Citrix Virtual Apps and Desktops

Gerenciar chaves de segurança

Observação:

Você deve usar esse recurso em combinação com o StoreFront 1912 LTSR CU2 ou posterior.

Esse recurso permite que você autorize apenas máquinas StoreFront e Citrix Gateway aprovadas se comuniquem com os Citrix Delivery Controllers. Depois de habilitar esse recurso, todas as solicitações que não contêm a chave são bloqueadas. Use este recurso para adicionar uma camada extra de segurança para proteger contra ataques originados da rede interna.

Um fluxo de trabalho geral para usar esse recurso é o seguinte:

  1. Habilite o Studio para mostrar as configurações dos recursos.

  2. Configure as configurações do seu site (use o console do Studio ou o PowerShell).

  3. Configure as definições no StoreFront (use o PowerShell).

  4. Configurar definições no Citrix ADC (usar PowerShell).

Habilitar o Studio para mostrar as configurações do recurso

Por padrão, as configurações das chaves de segurança ficam ocultas do Studio. Para permitir que o Studio os mostre, use o PowerShell SDK da seguinte maneira:

Para habilitar o recurso, execute estas etapas:

  1. Execute o Citrix Virtual Apps and Desktops Remote PowerShell SDK.
  2. Em uma janela de comando, execute os seguintes comandos:
    • Adicionar-PSSnapIn Citrix*. Este comando adiciona os snap-ins do Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Para obter mais informações sobre o Remote PowerShell SDK, consulte SDKs e APIs.

Configurar as configurações do seu site

Você pode configurar as configurações no Studio usando o console do Studio ou o PowerShell.

Use o console do Studio

Depois de habilitar o Studio para mostrar as configurações de recursos, vá para Studio > Configuração > Gerenciar chave de segurança. Talvez seja necessário clicar em Atualizar para que a opção Gerenciar chave de segurança apareça.

A janela Gerenciar chave de segurança aparece depois que você clica em Gerenciar chave de segurança.

Assistente para gerenciar chave de segurança

Importante:

  • Há duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use apenas uma chave por vez. A chave não utilizada é usada apenas para rotação de chaves.
  • Não clique no ícone de atualização para atualizar a chave já em uso. Se você fizer isso, o serviço será interrompido.

Clique no ícone de atualização para gerar novas chaves.

Requer chave para comunicações pela porta XML (somente StoreFront). Se selecionado, exija uma chave para autenticar comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta XML, consulte o artigo do Knowledge Center CTX127945.

Requer chave para comunicações pela porta STA. Se selecionado, exija uma chave para autenticar comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta STA, consulte o artigo do Knowledge Center CTX101988.

Após aplicar suas alterações, clique em Fechar para sair da janela Gerenciar chave de segurança .

Usar PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações do Studio.

  1. Execute o Citrix Virtual Apps and Desktops Remote PowerShell SDK.

  2. Em uma janela de comando, execute o seguinte comando:
    • Add-PSSnapIn Citrix*
  3. Execute os seguintes comandos para gerar uma chave e configurar a Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Execute os seguintes comandos para gerar uma chave e configurar a Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
    • Para autenticar comunicações pela porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar comunicações pela porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Configurar as configurações no StoreFront

Após concluir a configuração no Studio, você precisa definir as configurações relevantes no StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos do PowerShell:

Para configurar a chave para comunicações pela porta XML, use o comando [Set-STFStoreFarm https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Por exemplo
  $store = Get-STFStoreService -VirtualPath [Path to store]
  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

  • Path to store
  • Resource feed name
  • secret

Para configurar a chave para comunicações pela porta STA, use os comandos New-STFSecureTicketAuthority e Set-STFRoamingGateway . Por exemplo:

  $gateway = Get-STFRoamingGateway -Name [Gateway name]
  $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

  • Gateway name
  • STA URL
  • Secret

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Configurar as configurações no Citrix ADC

Observação:

Não é necessário configurar esse recurso no Citrix ADC, a menos que você use o Citrix ADC como seu gateway. Se você usa o Citrix ADC, siga as etapas abaixo.

  1. Certifique-se de que a seguinte configuração de pré-requisito já esteja em vigor:

    • Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
      • Endereço IP de gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configurando o endereço NSIP.

      Endereço IP de gerenciamento do ADC

      • Endereço IP de sub-rede (SNIP) para permitir a comunicação entre o dispositivo Citrix ADC e os servidores back-end. Para obter detalhes, consulte Configurando endereços IP de sub-rede.
      • Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para efetuar login no dispositivo ADC para iniciar a sessão. Para obter detalhes, consulte Criar um servidor virtual.

      Endereço IP da sub-rede

    • Os modos e recursos necessários no dispositivo Citrix ADC estão habilitados.
      • Para habilitar os modos, na GUI do Citrix ADC, vá para Sistema > Configurações > Modo de configuração.
      • Para habilitar os recursos, na GUI do Citrix ADC, vá para Sistema > Configurações > Configurar recursos básicos.
    • As configurações relacionadas aos certificados estão concluídas.
      • A Solicitação de Assinatura de Certificado (CSR) é criada. Para obter detalhes, consulte Criar um certificado.

      Criar um certificado CSR

      Instalar certificado do servidor

      Instalar certificado CA

      Gateway para desktops virtuais

  2. Adicione uma ação de reescrita. Para obter detalhes, consulte Configurando uma ação de reescrita.

    1. Vá para AppExpert > Reescrever > Ações.
    2. Clique em Adicionar para adicionar uma ação de reescrita. Você pode nomear a ação como “definir tipo para INSERT_HTTP_HEADER”.

    Adicionar ação de reescrita

    1. Em Digite, selecione INSERT_HTTP_HEADER.
    2. Em Nome do cabeçalho, insira X-Citrix-XmlServiceKey.
    3. Em Expressão, adicione <XmlServiceKey1 value> com aspas. Você pode copiar o valor XmlServiceKey1 da configuração do Desktop Delivery Controller.

    Valor da chave do serviço XML

  3. Adicione uma política de reescrita. Para obter detalhes, consulte Configurando uma política de reescrita.
    1. Vá para AppExpert > Reescrever > Políticas.

    2. Clique em Adicionar para adicionar uma política.

    Adicionar política de reescrita

    1. Em Ação, selecione a ação criada na etapa anterior.
    2. Em Expressão, adicione HTTP.REQ.IS_VALID.
    3. Clique em OK.
  4. Configurar balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.

    Para obter detalhes, consulte Configurar balanceamento de carga básico.

    1. Crie um servidor virtual de balanceamento de carga.
      • Vá para Gerenciamento de Tráfego > Balanceamento de Carga > Servidores.
      • Na página Servidores virtuais , clique em Adicionar.

      Adicionar um servidor de balanceamento de carga

      • Em Protocolo, selecione HTTP.
      • Adicione o endereço IP virtual de balanceamento de carga e em Porta selecione 80.
      • Clique em OK.
    2. Crie um serviço de balanceamento de carga.
      • Vá para Gerenciamento de Tráfego > Balanceamento de Carga > Serviços.

      Adicionar um serviço de balanceamento de carga

      • Em Servidor existente, selecione o servidor virtual criado na etapa anterior.
      • Em Protocolo, selecione HTTP e em Porta selecione 80.
      • Clique em OK, e depois clique em Concluído.
    3. Vincule o serviço ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Serviços e Grupos de Serviços, clique em Sem Balanceamento de Carga de Ligação de Serviço de Servidor Virtual.

      Vincular serviço a um servidor virtual

      • Em Service Binding, selecione o serviço criado anteriormente.
      • Clique em Vincular.
    4. Vincule a política de reescrita criada anteriormente ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Configurações avançadas, clique em Políticas, e então na seção Políticas clique em +.

      Política de reescrita de vínculo

      • Em Escolha Política, selecione Reescrever e em Escolha Tipo, selecione Solicitação.
      • Clique em Continuar.
      • Em Selecione Política, selecione a política de reescrita criada anteriormente.
      • Clique em Vincular.
      • Clique em Concluído.
    5. Configure a persistência para o servidor virtual, se necessário.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Configurações avançadas, clique em Persistência.

      Definir persistência

      • Selecione o tipo de persistência como Outros.
      • Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
      • Em Máscara de rede IPv4, adicione a mesma máscara de rede do DDC.
      • Clique em OK.
    6. Repita essas etapas para o outro servidor virtual também.

Alterações de configuração se o dispositivo Citrix ADC já estiver configurado com o Citrix Virtual Desktops

Se você já configurou o dispositivo Citrix ADC com o Citrix Virtual Desktops, para usar o recurso Secure XML, você deve fazer as seguintes alterações de configuração.

  • Antes de iniciar a sessão, altere a URL da Autoridade do Ticket de Segurança ** do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
  • Certifique-se de que o parâmetro TrustRequestsSentToTheXmlServicePort esteja definido como Falso. Por padrão, o parâmetro TrustRequestsSentToTheXmlServicePort é definido como Falso. Entretanto, se o cliente já tiver configurado o Citrix ADC para Citrix Virtual Desktops, então TrustRequestsSentToTheXmlServicePort será definido como True.
  1. Na GUI do Citrix ADC, vá para Configuração > Integrar com produtos Citrix e clique em XenApp e XenDesktop.
  2. Selecione a instância do gateway e clique no ícone de edição.

    Editar configuração de gateway existente

  3. No painel StoreFront, clique no ícone de edição.

    Editar detalhes do StoreFront

  4. Adicione a URL da Autoridade de Ticket Seguro **.
    • Se o recurso XML seguro estiver habilitado, a URL do STA deverá ser a URL do serviço de balanceamento de carga.
    • Se o recurso XML seguro estiver desabilitado, a URL do STA deverá ser a URL do STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deverá ser definido como True.

    Adicionar URLs STA

Gerenciar chaves de segurança