Documentazione dei prodotti

Abilitare TLS su Universal Print Server

May 31, 2026
Grazie al contributo di: 
C

Il protocollo Transport Layer Security (TLS) è supportato per le connessioni basate su TCP tra il Virtual Delivery Agent (VDA) e Universal Print Server.

Avviso:

Per le attività che includono l’utilizzo del registro di Windows, la modifica errata del registro può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix® non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del registro prima di modificarlo.

Tipi di connessioni di stampa tra il VDA e Universal Print Server

Connessioni in chiaro

Le seguenti connessioni relative alla stampa provengono dal VDA e si connettono alle porte su Universal Print Server. Queste connessioni vengono stabilite solo quando l’impostazione del criterio SSL enabled è impostata su Disabled (impostazione predefinita).

  • Connessioni del servizio web di stampa in chiaro (porta TCP 8080)
  • Connessioni del flusso di dati di stampa in chiaro (CGP) (porta TCP 7229)

L’articolo di supporto Microsoft Service overview and network port requirements for Windows descrive le porte utilizzate dal servizio Microsoft Windows Print Spooler. Le impostazioni SSL/TLS in questo documento non si applicano alle connessioni NetBIOS e RPC effettuate dal servizio Windows Print Spooler. Il VDA utilizza il Windows Network Print Provider (win32spl.dll) come fallback se l’impostazione del criterio Universal Print Server enable è impostata su Enabled with fallback to Windows’ native remote printing.

server di stampa universale sicuro

Connessioni crittografate

Queste connessioni SSL/TLS relative alla stampa provengono dal VDA e si connettono alle porte su Universal Print Server. Queste connessioni vengono stabilite solo quando l’impostazione del criterio SSL enabled è impostata su Enabled.

  • Connessioni del servizio web di stampa crittografate (porta TCP 8443)
  • Connessioni del flusso di dati di stampa crittografate (CGP) (porta TCP 443)

server di stampa universale sicuro 2

Configurazione client SSL/TLS

Il VDA funziona come client SSL/TLS.

Utilizzare i Criteri di gruppo Microsoft e il registro per configurare Microsoft SCHANNEL SSP per le connessioni del servizio web di stampa crittografate (porta TCP 8443). L’articolo di supporto Microsoft Impostazioni del registro TLS descrive le impostazioni del registro per Microsoft SCHANNEL SSP.

Utilizzando l’Editor Criteri di gruppo sul VDA, andare a Configurazione computer > Modelli amministrativi > Rete > Impostazioni di configurazione SSL > Ordine della suite di crittografia SSL. Selezionare il seguente ordine quando è impostato TLS 1.3:

TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256

Selezionare il seguente ordine quando è impostato TLS 1.2:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Nota:

Quando questa impostazione dei Criteri di gruppo è configurata, il VDA seleziona una suite di crittografia per le connessioni del servizio web di stampa crittografate (porta predefinita: 8443) solo se le connessioni appaiono in entrambi gli elenchi di suite di crittografia SSL:

  • Elenco dell’ordine della suite di crittografia SSL dei Criteri di gruppo
  • Elenco corrispondente all’impostazione dei criteri della suite di crittografia SSL selezionata (COM, GOV o ALL)

Questa configurazione dei Criteri di gruppo influisce anche su altre applicazioni e servizi TLS sul VDA. Se le applicazioni richiedono suite di crittografia specifiche, potrebbe essere necessario aggiungerle a questo elenco dell’ordine della suite di crittografia dei Criteri di gruppo.

Importante:

Le modifiche ai Criteri di gruppo per la configurazione TLS hanno effetto solo dopo un riavvio del sistema operativo.

Utilizzare un criterio Citrix per configurare le impostazioni SSL/TLS per le connessioni del flusso di dati di stampa crittografate (CGP) (porta TCP 443).

Configurazione del server SSL/TLS

Il Universal Print Server funziona come server SSL/TLS.

Utilizzare lo script PowerShell Enable-UpsSsl.ps1 per configurare le impostazioni SSL/TLS.

Installare il certificato server TLS sul Universal Print Server

Per HTTPS, il Universal Print Server supporta le funzionalità TLS utilizzando i certificati server. I certificati client non vengono utilizzati. Utilizzare i Servizi certificati di Microsoft Active Directory o un’altra autorità di certificazione per richiedere un certificato per il Universal Print Server.

Tenere presente le seguenti considerazioni quando si registra/richiede un certificato utilizzando i Servizi certificati di Microsoft Active Directory:

  1. Posizionare il certificato nell’archivio certificati Personale del computer locale.
  2. Impostare l’attributo Nome comune del Nome distinto del soggetto (Subject DN) del certificato sul nome di dominio completo (FQDN) del Universal Print Server. Specificare questo nel modello di certificato.
  3. Impostare il provider di servizi crittografici (CSP) utilizzato per generare la richiesta di certificato e la chiave privata su Microsoft Enhanced RSA and AES Cryptographic Provider (Encryption). Specificare questo nel modello di certificato.
  4. Impostare la dimensione della chiave su almeno 2048 bit. Specificare questo nel modello di certificato.

Configurazione di SSL sul Universal Print Server

Il servizio XTE sul Universal Print Server è in ascolto per le connessioni in entrata. Funziona come server SSL quando SSL è abilitato. Le connessioni in entrata sono di due tipi: connessioni del servizio web di stampa, che contengono comandi di stampa, e connessioni del flusso di dati di stampa, che contengono processi di stampa. SSL può essere abilitato su queste connessioni. SSL protegge la riservatezza e l’integrità di queste connessioni. Per impostazione predefinita, SSL è disabilitato.

Lo script PowerShell utilizzato per configurare SSL si trova sul supporto di installazione e ha il seguente nome file: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.

Configurazione dei numeri di porta di ascolto sul Universal Print Server

Queste sono le porte predefinite per il servizio XTE:

  • Porta TCP del servizio web di stampa in chiaro (HTTP): 8080
  • Porta TCP del flusso di dati di stampa in chiaro (CGP): 7229
  • Porta TCP del servizio web di stampa crittografato (HTTPS): 8443
  • Porta TCP del flusso di dati di stampa crittografato (CGP): 443

Per modificare le porte utilizzate dal servizio XTE sul Universal Print Server, eseguire i seguenti comandi in PowerShell come amministratore (vedere la sezione successiva per le note sull’utilizzo dello script PowerShell Enable-UpsSsl.ps1):

  1. Stop-Service CitrixXTEServer, UpSvc
  2. Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port> o Enable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port>
  3. Start-Service CitrixXTEServer

Impostazioni TLS su Universal Print Server

Se si dispone di più Universal Print Server in una configurazione con bilanciamento del carico, assicurarsi che le impostazioni TLS siano configurate in modo coerente su tutti i Universal Print Server.

Quando si configura TLS su Universal Print Server, le autorizzazioni sul certificato TLS installato vengono modificate, concedendo al servizio di stampa universale l’accesso in lettura alla chiave privata del certificato e informando il servizio di stampa universale di quanto segue:

  • Quale certificato nell’archivio certificati utilizzare per TLS.
  • Quali numeri di porta TCP utilizzare per le connessioni TLS.

Il Firewall di Windows (se abilitato) deve essere configurato per consentire le connessioni in entrata su queste porte TCP. Questa configurazione viene eseguita automaticamente quando si utilizza lo script PowerShell Enable-UpsSsl.ps1.

  • Quali versioni del protocollo TLS consentire.

Universal Print Server supporta le versioni 1.3 e 1.2 del protocollo TLS. Specificare la versione minima consentita.

La versione predefinita del protocollo TLS è 1.2.

Nota:

TLS 1.1 e 1.0 non sono più supportati a partire dalla versione 2311 di Citrix Virtual Apps and Desktops.

  • Quali suite di crittografia TLS consentire.

Una suite di cifratura seleziona gli algoritmi crittografici utilizzati per una connessione. I VDA e Universal Print Server possono supportare diversi insiemi di suite di cifratura. Quando un VDA si connette e invia un elenco di suite di cifratura TLS supportate, Universal Print Server confronta una delle suite del client con una delle suite presenti nel proprio elenco di suite configurate e accetta la connessione. Se non c’è una suite di cifratura corrispondente, Universal Print Server rifiuta la connessione.

Universal Print Server supporta i seguenti set di suite di crittografia denominati GOV(ernment), COM(mercial) e ALL per le modalità Crypto Kit native OPEN, FIPS e SP800-52. Le suite di crittografia accettabili dipendono anche dall’impostazione dei criteri SSL FIPS Mode e dalla modalità FIPS di Windows. Consultare questo articolo del supporto Microsoft per informazioni sulla modalità FIPS di Windows.

Suite di crittografia (in ordine di priorità decrescente) OPEN ALL OPEN COM OPEN GOV FIPS ALL FIPS COM FIPS GOV SP800-52 ALL SP800-52 COM SP800-52 GOV
TLS_ECDHE_RSA_ AES256_GCM_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA384 X   X X   X X   X
TLS_ECDHE_RSA_ AES256_CBC_SHA X X   X X   X X  

Configurare TLS su un Universal Print Server utilizzando lo script PowerShell

Installare il certificato TLS nell’area Computer locale > Personale > Certificati dell’archivio certificati. Se più di un certificato risiede in quella posizione, fornire l’identificazione personale del certificato allo script PowerShell Enable-UpsSsl.ps1.

Nota:

Lo script PowerShell trova il certificato corretto in base all’FQDN dell’Universal Print Server. Non è necessario fornire l’identificazione personale del certificato quando è presente un solo certificato per l’FQDN dell’Universal Print Server.

Lo script Enable-UpsSsl.ps1 abilita o disabilita le connessioni TLS provenienti dal VDA all’Universal Print Server. Questo script è disponibile nella cartella Supporto > Strumenti > SslSupport sul supporto di installazione.

Quando si abilita TLS, lo script disabilita tutte le regole esistenti del Firewall di Windows per le porte TCP dell’Universal Print Server. Aggiunge quindi nuove regole che consentono al servizio XTE di accettare connessioni in entrata solo sulle porte TCP e UDP TLS. Disabilita anche le regole del Firewall di Windows per:

  • Connessioni del servizio web di stampa in chiaro (predefinito: 8080)
  • Connessioni del flusso di dati di stampa in chiaro (CGP) (predefinito: 7229)

L’effetto è che il VDA può stabilire queste connessioni solo quando si utilizza TLS.

Nota:

L’abilitazione di TLS non influisce sulle connessioni RPC/SMB dello spooler di stampa di Windows provenienti dal VDA e dirette al Universal Print Server.

Importante:

Specificare Enable o Disable come primo parametro. Il parametro CertificateThumbprint è facoltativo se solo un certificato nell’archivio certificati personale del computer locale ha l’FQDN del Universal Print Server. Gli altri parametri sono facoltativi.

Sintassi 

Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
Parametro Descrizione
Abilita Abilita SSL/TLS sul server XTE. È richiesto questo parametro o il parametro Disable.
Disabilita Disabilita SSL/TLS sul server XTE. È richiesto questo parametro o il parametro Enable.
CertificateThumbprint "<thumbprint>" Identificazione personale (thumbprint) del certificato TLS nell’archivio certificati personale del computer locale, racchiusa tra virgolette. Lo script utilizza l’identificazione personale specificata per selezionare il certificato che si desidera utilizzare.
HTTPPort <port> Porta del servizio web di stampa in chiaro (HTTP/SOAP). Predefinito: 8080
CGPPort <port> Porta del flusso di dati di stampa in chiaro (CGP). Predefinito: 7229
HTTPSPort <port> Porta del servizio web di stampa crittografato (HTTPS/SOAP). Predefinito: 8443
CGPSSLPort <port> Porta del flusso di dati di stampa crittografato (CGP). Predefinito: 443
SSLMinVersion "<version>" Versione minima del protocollo TLS, racchiusa tra virgolette. Valori validi: “TLS_1.2” e “TLS_1.3”. Predefinito: TLS_1.2.
SSLCipherSuite "<name>" Nome del pacchetto di suite di cifratura TLS, racchiuso tra virgolette. Valori validi: “GOV”, “COM” e “ALL” (predefinito).
FIPSMode <Boolean> Abilita o disabilita la modalità FIPS 140 nel server XTE. Valori validi: $true per abilitare la modalità FIPS 140, $false per disabilitare la modalità FIPS 140.

Esempi

Lo script seguente abilita TLS. L’identificazione personale (rappresentata come “12345678987654321” in questo esempio) viene utilizzata per selezionare il certificato da usare.

Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"

Lo script seguente disabilita TLS.

Enable-UpsSsl.ps1 –Disable

Configurazione della modalità FIPS

L’abilitazione della modalità FIPS (US Federal Information Processing Standards) garantisce che solo la crittografia conforme a FIPS 140 venga utilizzata per le connessioni crittografate di Universal Print Server.

Configurare la modalità FIPS sul server prima di configurare la modalità FIPS sul client.

Consultare il sito della documentazione Microsoft per abilitare/disabilitare la modalità FIPS di Windows.

Abilitazione della modalità FIPS sul client

Sul Delivery Controller™, eseguire Web Studio e impostare l’impostazione dei criteri Citrix Modalità FIPS SSL su Abilitata. Abilitare i criteri Citrix.

Eseguire questa operazione su ogni VDA:

  1. Abilitare la modalità FIPS di Windows.
  2. Riavviare il VDA.

Abilitazione della modalità FIPS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Abilitare la modalità FIPS di Windows.
  2. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $true.
  4. Riavviare l’Universal Print Server.

Disabilitazione della modalità FIPS sul client

In Web Studio, impostare l’impostazione dei criteri Citrix Modalità FIPS SSL su Disabilitata. Abilitare i criteri Citrix. È anche possibile eliminare l’impostazione dei criteri Citrix Modalità FIPS SSL.

Eseguire questa operazione su ogni VDA:

  1. Disabilitare la modalità FIPS di Windows.
  2. Riavviare il VDA.

Disabilitazione della modalità FIPS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Disabilitare la modalità FIPS di Windows.
  2. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  3. Eseguire lo script Enable-UpsSsl.ps1 con i parametri -Enable -FIPSMode $false.
  4. Riavviare il Universal Print Server.

Nota:

La modalità FIPS non è supportata quando la versione del protocollo SSL è impostata su TLS 1.3.

Configurazione della versione del protocollo SSL/TLS

La versione predefinita del protocollo SSL/TLS è TLS 1.2. TLS 1.2 e TLS 1.3 sono le versioni del protocollo SSL/TLS consigliate per l’uso in produzione. Per la risoluzione dei problemi, potrebbe essere necessario modificare temporaneamente la versione del protocollo SSL/TLS in un ambiente non di produzione.

SSL 2.0 e SSL 3.0 non sono supportati sul Universal Print Server.

Impostazione della versione del protocollo SSL/TLS sul server

Eseguire questa operazione su ogni Universal Print Server:

  1. Eseguire questo comando PowerShell come amministratore: stop-service CitrixXTEServer, UpSvc
  2. Eseguire lo script Enable-UpsSsl.ps1 con i parametri di versione -Enable -SSLMinVersion. Ricordarsi di reimpostarlo su TLS 1.2 o TLS 1.3 al termine del test.
  3. Riavviare il Universal Print Server.

Impostazione della versione del protocollo SSL/TLS sul client

Eseguire questa operazione su ogni VDA:

  1. Sul Delivery Controller, impostare l’impostazione dei criteri Versione protocollo SSL sulla versione del protocollo desiderata e abilitare i criteri.

  2. L’articolo del supporto Microsoft Impostazioni del Registro di sistema TLS descrive le impostazioni del Registro di sistema per Microsoft SCHANNEL SSP. Abilitare TLS 1.2 o TLS 1.3 lato client utilizzando le impostazioni del Registro di sistema.

    Importante:

    Ricordarsi di ripristinare le impostazioni del registro ai valori originali al termine del test.

  3. Riavviare il VDA.

Risoluzione dei problemi

Se si verifica un errore di connessione, controllare il file C:\Program Files (x86)\Citrix\XTE\logs\error.log sul Universal Print Server.

Il messaggio di errore SSL handshake from client failed viene visualizzato in questo file di registro se l’handshake SSL/TLS non riesce. Tali errori possono verificarsi se la versione del protocollo SSL/TLS sul VDA e sul Universal Print Server non corrisponde.

Utilizzare l’FQDN del Universal Print Server nelle seguenti impostazioni di policy che contengono i nomi host del Universal Print Server:

  • Stampanti di sessione
  • Assegnazioni stampante
  • Universal Print Server per il bilanciamento del carico

Assicurarsi che l’orologio di sistema (data, ora e fuso orario) sia corretto sui Universal Print Server e sui VDA.

Abilitare TLS su Universal Print Server
May 31, 2026
Grazie al contributo di: 
C
May 31, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.