Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Gestione dei certificati

May 31, 2026
Grazie al contributo di: 
C

Panoramica

Le connessioni dirette HDX™ sono protette con crittografia a livello di rete. Per facilitare ciò, ogni host di sessione dispone di un certificato CA radice autofirmato univoco e di un certificato server corrispondente, che è firmato dal certificato CA radice autofirmato.

Questa soluzione offre i seguenti vantaggi:

  • Sicurezza semplificata: Le connessioni dirette HDX sono protette senza il sovraccarico amministrativo della gestione dei certificati all’interno dell’ambiente.
  • Superficie di attacco ridotta: La superficie di attacco è limitata a un singolo host poiché ogni host dispone di un set univoco di chiavi e certificati.
  • Sicurezza migliorata per ambienti non persistenti: Negli ambienti con host di sessione non persistenti, la sicurezza è ulteriormente migliorata poiché nuove chiavi e certificati vengono generati al riavvio.

Host di sessione

Il servizio Citrix ClxMtp e il servizio Citrix Certificate Manager sono i due servizi responsabili della gestione dei certificati su ogni host di sessione. Il servizio ClxMtp gestisce la generazione e la rotazione delle chiavi, mentre il servizio Certificate Manager genera e gestisce i certificati.

Vengono creati due certificati: una CA radice autofirmata e un certificato server. Entrambi vengono rilasciati con un periodo di validità di due anni; tuttavia, vengono sostituiti quando le chiavi vengono ruotate. Inoltre, nuovi certificati vengono generati ogni volta che le macchine non persistenti vengono riavviate.

I dettagli per ciascun certificato sono i seguenti:

  • CA radice autofirmata
    • Rilasciato a: CA-Citrix-Certificate-Manager
    • Rilasciato da: CA-Citrix-Certificate-Manager
    • Dettagli emittente: L’organizzazione è Citrix Systems, Inc.
  • Certificato server
    • Rilasciato a: <host FQDN> (Ad esempio, FTLW11-001.ctxlab.net)
    • Rilasciato da: CA-Citrix-Certificate-Manager
    • Dettagli emittente: L’organizzazione è Citrix Systems, Inc.

NOTA:

Il servizio Citrix Certificate Manager genera certificati RSA che utilizzano chiavi a 2048 bit.

Se esiste un certificato macchina creato dal servizio Citrix Certificate Manager e il nome del soggetto non corrisponde all’FQDN della macchina, viene generato un nuovo certificato.

Rotazione delle chiavi

Il servizio Citrix ClxMtp ruota automaticamente le chiavi ogni sei mesi. Tuttavia, è possibile attivare manualmente la rotazione delle chiavi aumentando il contatore di rotazione nel registro dell’host di sessione.

Per ruotare le chiavi, aggiornare il seguente valore:

  • Chiave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
  • Tipo di valore: DWORD
  • Nome valore: ClxMtpRotateRequestCounter
  • Dati: integer (Decimale)

NOTA:

Per la prima rotazione della chiave:

  1. Creare la chiave ClxMtpConnectorSvcRotateKeyPairs.
  2. Creare e impostare il valore ClxMtpRotateRequestCounter su 1.

Per le rotazioni successive della chiave, aumentare il valore ClxMtpRotateRequestCounter di 1.

Una volta aggiornato il valore, il Citrix ClxMtp Service ruoterà automaticamente le chiavi senza richiedere un riavvio. Il Citrix Certificate Manager Service genererà quindi automaticamente nuovi certificati una volta rilevate nuove chiavi.

Dispositivo client

Il certificato CA radice viene inviato al client da Workspace o Storefront™ tramite il percorso di connessione sicuro e affidabile già stabilito. Ciò elimina la necessità di distribuire i certificati CA agli archivi certificati dei dispositivi client e garantisce che il client si fidi dei certificati utilizzati per proteggere la connessione HDX Direct.

Utilizzo di certificati personalizzati

HDX Direct supporta l’uso di certificati emessi e gestiti dalla propria PKI. I passaggi seguenti descrivono come installare il certificato, configurare le autorizzazioni necessarie, associarlo al servizio di gestione sessioni e abilitare i listener TLS richiesti.

  1. Procedere al passaggio 2 se HDX Direct è disabilitato sulla macchina. Se HDX Direct è abilitato, seguire i passaggi seguenti:
    1. Aprire l’editor del Registro di sistema (regedit.exe) e passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    2. Impostare il valore SSLEnabled su 0.
    3. Passare a HKLM\Software\Citrix\HDX-Direct.
    4. Impostare il valore HdxDirectCaInTls su 0.

  2. Installare il certificato appropriato emesso dalla propria PKI nell’archivio certificati della macchina.

  3. Concedere al servizio di gestione sessioni l’accesso in lettura alle chiavi private del certificato.
    1. Avviare la Console di gestione Microsoft (MMC): Start > Esegui > mmc.exe.
    2. Passare a File > Aggiungi/Rimuovi snap-in.
    3. Selezionare Certificati, quindi fare clic su Aggiungi.
    4. Scegliere Account computer e fare clic su Avanti.
    5. Selezionare Computer locale e fare clic su Fine.
    6. Passare a Certificati (computer locale) > Personale > Certificati.
    7. Fare clic con il pulsante destro del mouse sul certificato appropriato e selezionare Tutte le attività > Gestisci chiavi private.
    8. Aggiungere uno dei seguenti servizi e concedergli l’accesso in lettura:
      • Per VDA a sessione singola: NT SERVICE\PorticaService
      • Per VDA a sessione multipla: NT SERVICE\TermService
    9. Fare clic su Applica, quindi su OK.
  4. Associare il certificato al servizio di gestione sessioni.
    1. Recuperare l’impronta digitale del certificato (fare doppio clic sul certificato > Dettagli > Impronta digitale).
    2. Aprire l’editor del Registro di sistema (regedit.exe) e passare a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    3. Modificare il valore SSLThumbprint e incollare l’identificazione personale del certificato.
  5. Abilitare i listener TLS di Citrix.
    1. Nella stessa posizione del registro, impostare il valore SSLEnabled su 1.
  6. Abilitare HDX Direct (nella policy Citrix).

Il supporto di installazione di Citrix Virtual Apps and Desktops include uno script PowerShell (Enable-VdaSSL.ps1) che automatizza diverse di queste attività:

  • Impostazione delle autorizzazioni per le chiavi del certificato
  • Associazione del certificato al servizio di gestione sessioni
  • Abilitazione dei listener TLS di Citrix

Questo script si trova nella directory Support > Tools > SslSupport. Per maggiori dettagli, vedere Configurare TLS su un VDA utilizzando lo script PowerShell.

NOTA:

I dispositivi che si connettono agli host di sessione devono avere installati i certificati CA radice e CA intermedia corretti se si utilizzano i propri certificati.

Gestione dei certificati
May 31, 2026
Grazie al contributo di: 
C
May 31, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.