-
Planejar e criar uma implantação
-
Pools de identidade de diferentes tipos de ingresso de identidade de máquina
-
Migrar cargas de trabalho entre locais de recursos usando o Serviço de Portabilidade de Imagem
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gerenciamento de certificados
Visão geral
As conexões HDX™ Direct são protegidas com criptografia em nível de rede. Para facilitar isso, cada host de sessão possui um certificado de CA raiz autoassinado exclusivo e um certificado de servidor correspondente, que é assinado pelo certificado de CA raiz autoassinado.
Esta solução oferece as seguintes vantagens:
- Segurança Simplificada: As conexões HDX Direct são protegidas sem a sobrecarga administrativa de gerenciar certificados no ambiente.
- Superfície de Ataque Reduzida: A superfície de ataque é limitada a um único host porque cada host possui um conjunto exclusivo de chaves e certificados.
- Segurança Aprimorada para Ambientes Não Persistentes: Em ambientes com hosts de sessão não persistentes, a segurança é ainda mais aprimorada, pois novas chaves e certificados são gerados a cada reinicialização.
Host de sessão
O Citrix ClxMtp Service e o Citrix Certificate Manager Service são os dois serviços responsáveis pelo gerenciamento de certificados em cada host de sessão. O ClxMtp Service lida com a geração e rotação de chaves, enquanto o Certificate Manager Service gera e gerencia os certificados.
Dois certificados são criados: uma CA raiz autoassinada e um certificado de servidor. Ambos são emitidos com um período de validade de dois anos; no entanto, são substituídos quando as chaves são rotacionadas. Além disso, novos certificados são gerados cada vez que as máquinas não persistentes são reiniciadas.
Os detalhes de cada certificado são os seguintes:
-
CA Raiz Autoassinada
- Emitido para: CA-Citrix-Certificate-Manager
- Emitido por: CA-Citrix-Certificate-Manager
- Detalhes do emissor: A organização é Citrix Systems, Inc.
-
Certificado do Servidor
- Emitido para: <FQDN do host> (Por exemplo, FTLW11-001.ctxlab.net)
- Emitido por: CA-Citrix-Certificate-Manager
- Detalhes do emissor: A organização é Citrix Systems, Inc.
NOTA:
O Citrix Certificate Manager Service gera certificados RSA que utilizam chaves de 2048 bits.
Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome do assunto não corresponder ao FQDN da máquina, um novo certificado será gerado.
Rotação de chaves
O Citrix ClxMtp Service rotaciona as chaves automaticamente a cada seis meses. No entanto, você pode acionar uma rotação de chaves manualmente aumentando o contador de rotação no registro do host de sessão.
Para rotacionar as chaves, atualize o seguinte valor:
- Chave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Tipo de valor: DWORD
- Nome do valor: ClxMtpRotateRequestCounter
- Dados: inteiro (Decimal)
NOTA:
Para a primeira rotação de chaves:
- Crie a chave ClxMtpConnectorSvcRotateKeyPairs.
- Crie e defina o valor ClxMtpRotateRequestCounter como 1.
Para rotações de chaves subsequentes, aumente o valor ClxMtpRotateRequestCounter em 1.
Uma vez que o valor é atualizado, o Citrix ClxMtp Service rotacionará automaticamente as chaves sem exigir uma reinicialização. O Citrix Certificate Manager Service então gerará novos certificados automaticamente assim que detectar novas chaves.
Dispositivo cliente
O certificado de CA raiz é enviado ao cliente pelo Workspace ou Storefront™ através do caminho de conexão seguro e confiável já estabelecido. Isso elimina a necessidade de distribuir certificados de CA para os armazenamentos de certificados dos dispositivos cliente e garante que o cliente confie nos certificados usados para proteger a conexão HDX Direct.
Usando certificados personalizados
O HDX Direct oferece suporte ao uso de certificados emitidos e gerenciados pela sua própria PKI. As etapas a seguir descrevem como instalar seu certificado, configurar as permissões necessárias, vinculá-lo ao serviço de gerenciador de sessão e habilitar os ouvintes TLS necessários.
- Prossiga para a etapa 2 se o HDX Direct estiver desabilitado na máquina. Se o HDX Direct estiver habilitado, siga as etapas abaixo:
- Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Defina o valor SSLEnabled como 0.
- Navegue até HKLM\Software\Citrix\HDX-Direct.
- Defina o valor HdxDirectCaInTls como 0.
-
Instale o certificado apropriado emitido pela sua PKI no armazenamento de certificados da máquina.
- Conceda ao serviço de gerenciador de sessão acesso de leitura às chaves privadas do certificado.
- Inicie o console de gerenciamento da Microsoft (MMC): Iniciar > Executar > mmc.exe.
- Navegue até Arquivo > Adicionar/Remover Snap-in.
- Selecione Certificados, então clique em Adicionar.
- Escolha Conta de computador e clique em Avançar.
- Selecione Computador local e clique em Concluir.
- Navegue até Certificados (Computador Local) > Pessoal > Certificados.
- Clique com o botão direito do mouse no certificado apropriado e selecione Todas as Tarefas > Gerenciar Chaves Privadas.
- Adicione um dos seguintes serviços e conceda acesso de Leitura:
- Para VDA de Sessão Única:
NT SERVICE\PorticaService - Para VDA de Múltiplas Sessões:
NT SERVICE\TermService
- Para VDA de Sessão Única:
- Clique em Aplicar, então em OK.
- Vincule o certificado ao serviço de gerenciador de sessão.
- Recupere o thumbprint do certificado (clique duas vezes no certificado > Detalhes > Thumbprint).
- Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Edite o valor SSLThumbprint e cole o thumbprint do certificado.
- Habilite os ouvintes TLS da Citrix.
- No mesmo local de registro, defina o valor SSLEnabled como 1.
- Habilite o HDX Direct (na política Citrix).
A mídia de instalação do Citrix Virtual Apps and Desktops inclui um script PowerShell (Enable-VdaSSL.ps1) que automatiza várias dessas tarefas:
- Definir permissões para as chaves do certificado
- Vincular o certificado ao serviço de gerenciador de sessão
- Habilitar os ouvintes TLS da Citrix
Este script está localizado no diretório Support > Tools > SslSupport. Para mais detalhes, consulte Configurar TLS em um VDA usando o script PowerShell.
NOTA:
Os dispositivos que se conectam aos hosts de sessão precisam ter os certificados de CA raiz e CA intermediária corretos instalados se você estiver usando seus próprios certificados.
Compartilhar
Compartilhar
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.