable come primo parametro. Il parametro CertificateThumbprint è facoltativo se un solo certificato nell’archivio certificati Personale del computer locale ha l’FQDN dell’Universal Print Server. Gli altri parametri sono facoltativi.

Sintassi 

Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
Parametro Descrizione
Enable Abilita SSL/TLS sul server XTE. È richiesto questo parametro o il parametro Disable.
Disable Disabilita SSL/TLS sul server XTE. È richiesto questo parametro o il parametro Enable.
CertificateThumbprint "<thumbprint>" Identificazione personale (thumbprint) del certificato TLS nell’archivio certificati Personale del computer locale, racchiusa tra virgolette. Lo script utilizza l’identificazione personale specificata per selezionare il certificato da utilizzare.
HTTPPort <port> Porta del servizio web di stampa in chiaro (HTTP/SOAP). Predefinito: 8080
CGPPort <port> Porta del flusso di dati di stampa in chiaro (CGP). Predefinito: 7229
HTTPSPort <port> Porta del servizio web di stampa crittografato (HTTPS/SOAP). Predefinito: 8443
CGPSSLPort <port> Porta del flusso di dati di stampa crittografato (CGP). Predefinito: 443
SSLMinVersion "<version>" Versione minima del protocollo TLS, racchiusa tra virgolette. Valori validi: “TLS_1.0”, “TLS_1.1” e “TLS_1.2”. Predefinito: TLS_1.2.
SSLCipherSuite “<name>” Nome del pacchetto di suite di crittografia TLS, racchiuso tra virgolette. Valori validi: “GOV”, “COM” e “ALL” (predefinito).
FIPSMode <Boolean> Abilita o disabilita la modalità FIPS 140 nel server XTE. Valori validi: $true per abilitare la modalità FIPS 140, $false per disabilitare la modalità FIPS 140.

Esempi

Il seguente script abilita TLS. L’identificazione personale (rappresentata come “12345678987654321” in questo esempio) viene utilizzata per selezionare il certificato da utilizzare.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Il seguente script disabilita TLS.

Enable-UpsSsl.ps1 –Disable

Configurazione della modalità FIPS

L’abilitazione della modalità FIPS (US Federal Information Processing Standards) garantisce che solo la crittografia conforme a FIPS 140 venga utilizzata per le connessioni crittografate dell’Universal Print Server.

Configurare la modalità FIPS sul server prima di configurare la modalità FIPS sul client.

Consultare il sito della documentazione Microsoft per l’abilitazione/disabilitazione della modalità FIPS di Windows.

Abilitazione della modalità FIPS sul client

Sul Delivery Controller™, eseguire Citrix Studio e impostare l’impostazione dei criteri Citrix Modalità FIPS SSL su Abilitato. Abilitare il criterio Citrix.

Eseguire questa operazione su ogni VDA:

  1. Abilitare la modalità FIPS di Windows.
  2. Riavviare il VDA.

Abilitazione della modalità FIPS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Abilitare la modalità FIPS di Windows.
  2. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $true.
  4. Riavviare l’Universal Print Server.

Disabilitazione della modalità FIPS sul client

Sul Delivery Controller, eseguire Citrix Studio e impostare l’impostazione dei criteri Citrix Modalità FIPS SSL su Disabilitato. Abilitare il criterio Citrix. È anche possibile eliminare l’impostazione dei criteri Citrix Modalità FIPS SSL.

Eseguire questa operazione su ogni VDA:

  1. Disabilitare la modalità FIPS di Windows.
  2. Riavviare il VDA.

Disabilitazione della modalità FIPS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Disabilitare la modalità FIPS di Windows.
  2. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $false.
  4. Riavviare l’Universal Print Server.

Configurazione della versione del protocollo SSL/TLS

La versione predefinita del protocollo SSL/TLS è TLS 1.2. TLS 1.2 è l’unica versione del protocollo SSL/TLS consigliata per l’uso in produzione. Per la risoluzione dei problemi, potrebbe essere necessario modificare temporaneamente la versione del protocollo SSL/TLS in un ambiente non di produzione.

SSL 2.0 e SSL 3.0 non sono supportati sull’Universal Print Server.

Impostazione della versione del protocollo SSL/TLS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  2. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -SSLMinVersion versione. Ricordarsi di reimpostare questo valore su TLS 1.2 al termine dei test.
  3. Riavviare l’Universal Print Server.

Impostazione della versione del protocollo SSL/TLS sul client

Eseguire questa operazione su ogni VDA:

  1. Sul Delivery Controller, impostare l’impostazione dei criteri Versione protocollo SSL sulla versione del protocollo desiderata e abilitare il criterio.

  2. L’articolo di supporto Microsoft Impostazioni del Registro di sistema TLS descrive le impostazioni del Registro di sistema per Microsoft SCHANNEL SSP. Abilitare lato client TLS 1.0, TLS 1.1 o TLS 1.2 utilizzando le impostazioni del Registro di sistema.

    Importante:

    Ricordarsi di ripristinare le impostazioni del Registro di sistema ai valori originali al termine dei test.

  3. Riavviare il VDA.

Risoluzione dei problemi

Se si verifica un errore di connessione, controllare il file di log C:\Program Files (x86)\Citrix\XTE\logs\error.log sull’Universal Print Server.

Il messaggio di errore SSL handshake from client failed appare in questo file di log se l’handshake SSL/TLS fallisce. Tali errori possono verificarsi se la versione del protocollo SSL/TLS sul VDA e sull’Universal Print Server non corrispondono.

Utilizzare l’FQDN dell’Universal Print Server nelle seguenti impostazioni dei criteri che contengono i nomi host dell’Universal Print Server:

  • Stampanti di sessione
  • Assegnazioni stampante
  • Universal Print Server per il bilanciamento del carico

Assicurarsi che l’orologio di sistema (data, ora e fuso orario) sia corretto sugli Universal Print Server e sui VDA.

Transport Layer Security (TLS) su Universal Print Server
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.