Citrix Virtual Apps and Desktops

Gestire le chiavi di sicurezza

Importante:

  • È necessario utilizzare questa funzione in combinazione con StoreFront 1912 LTSR CU2 o versioni successive.
  • La funzionalità Secure XML è supportata solo su Citrix ADC e Citrix Gateway versione 12.1 e successive.

Nota:

È possibile gestire l’implementazione di Citrix Virtual Apps and Desktops utilizzando due console di gestione: Web Studio (basato sul Web) e Citrix Studio (basato su Windows). Questo articolo riguarda solo Web Studio. Per informazioni su Citrix Studio, vedere l’articolo equivalente in Citrix Virtual Apps and Desktops 7 2212 o versioni precedenti.

Mediante questa funzione è possibile consentire solo alle macchine StoreFront e Citrix Gateway approvati di comunicare con i Delivery Controller. Dopo aver attivato questa funzione, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzione per aggiungere un ulteriore livello di sicurezza per proteggere dagli attacchi provenienti dalla rete interna.

Un flusso di lavoro generale per utilizzare questa funzione è il seguente:

  1. Abilitare Web Studio per visualizzare le impostazioni delle funzionalità.

  2. Configurare le impostazioni del proprio sito.

  3. Configurare le impostazioni di StoreFront.

  4. Configurare le impostazioni di Citrix ADC.

Abilita Web Studio per visualizzare le impostazioni delle funzionalità

Per impostazione predefinita, le impostazioni per le chiavi di sicurezza sono nascoste da Web Studio. Per consentire a Web Studio di visualizzarli, utilizzare PowerShell SDK come segue:

  1. Eseguire l’SDK PowerShell di Citrix Virtual Apps and Desktops.
  2. In una finestra di comando, eseguire i comandi seguenti:
    • Add-PSSnapIn Citrix*. Questo comando aggiunge gli snap-in Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Per ulteriori informazioni sull’SDK PowerShell, vedere SDK e API.

Configurare le impostazioni del sito

È possibile utilizzare Web Studio o PowerShell per configurare le impostazioni delle chiavi di sicurezza per il sito.

Utilizzare Web Studio

  1. Accedere a Web Studio e selezionare Settings nel riquadro a sinistra:
  2. Individuare il riquadro Manage security key (Gestisci chiave di sicurezza) e fare clic su Edit. Viene visualizzata la pagina Manage Security Key.

    Procedura guidata Manage Security Key (Gestisci chiave di sicurezza)

  3. Fare clic sull’icona di aggiornamento per generare le chiavi.

    Importante:

    • Vi sono due chiavi disponibili per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Si consiglia di utilizzare solo una chiave alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione delle chiavi.
    • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso, altrimenti vi sarà un’interruzione del servizio.
  4. Selezionare dove è richiesta una chiave per le comunicazioni:

    • Require key for communications over XML port (solo StoreFront). Se questa opzione è selezionata, viene richiesta una chiave per autenticare le comunicazioni tramite la porta XML. StoreFront comunica con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo CTX127945 del Knowledge Center.

    • Require key for communications over STA port. Se questa opzione selezionata, è richiesta una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud su questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo CTX101988 del Knowledge Center.

  5. Fare clic su Save per applicare le modifiche e chiudere la finestra.

Utilizzare PowerShell

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni di Web Studio.

  1. Eseguire l’SDK Remote PowerShell di Citrix Virtual Apps and Desktops.

  2. In una finestra di comando, eseguire il comando seguente:
    • Add-PSSnapIn Citrix*
  3. Eseguire i seguenti comandi per generare una chiave e impostare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Eseguire i seguenti comandi per generare una chiave e impostare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Eseguire uno o entrambi i comandi seguenti per abilitare l’utilizzo di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni tramite la porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni tramite la porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni di StoreFront

Dopo aver completato la configurazione del proprio sito, è necessario configurare le impostazioni pertinenti di StoreFront utilizzando PowerShell.

Sul server StoreFront eseguire i seguenti comandi di PowerShell:

Per configurare la chiave per le comunicazioni tramite la porta XML, utilizzare il comando [Set-STFStoreFarm https://developer-docs.citrix.com/it-it/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Ad esempio
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Immettete i valori appropriati per i seguenti parametri:

  • Path to store
  • Resource feed name
  • secret

Per configurare la chiave per le comunicazioni tramite la porta STA, utilizzare i comandi New-STFSecureTicketAuthority e Set-STFRoamingGateway. Ad esempio:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Immettete i valori appropriati per i seguenti parametri:

  • Gateway name
  • STA URL
  • Secret

Per indicazioni guida e sintassi, vedere la Guida dei comandi di PowerShell.

Configurare le impostazioni di Citrix ADC

Nota:

La configurazione di questa funzionalità per Citrix ADC non è necessaria a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire questa procedura:

  1. Assicurarsi che sia stata applicata la seguente configurazione dei prerequisiti:

    • Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP della subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per ulteriori informazioni, vedere Configurazione degli indirizzi IP delle subnet.
      • Indirizzo IP virtuale Citrix Gateway e indirizzo IP virtuale dell’unità di bilanciamento del carico per accedere all’appliance ADC per l’avvio della sessione. Per ulteriori informazioni, vedere Creare un server virtuale.

      Indirizzo IP subnet

    • Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Mode (Configura modalità).
      • Per abilitare le funzionalità, nella GUI di Citrix ADC andare a System (Sistema) > Settings (Impostazioni) > Configure Basic Features (Configura funzionalità di base).
    • Le configurazioni relative ai certificati sono complete.
      • Viene creata la richiesta di firma del certificato (CSR). Per ulteriori informazioni, vedere Creare un certificato.

      Creare un certificato CSR

      Installare il certificato del server

      Installare il certificato CA

      Gateway per i desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per ulteriori informazioni, vedere Configurazione di un’azione di riscrittura.

    1. Andare ad AppExpert > Rewrite (Riscrivi) > Actions (Azioni).
    2. Fare clic su Add (Aggiungi) per aggiungere una nuova azione di riscrittura. È possibile assegnare all’azione un nome come “set Type to INSERT_HTTP_HEADER” (imposta Tipo su INSERT_HTTP_HEADER).

    Aggiungere un'azione di riscrittura

    1. In Type (Tipo), selezionare INSERT_HTTP_HEADER.
    2. In Header Name (Nome intestazione), immettere X-Citrix-XmlServiceKey.
    3. In Expression (Espressione), aggiungere <XmlServiceKey1 value> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Delivery Controller desktop.

    Valore della chiave di servizio XML

  3. Aggiungere un criterio di riscrittura. Per ulteriori informazioni, vedere Configurazione di un criterio di riscrittura.
    1. Andare ad AppExpert > Rewrite (Riscrivi) > Policies (Criteri).

    2. Fare clic su Add (Aggiungi) per aggiungere un nuovo criterio.

    Aggiungere un criterio di riscrittura

    1. In Action (Azione), selezionare l’azione creata nel passaggio precedente.
    2. In Expression (Espressione), aggiungere HTTP.REQ.IS_VALID.
    3. Fare clic su OK.
  4. Impostare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ciascun server STA. In caso contrario, le sessioni non vengono avviate.

    Per ulteriori informazioni, vedere Impostare il bilanciamento del carico di base.

    1. Creare un server virtuale di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Servers (Server).
      • Nella pagina Virtual Servers (Server virtuali), fare clic su Add (Aggiungi).

      Aggiungere un server di bilanciamento del carico

      • In Protocol (Protocollo), selezionare HTTP.
      • Aggiungere l’indirizzo IP virtuale di bilanciamento del carico e in Port (Porta) selezionare 80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Andare a Traffic Management (Gestione del traffico) > Load Balancing (Bilanciamento del carico) > Services (Servizi).

      Aggiungere un servizio di bilanciamento del carico

      • In Existing Server (Server esistente), selezionare il server virtuale creato nel passaggio precedente.
      • In Protocol (Protocollo), selezionare HTTP e in Port (Porta) selezionare 80.
      • Fare clic su OK e quindi su Done (Fine).
    3. Associare il servizio al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Services and Service Groups (Servizi e gruppi di servizi), fare clic su No Load Balancing Virtual Server Service Binding (Nessuna associazione del servizio del server virtuale con bilanciamento del carico).

      Associare il servizio a un server virtuale

      • In Service Binding (Associazione a servizio), selezionare il servizio creato in precedenza.
      • Fare clic su Bind (Associa).
    4. Associare il criterio di riscrittura creato in precedenza al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Policies (Criteri), quindi nella sezione Policies (Criteri) fare clic su +.

      Associare un criterio di riscrittura

      • In Choose Policy (Scegli criterio), selezionare Rewrite (Riscrivi) e in Choose Type (Scegli tipo) selezionare Request (Richiesta).
      • Fare clic su Continue (Continua).
      • In Select Policy (Seleziona criterio), selezionare il criterio di riscrittura creato in precedenza.
      • Fare clic su Bind (Associa).
      • Fare clic su Fine.
    5. Impostare la persistenza per il server virtuale, se necessario.
      • Selezionare il server virtuale creato in precedenza e fare clic su Edit (Modifica).
      • In Advanced Settings (Impostazioni avanzate), fare clic su Persistence (Persistenza).

      Impostare la persistenza

      • Selezionare il tipo di persistenza Others (Altro).
      • Selezionare DESTIP per creare sessioni di persistenza in base all’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione).
      • In IPv4 Netmask (Netmask IPv4), aggiungere la stessa maschera di rete del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

La configurazione cambia se l’appliance Citrix ADC è già configurata con Citrix Virtual Desktops

Se è già stata configurata l’appliance Citrix ADC con Citrix Virtual Desktops, per utilizzare la funzionalità Secure XML è necessario apportare le seguenti modifiche alla configurazione.

  • Prima dell’avvio della sessione, modificare l’URL Security Ticket Authority del gateway per utilizzare i nomi di dominio completi dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il parametro TrustRequestsSentToTheXmlServicePort sia impostato su False. Per impostazione predefinita, il parametro TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix Virtual Desktops, TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nella GUI di Citrix ADC, andare a Configuration (Configurazione) > Integrate with Citrix Products (Integra con i prodotti Citrix) e fare clic su XenApp and XenDesktop (XenApp e XenDesktop).
  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modificare la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modificare i dettagli di StoreFront

  4. Aggiungere l’URL Secure Ticket Authority.
    • Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.

    Aggiungere URL STA

Gestire le chiavi di sicurezza