Citrix DaaS

Gerenciar chaves de segurança

Nota:

  • Você deve usar este recurso em combinação com o StoreFront 1912 LTSR CU2 ou posterior.

  • O recurso Secure XML é suportado apenas no Citrix ADC e no Citrix Gateway versão 12.1 ou superior.

Este recurso permite que você autorize apenas máquinas StoreFront e Citrix Gateway aprovadas para se comunicarem com Citrix Delivery Controllers. Depois que você habilitar esse recurso, todas as solicitações que não contenham a chave serão bloqueadas. Use esse recurso para adicionar uma camada extra de segurança para se proteger contra ataques originados na rede interna.

Eis aqui um fluxo de trabalho geral para usar esse recurso:

  1. Exiba as configurações da chave de segurança na interface Full Configuration. (Use o SDK do PowerShell remoto)

  2. Defina as configurações para sua implantação. (Use a interface Full Configuration ou o SDK do PowerShell remoto.)

  3. Defina as configurações no StoreFront. (Use o PowerShell.)

  4. Defina as configurações no Citrix ADC.

Exibir as configurações da chave de segurança na interface Full Configuration

Por padrão, as configurações das chaves de segurança estão ocultas na interface Full Configuration. Para exibi-las nessa interface, use o Remote PowerShell SDK. Para obter mais informações sobre o Remote PowerShell SDK, consulte SDKs e APIs.

As etapas detalhadas são as seguintes:

  1. Execute o SDK do PowerShell remoto.
  2. Em uma janela de comando, execute os seguintes comandos:
    • Add-PSSnapIn Citrix*. Esse comando adiciona os snap-ins da Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Definir as configurações para sua implantação

Você pode definir as configurações para a sua implantação usando Full Configuration ou PowerShell.

Usar a interface Full Configuration

Depois de ativar o recurso, navegue até Full Configuration > Settings > Manage security key e clique em Edit. A folha Manage Security Key é exibida. Clique em Save para aplicar as alterações e sair da folha.

Assistente Gerenciar chave de segurança

Importante:

  • Existem duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use apenas uma chave de cada vez. A chave não utilizada é usada apenas para a rotação de chaves.
  • Não clique no ícone de atualização para atualizar a chave já em uso. Se você fizer isso, ocorrerá a interrupção do serviço.

Clique no ícone de atualização para gerar novas chaves.

Require key for communications over XML port (StoreFront only). Se selecionada, exige uma chave para autenticar comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta XML, consulte o artigo do Knowledge Center CTX127945.

Require key for communications over STA port. Se selecionada, exige uma chave para autenticar comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta STA, consulte o artigo do Knowledge Center CTX101988.

Depois de aplicar suas alterações, clique em Close para sair da folha Manage Security Key.

Usar o Remote PowerShell SDK

A seguir estão as etapas do PowerShell equivalentes às operações executadas na interface Full Configuration.

  1. Execute o SDK do PowerShell remoto.

  2. Em uma janela de comando, execute o seguinte comando:
    • Add-PSSnapIn Citrix*
  3. Execute os seguintes comandos para gerar uma chave e configurar Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Execute os seguintes comandos para gerar uma chave e configurar Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
    • Para autenticar comunicações pela porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar comunicações pela porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Definir configurações no StoreFront

Depois de concluir as configurações da sua implantação, você precisa definir as configurações relevantes no StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos do PowerShell:

  • Para configurar a chave para comunicações pela porta XML, use os comandos Get-STFStoreServie e Set-STFStoreService. Por exemplo:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • Para configurar a chave para comunicações pela porta STA, use o comando New-STFSecureTicketAuthority. Por exemplo:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Definir configurações no Citrix ADC

Nota:

A configuração desse recurso no Citrix ADC não é necessária, a menos que você use o Citrix ADC como gateway. Se você usa o Citrix ADC, siga as etapas abaixo.

  1. Verifique se a seguinte configuração de pré-requisito já está em vigor:

    • Os seguintes endereços IP relacionados ao Citrix ADC são configurados.
      • Endereço IP de gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configurando o endereço NSIP.

      Endereço IP de gerenciamento ADC

      • Endereço IP de sub-rede (SNIP) para permitir a comunicação entre o appliance Citrix ADC e os servidores back-end. Para obter detalhes, consulte Configuração de endereços IP de sub-rede.
      • Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no appliance ADC para iniciar a sessão. Para obter detalhes, consulte Criar um servidor virtual.

      Endereço IP de sub-rede

    • Os modos e recursos necessários no dispositivo Citrix ADC estão ativados.
      • Para ativar os modos, na GUI do Citrix ADC, navegue até System > Settings > Configure Mode.
      • Para habilitar os recursos, na GUI do Citrix ADC, navegue até System > Settings > Configure Basic Features.
    • As configurações relacionadas aos certificados estão completas.
      • A solicitação de assinatura de certificado (CSR) é criada. Para obter detalhes, consulte Criar um certificado.

      Crie um certificado CSR

      Instalar certificado de servidor

      Instalar o certificado CA

      Gateway para desktops virtuais

  2. Adicione uma ação de regravação Para obter detalhes, consulte Configurando uma ação de regravação.

    1. Navegue até AppExpert > Rewrite > Actions.
    2. Clique em Add para adicionar uma nova ação de regravação. Você pode nomear a ação como “set Type to INSERT_HTTP_HEADER”.

    Adicionar ação de regravação

    1. Em Type, selecione INSERT_HTTP_HEADER.
    2. Em Header Name, insira X-Citrix-XMLServiceKey.
    3. Em Expression, adicione <XmlServiceKey1 value> com as aspas. Você pode copiar o valor XmlServiceKey1 da configuração do Desktop Delivery Controller.

    Valor da chave de serviço XML

  3. Adicione uma política de regravação. Para obter detalhes, consulte Configurando uma política de regravação.
    1. Navegue até AppExpert > Rewrite > Policies.

    2. Clique em Add para adicionar uma nova política.

    Adicionar política de regravação

    1. Em Action, selecione a ação criada na etapa anterior.
    2. Em Action, adicione HTTP.REQ.IS_VALID.
    3. Clique em OK.
  4. Configure o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.

    Para obter detalhes, consulte Configurar o balanceamento de carga básico.

    1. Crie um servidor virtual de balanceamento de carga.
      • Navegue até Traffic Management > Load Balancing > Servers.
      • Na página Virtual Servers, clique em Add.

      Adicionar um servidor de balanceamento de carga

      • Em Protocol, selecione HTTP.
      • Adicione o endereço IP virtual de balanceamento de carga e, em Port, selecione 80.
      • Clique em OK.
    2. Crie um serviço de balanceamento de carga.
      • Navegue até Traffic Management > Load Balancing > Services.

      Adicionar um serviço de balanceamento de carga

      • Em Existing Server, selecione o servidor virtual criado na etapa anterior.
      • Em Protocol, selecione HTTP e, em Port, selecione 80.
      • Clique em OK e clique em Done.
    3. Vincule o serviço ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Services and Service Groups, clique em No Load Balancing Virtual Server Service Binding.

      Vincular serviço a um servidor virtual

      • Em Service Binding, selecione o Citrix DaaS criado anteriormente.
      • Clique em Bind.
    4. Vincule a política de regravação criada anteriormente ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Advanced Settings, clique em Policies e então, na sessão Policies, clique em +.

      Política de reescrita de vínculo

      • Em Choose Policy, selecione Rewrite e em Choose Type, selecione Request.
      • Clique em Continue.
      • Em Select Policy, selecione a política de regravação criada anteriormente.
      • Clique em Bind.
      • Clique em Concluído.
    5. Configure a persistência para o servidor virtual, se necessário.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Advanced Settings, clique em Persistence.

      Definir persistência

      • Selecione o tipo de persistência como Others.
      • Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
      • Em IPv4 Netmask, adicione uma máscara de rede igual à do DDC.
      • Clique em OK.
    6. Repita essas etapas para o outro servidor virtual também.

Mudanças de configuração se o dispositivo Citrix ADC já estiver configurado com o Citrix DaaS

Se você já configurou o dispositivo Citrix ADC com o Citrix DaaS, para usar o recurso Secure XML, faça as seguintes alterações de configuração.

  • Antes do início da sessão, altere o Security Ticket Authority URL do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
  • Verifique se o parâmetro TrustRequestsSentToTheXmlServicePort está definido como False. Por padrão, o parâmetro TrustRequestsSentToTheXmlServicePort é definido como False. No entanto, se o cliente já tiver configurado o Citrix ADC para o Citrix DaaS, o TrustRequestsSentToTheXmlServicePort é definido como True.
  1. Na GUI do Citrix ADC, navegue até Configuration > Integrate with Citrix Products e clique em XenApp and XenDesktop.
  2. Selecione a instância do gateway e clique no ícone de edição.

    Editar a configuração de gateway existente

  3. No painel StoreFront, clique no ícone de edição.

    Editar detalhes do StoreFront

  4. Adicione o Secure Ticket Authority URL.
    • Se o recurso XML seguro estiver habilitado, a URL STA deverá ser a URL do serviço de balanceamento de carga.
    • Se o recurso XML seguro estiver desativado, a URL STA deverá ser a URL do STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deve ser definido como True.

    Adicionar URLs STA

Gerenciar chaves de segurança