Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR

Transport Layer Security (TLS) su Universal Print Server

April 17, 2025
Grazie al contributo di: 
C

Il protocollo Transport Layer Security (TLS) è supportato per le connessioni basate su TCP tra Virtual Delivery Agent (VDA) e Universal Print Server.

Avvertimento:

Per le attività che includono l’uso del registro di sistema di Windows, la modifica errata del registro può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso non corretto del Registry Editor possano essere risolti. Utilizza l’Editor del Registro di sistema a tuo rischio e pericolo. Assicuratevi di eseguire il backup del registro prima di modificarlo.

Tipi di connessioni di stampa tra VDA e Universal Print Server

Connessioni in chiaro

Le seguenti connessioni relative alla stampa provengono dal VDA e si collegano alle porte sull’Universal Print Server. Queste connessioni vengono effettuate solo quando l’impostazione della policy SSL abilitato è impostata su Disabilitato (impostazione predefinita).

  • Connessioni al servizio web di stampa in chiaro (porta TCP 8080)
  • Connessioni di flusso di dati di stampa in chiaro (CGP) (porta TCP 7229)

L’articolo del supporto Microsoft Panoramica del servizio e requisiti delle porte di rete per Windows descrive le porte utilizzate dal servizio Spooler di stampa di Microsoft Windows. Le impostazioni SSL/TLS contenute nel presente documento non si applicano alle connessioni NetBIOS e RPC effettuate dal servizio Spooler di stampa di Windows. VDA utilizza Windows Network Print Provider (win32spl.dll) come fallback se l’impostazione del criterio Abilita Universal Print Server è impostata su Abilitato con fallback sulla stampa remota nativa di Windows.

server di stampa universale sicuro

Connessioni crittografate

Queste connessioni SSL/TLS relative alla stampa provengono dal VDA e si collegano alle porte sull’Universal Print Server. Queste connessioni vengono effettuate solo quando l’impostazione del criterio SSL abilitato è impostata su Abilitato.

  • Connessioni al servizio web di stampa crittografate (porta TCP 8443)
  • Connessioni di flusso di dati di stampa crittografati (CGP) (porta TCP 443)

server di stampa universale sicuro 2

Configurazione del client SSL/TLS

Il VDA funziona come client SSL/TLS.

Utilizzare Criteri di gruppo Microsoft e il Registro di sistema per configurare Microsoft SCHANNEL SSP per le connessioni al servizio Web di stampa crittografato (porta TCP 8443). L’articolo di supporto Microsoft Impostazioni del Registro di sistema TLS descrive le impostazioni del Registro di sistema per Microsoft SCHANNEL SSP.

Utilizzando l’Editor Criteri di gruppo sul VDA, vai a Configurazione computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL > Ordine suite crittografica SSL. Selezionare il seguente ordine quando TLS 1.3 è impostato:

TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256

Selezionare il seguente ordine quando TLS 1.2 è impostato:

TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_CON_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_CON_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_CON_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_CON_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_CON_AES_128_CBC_SHA_P256

Nota:

Quando questa impostazione di Criteri di gruppo è configurata, VDA seleziona una suite di cifratura per le connessioni del servizio Web di stampa crittografato (porta predefinita: 8443) solo se le connessioni vengono visualizzate in entrambi gli elenchi di suite di cifratura SSL:

  • Elenco degli ordini delle suite di crittografia SSL dei criteri di gruppo
  • Elenco corrispondente all’impostazione del criterio SSL Cipher Suite selezionata (COM, GOV o ALL)

Questa configurazione dei Criteri di gruppo influisce anche su altre applicazioni e servizi TLS sul VDA. Se le tue applicazioni richiedono suite crittografiche specifiche, potrebbe essere necessario aggiungerle a questo elenco Ordine suite crittografiche dei Criteri di gruppo.

Importante:

Le modifiche ai Criteri di gruppo per la configurazione TLS diventano effettive solo dopo il riavvio del sistema operativo.

Utilizzare un criterio Citrix per configurare le impostazioni SSL/TLS per le connessioni CGP (Cryptographic Print Data Stream) (porta TCP 443).

Configurazione del server SSL/TLS

Universal Print Server funziona come server SSL/TLS.

Utilizzare lo script PowerShell Enable-UpsSsl.ps1 per configurare le impostazioni SSL/TLS.

Installare il certificato del server TLS sul server di stampa universale

Per HTTPS, è necessario installare un certificato server SSL sul server di stampa universale considerato attendibile dai VDA. Utilizzare Microsoft Active Directory Certificate Services o un’altra autorità di certificazione per richiedere un certificato per Universal Print Server.

Quando si registra/richiede un certificato tramite Microsoft Active Directory Certificate Services, tenere presenti le seguenti considerazioni:

  1. Inserire il certificato nell’archivio certificati del computer locale personale .
  2. Impostare l’attributo Common Name del Subject Distinguished Name (Subject DN) del certificato sul nome di dominio completo (FQDN) dell’Universal Print Server. Specificarlo nel modello di certificato.
  3. Imposta il provider di servizi crittografici (CSP) utilizzato per generare la richiesta di certificato e la chiave privata su Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption). Specificarlo nel modello di certificato.
  4. Impostare la dimensione della chiave su almeno 2048 bit. Specificarlo nel modello di certificato.

Per maggiori informazioni sulla creazione e l’installazione dei certificati, vedere Gestisci certificati.

Configurazione di SSL sul server di stampa universale

Il servizio XTE su Universal Print Server rimane in ascolto delle connessioni in arrivo. Funziona come server SSL quando SSL è abilitato. Le connessioni in entrata sono di due tipi: connessioni al servizio Web di stampa, che contengono comandi di stampa, e connessioni al flusso di dati di stampa, che contengono processi di stampa. Su queste connessioni è possibile abilitare SSL. SSL protegge la riservatezza e l’integrità di queste connessioni. Per impostazione predefinita, SSL è disabilitato.

Lo script di PowerShell utilizzato per configurare SSL si trova sul supporto di installazione e ha questo nome file: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Configurazione dei numeri delle porte di ascolto sul server di stampa universale

Queste sono le porte predefinite per il servizio XTE:

  • Servizio Web di stampa in chiaro (HTTP) Porta TCP: 8080
  • Flusso di dati di stampa in chiaro (CGP) Porta TCP: 7229
  • Porta TCP del servizio Web di stampa crittografata (HTTPS): 8443
  • Flusso di dati di stampa crittografati (CGP) Porta TCP: 443

Per modificare le porte utilizzate dal servizio XTE su Universal Print Server, eseguire i seguenti comandi in PowerShell come amministratore (vedere la sezione successiva per note sull’utilizzo dello script Enable-UpsSsl.ps1 di PowerShell):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> o Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

Impostazioni TLS su Universal Print Server

Se si dispone di più Universal Print Server in una configurazione con bilanciamento del carico, assicurarsi che le impostazioni TLS ** siano configurate in modo coerente su tutti gli Universal Print Server.

Quando si configura TLS su Universal Print Server, le autorizzazioni sul certificato TLS installato vengono modificate, concedendo a Universal Printing Service l’accesso in lettura alla chiave privata del certificato e informando Universal Printing Service di quanto segue:

  • Quale certificato nell’archivio certificati utilizzare per TLS.
  • Quali numeri di porta TCP utilizzare per le connessioni TLS.

Il firewall di Windows (se abilitato) deve essere configurato per consentire le connessioni in arrivo su queste porte TCP. Questa configurazione viene eseguita automaticamente quando si utilizza lo script Enable-UpsSsl.ps1 di PowerShell.

  • Quali versioni del protocollo TLS consentire.

Universal Print Server supporta le versioni 1.3 e 1.2 del protocollo TLS. Specificare la versione minima consentita.

La versione predefinita del protocollo TLS è 1.2.

Nota:

TLS 1.1 e 1.0 non sono più supportati da Citrix Virtual Apps and Desktops versione 2311.

  • Quali suite di cifratura TLS consentire.

Una suite di cifratura seleziona gli algoritmi crittografici da utilizzare per una connessione. VDA e Universal Print Server possono supportare diversi set di suite di cifratura. Quando un VDA si connette e invia un elenco di suite di cifratura TLS supportate, Universal Print Server confronta una delle suite di cifratura del client con una delle suite di cifratura presenti nel proprio elenco di suite di cifratura configurate e accetta la connessione. Se non è presente una suite crittografica corrispondente, Universal Print Server rifiuta la connessione.

Universal Print Server supporta i seguenti set di suite di cifratura denominati GOV(ernment), COM(commercial) e ALL per le modalità Crypto Kit native OPEN, FIPS e SP800-52. Le suite crittografiche accettabili dipendono anche dall’impostazione del criterio Modalità FIPS SSL e dalla modalità FIPS di Windows. Per informazioni sulla modalità FIPS di Windows, consultare questo articolo di supporto Microsoft .

Suite cifraria (in ordine di priorità decrescente) APRI TUTTO OPEN COM OPEN GOV FIPS TUTTI FIPS COM FIPS GOV SP800-52 TUTTI SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

Configurare TLS su un server di stampa universale utilizzando lo script PowerShell

Installare il certificato TLS nell’area Computer locale > Personale > Certificati dell’archivio certificati. Se in quella posizione è presente più di un certificato, fornire l’impronta digitale del certificato allo script di PowerShell Enable-UpsSsl.ps1 .

Nota:

Lo script di PowerShell trova il certificato corretto in base all’FQDN di Universal Print Server. Non è necessario fornire l’impronta digitale del certificato quando è presente un solo certificato per l’FQDN di Universal Print Server.

Lo script Enable-UpsSsl.ps1 abilita o disabilita le connessioni TLS provenienti dal VDA al server di stampa universale. Questo script è disponibile nella cartella Support > Tools > SslSupport sul supporto di installazione.

Quando si abilita TLS, lo script disabilita tutte le regole di Windows Firewall esistenti per le porte TCP dell’Universal Print Server. Aggiunge quindi nuove regole che consentono al servizio XTE di accettare connessioni in arrivo solo sulle porte TLS TCP e UDP. Disattiva inoltre le regole del firewall di Windows per:

  • Connessioni al servizio Web di stampa in chiaro (predefinito: 8080)
  • Connessioni di flusso di dati di stampa in chiaro (CGP) (predefinite: 7229)

Il risultato è che il VDA può effettuare queste connessioni solo se utilizza TLS.

Nota:

L’abilitazione di TLS non influisce sulle connessioni RPC/SMB dello spooler di stampa di Windows che hanno origine dal VDA e vanno al server di stampa universale.

Importante:

Specificare Abilita o Disabilita come primo parametro. Il parametro CertificateThumbprint è facoltativo se solo un certificato nell’archivio certificati personali del computer locale dispone del nome di dominio completo (FQDN) di Universal Print Server. Gli altri parametri sono facoltativi.

Sintassi 

  Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
  Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
  Parametro Descrizione
Abilitare Abilita SSL/TLS sul server XTE. È obbligatorio questo parametro o il parametro Disabilita.  
Disabilitare Disabilita SSL/TLS sul server XTE. È obbligatorio questo parametro o il parametro Enable.  
Impronta digitale del certificato "<thumbprint>" Impronta digitale del certificato TLS nell’archivio certificati personali del computer locale, racchiusa tra virgolette. Lo script utilizza l’impronta digitale specificata per selezionare il certificato che si desidera utilizzare.  
Porta HTTP <port> Porta del servizio Web di stampa in chiaro (HTTP/SOAP). Predefinito: 8080  
Porta CGP <port> Porta del flusso di dati di stampa in chiaro (CGP). Predefinito: 7229  
Porta HTTPS <port> Porta del servizio Web di stampa crittografata (HTTPS/SOAP). Predefinito: 8443  
Porta CGPSSL <port> Porta del flusso di dati di stampa crittografati (CGP). Predefinito: 443  
VersioneMinSSL "<version>" Versione minima del protocollo TLS, racchiusa tra virgolette. Valori validi: “TLS_1.2” e “TLS_1.3”. Predefinito: TLS_1.2.  
Suite di cifratura SSL "<name>" Nome del pacchetto della suite di cifratura TLS, racchiuso tra virgolette. Valori validi: “GOV”, “COM” e “ALL” (predefinito).  
Modalità FIPS <Boolean> Abilita o disabilita la modalità FIPS 140 nel server XTE. Valori validi: $true per abilitare la modalità FIPS 140, $false per disabilitare la modalità FIPS 140.  

Esempi

Lo script seguente abilita TLS. L’impronta digitale (rappresentata in questo esempio come “12345678987654321”) viene utilizzata per selezionare il certificato da utilizzare.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Lo script seguente disabilita TLS.

Enable-UpsSsl.ps1 –Disable

Configurazione della modalità FIPS

L’abilitazione della modalità FIPS (Federal Information Processing Standards) degli Stati Uniti garantisce che per le connessioni crittografate di Universal Print Server venga utilizzata solo la crittografia conforme a FIPS 140.

Configurare la modalità FIPS sul server prima di configurare la modalità FIPS sul client.

Consultare il sito della documentazione Microsoft per abilitare/disabilitare la modalità FIPS di Windows.

Abilitazione della modalità FIPS sul client

Sul Delivery Controller, esegui Web Studio e imposta l’impostazione della policy Citrix UPS FIPS Mode su Enabled. Abilitare la policy Citrix.

Eseguire questa operazione su ogni VDA:

  1. Abilita la modalità FIPS di Windows.
  2. Riavviare il VDA.

Abilitazione della modalità FIPS sul server

Eseguire questa operazione su ciascun Universal Print Server:

  1. Abilita la modalità FIPS di Windows.
  2. Esegui questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $true .
  4. Riavviare Universal Print Server.

Disabilitazione della modalità FIPS sul client

In Web Studio, imposta l’impostazione della policy Citrix Modalità FIPS UPS su Disabilitato. Abilitare la policy Citrix. È anche possibile eliminare l’impostazione del criterio Citrix UPS FIPS Mode .

Eseguire questa operazione su ogni VDA:

  1. Disattivare la modalità FIPS di Windows.
  2. Riavviare il VDA.

Disabilitazione della modalità FIPS sul server

Eseguire questa operazione su ciascun Universal Print Server:

  1. Disattivare la modalità FIPS di Windows.
  2. Esegui questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $false .
  4. Riavviare Universal Print Server.

Nota:

La modalità FIPS non è supportata quando la versione del protocollo SSL è impostata su TLS 1.3.

Configurazione della versione del protocollo SSL/TLS

La versione predefinita del protocollo SSL/TLS è TLS 1.2. TLS 1.2 e TLS 1.3 sono le versioni del protocollo SSL/TLS consigliate per l’uso in produzione. Per risolvere i problemi, potrebbe essere necessario modificare temporaneamente la versione del protocollo SSL/TLS in un ambiente non di produzione.

SSL 2.0 e SSL 3.0 non sono supportati su Universal Print Server.

Impostazione della versione del protocollo SSL/TLS sul server

In Studio, imposta l’impostazione del criterio Versione protocollo SSL sulla versione del protocollo desiderata e abilita il criterio.

Assicurarsi che il sistema operativo del VDA supporti la versione TLS selezionata. Per le versioni TLS supportate su Windows, vedere Microsoft Learn - Supporto della versione del protocollo TLS. Per configurare il registro in modo che sovrascriva le impostazioni predefinite, vedere Microsoft Learn - Impostazioni della versione del protocollo TLS, DTLS e SSL.

Impostazione della versione del protocollo SSL/TLS sul client

Eseguire questa operazione su ogni VDA:

  1. Sul Delivery Controller, impostare l’impostazione del criterio Versione protocollo SSL sulla versione del protocollo desiderata e abilitare il criterio.

  2. L’articolo di supporto Microsoft Impostazioni del Registro di sistema TLS descrive le impostazioni del Registro di sistema per Microsoft SCHANNEL SSP. Abilita il lato client TLS 1.2 o TLS 1.3 utilizzando le impostazioni del registro.

    Importante:

    Una volta terminati i test, ricordarsi di ripristinare i valori originali delle impostazioni del registro.

  3. Riavviare il VDA.

Risoluzione dei problemi

Se si verifica un errore di connessione, controllare il file C:\Programmi (x86)\Citrix\XTE\logs\error.log su Universal Print Server.

Il messaggio di errore Handshake SSL dal client non riuscito viene visualizzato in questo file di registro se l’handshake SSL/TLS non riesce. Tali errori possono verificarsi se la versione del protocollo SSL/TLS sul VDA e sull’Universal Print Server non corrisponde.

Utilizzare l’FQDN di Universal Print Server nelle seguenti impostazioni dei criteri che contengono nomi host di Universal Print Server:

  • Stampanti di sessione
  • Assegnazioni di stampa
  • Server di stampa universali per il bilanciamento del carico

Assicurarsi che l’orologio di sistema (data, ora e fuso orario) sia corretto sui server di stampa universali e sui VDA.

Transport Layer Security (TLS) su Universal Print Server
April 17, 2025
Grazie al contributo di: 
C
April 17, 2025
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.