-
-
Integrare Citrix Virtual Apps and Desktops con Citrix Gateway
-
Transport Layer Security (TLS)
-
Abilitare TLS sui Delivery Controller
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Abilita TLS sui Delivery Controller
Per impostazione predefinita, sono abilitati sia HTTP che HTTPS. HTTPS utilizza un certificato autofirmato che utilizza l’FQDN del server come nome comune, non considerato attendibile da StoreFront o dai browser web.
Per abilitare TLS su un delivery controller, è necessario:
-
Ottenere, installare e registrare un certificato server su tutti i Delivery Controller. Per maggiori dettagli, vedere Richiesta e installazione di un certificato.
-
Configurare una porta con il certificato TLS. Per maggiori dettagli, vedere Installazione di un certificato.
- Abilita HTTPS per il servizio di monitoraggio.
-
Imponi il traffico HTTPS disabilitando HTTP. Per maggiori dettagli, vedere Imponi solo traffico HTTPS Imponi solo traffico HTTPS.
- Facoltativamente, è possibile modificare le porte utilizzate dal controller per ascoltare il traffico HTTP e HTTPS. Per maggiori dettagli, vedere Modifica porte HTTP o HTTPS.
Richiesta e installazione di un certificato
Per utilizzare TLS, è necessario installare un certificato il cui nome comune o nome alternativo del soggetto corrisponda all’FQDN del server. Se si utilizza un bilanciatore del carico davanti ai delivery controller, includere sia il nome di dominio completo (FQDN) del server sia quello del bilanciatore del carico come nomi alternativi del soggetto. Per ulteriori informazioni, vedere Certificati. Per consentire a StoreFront di connettersi al delivery controller, è necessario utilizzare un algoritmo di firma digitale RSA. StoreFront non supporta i certificati che utilizzano l’algoritmo ECDSA.
Configurazione della porta di ascolto SSL/TLS
Se il componente IIS Windows è installato sullo stesso server, installato come parte di Web Studio e Director, è possibile configurare TLS tramite IIS. Per ulteriori informazioni, vedere Abilitare TLS su Web Studio e Director. In caso contrario, per configurare il certificato tramite PowerShell:
-
Per verificare se esiste un certificato associato, aprire un prompt dei comandi ed eseguire
netsh http show sslcert
:netsh http show sslcert <!--NeedCopy-->
-
Se esiste già un binding, eliminarlo.
netsh http delete sslcert ipport=0.0.0.0:443 <!--NeedCopy-->
Sostituzione di
0.0.0.0:443
con un indirizzo IP e una porta specifici, se ne era stato specificato uno nell’associazione esistente. -
Trova l’impronta digitale del certificato installato in precedenza. Per visualizzare l’impronta digitale, apri Gestisci certificati computer, individua il certificato, aprilo e vai alla scheda Dettagli .
In alternativa, è possibile utilizzare PowerShell. Ad esempio, lo script seguente cerca un certificato il cui nome comune corrisponde al nome host del server e ne stampa la miniatura:
$HostName = ([System.Net.Dns]::GetHostByName(($env:computerName))).Hostname $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match ("CN=" + $HostName)}).Thumbprint -join ';' Write-Host -Object "Certificate Thumbprint for $($HostName): $($Thumbprint)" -Foreground Yellow <!--NeedCopy-->
Se il nome comune del certificato non corrisponde ai nomi host, l’operazione fallirà. Se sono presenti più certificati per il nome host, vengono restituite più impronte digitali concatenate insieme ed è necessario scegliere l’impronta digitale appropriata.
L’esempio seguente cerca un certificato in base al nome descrittivo:
$friendlyName = "My certificate name" $Thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.FriendlyName -eq $friendlyNam}).Thumbprint -join ';' Write-Host -Object "Certificate Thumbprint for $friendlyName: $($Thumbprint)" -Foreground Yellow <!--NeedCopy-->
Se sono presenti più certificati con il nome descrittivo specificato, vengono restituite più impronte digitali concatenate tra loro ed è necessario scegliere l’impronta digitale appropriata.
-
Per associare il certificato alla porta, utilizzare il comando
netsh http add sslcert
:netsh http add sslcert ipport=[IP address]:443 certhash=[certificate hash] appid=[application GUID] disablelegacytls=enable <!--NeedCopy-->
-
ipport
specifica l’indirizzo IP e la porta. Utilizzando 0.0.0.0:443 questo si applica a tutti gli indirizzi IP. In alternativa è possibile specificare un indirizzo IP specifico. -
appid
- un GUID arbitrario utilizzato per identificare l’applicazione che ha aggiunto il binding. Puoi usare qualsiasi GUID valido, ad esempio{91fe7386-e0c2-471b-a252-1e0a805febac}
. -
disablelegacytls=enable
- disabilita le versioni legacy di TLS. Questo parametro è disponibile su Windows 2022 e versioni successive. Windows 2022 disabilita TLS 1.0 e 1.1. Su Windows 2025 questa operazione non è necessaria poiché TLS 1.0 e 1.1 sono disabilitati per impostazione predefinita.
Ad esempio, eseguire il seguente comando per associare il certificato con impronta digitale
bc96f958848639fd101a793b87915d5f2829b0b6
alla porta443
su tutti gli indirizzi IP:netsh http add sslcert ipport=0.0.0.0:443 certhash=bc96f958848639fd101a793b87915d5f2829b0b6 appid={91fe7386-e0c2-471b-a252-1e0a805febac} disablelegacytls=enable <!--NeedCopy-->
-
Una volta abilitato HTTPS, dovresti configurare tutte le distribuzioni StoreFront e Netscaler Gateway per utilizzare HTTPS anziché HTTP per connettersi al delivery controller.
Configurare l’API OData del servizio Monitor per HTTPS
Il servizio di monitoraggio fornisce API OData v3 e v4 per consentire alle applicazioni Citrix e di terze parti di interrogare i dati. Il direttore si connette al servizio di monitoraggio tramite l’API OData V3. Per configurare le API OData del monitor per HTTPS, completare i seguenti passaggi:
-
Eseguire il seguente comando PowerShell:
$serviceGroup = Get-ConfigRegisteredServiceInstance -ServiceType Monitor | Select -First 1 ServiceGroupUid Remove-ConfigServiceGroup -ServiceGroupUid $serviceGroup.ServiceGroupUid & 'C:\Program Files\Citrix\Monitor\Service\citrix.monitor.exe' -ConfigureFirewall -RequireODataTls –OdataPort 443 -RequireODataSdkTls –OdataSdkPort 443 get-MonitorServiceInstance | register-ConfigServiceInstance Get-ConfigRegisteredServiceInstance -ServiceType Config | Reset-MonitorServiceGroupMembership <!--NeedCopy-->
-
Aprire il file
C:\Programmi\Citrix\Monitor\Service\Citrix.Monitor.exe.Config
con un editor di testo. Trova l’elemento<add key="owin:baseAddress" value="http://localhost/citrix/monitor/odata/v4" />
e cambialo in<add key="owin:baseAddress" value="https://localhost/citrix/monitor/odata/v4" />
.
Configurare le suite di cifratura
L’elenco dell’ordine delle suite crittografiche deve includere le suite crittografiche TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
o TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
(o entrambe); e queste suite crittografiche devono precedere tutte le suite crittografiche TLS_DHE_
.
- Utilizzando l’Editor Criteri di gruppo di Microsoft, vai a Configurazione computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL.
- Modifica la policy “Ordine suite crittografica SSL”. Per impostazione predefinita, questa policy è impostata su “Non configurato”. Impostare questo criterio su Abilitato.
- Disporre le suite nell’ordine corretto; rimuovere tutte le suite di cifratura che non si desidera utilizzare.
Assicurarsi che TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
o TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
preceda qualsiasi suite di cifratura TLS_DHE_
.
Su Microsoft Learn, vedere anche Configurazione dell’ordine della suite di crittografia TLS.
Applica solo il traffico HTTPS
Si consiglia di configurare il servizio XML in modo che ignori il traffico HTTP.
- Esegui
regedit
- Aprire
HKLM\Software\Citrix\DesktopServer\
- Crea un nuovo valore DWORD con nome
XmlServicesEnableNonSsl
e impostalo su 0. - Riavviare il servizio Broker.
Esiste un valore DWORD del registro corrispondente XmlServicesEnableSsl
che puoi creare per ignorare il traffico HTTPS. Assicurarsi che non sia impostato su 0.
Cambia le porte HTTP o HTTPS
Per impostazione predefinita, il servizio XML sul controller ascolta sulla porta 80 per il traffico HTTP e sulla porta 443 per il traffico HTTPS. Sebbene sia possibile utilizzare porte non predefinite, occorre tenere presente i rischi per la sicurezza derivanti dall’esposizione di un controller a reti non attendibili. È preferibile implementare un server StoreFront autonomo piuttosto che modificare le impostazioni predefinite.
Per modificare le porte HTTP o HTTPS predefinite utilizzate dal Controller, eseguire il seguente comando da Studio:
BrokerService.exe -StoreFrontPort <http-port> -StoreFrontTlsPort <https-port>
<!--NeedCopy-->
dove <http-port>
è il numero di porta per il traffico HTTP e <https-port>
è il numero di porta per il traffico HTTPS.
Nota:
Dopo aver modificato una porta, Studio potrebbe visualizzare un messaggio sulla compatibilità della licenza e sull’aggiornamento. Per risolvere il problema, registrare nuovamente le istanze del servizio utilizzando la seguente sequenza di cmdlet di PowerShell:
Get-ConfigRegisteredServiceInstance -ServiceType Broker -Binding XML_HTTPS |
Unregister-ConfigRegisteredServiceInstance
Get-BrokerServiceInstance | where Binding -eq "XML_HTTPS" |
Register-ConfigServiceInstance
<!--NeedCopy-->
Condividi
Condividi
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.