Citrix Virtual Apps and Desktops

Gerenciar chaves de segurança

January 23, 2026

Contribuição de:

Importante:

Você deve usar este recurso em combinação com o StoreFront™ 1912 LTSR CU2 ou posterior.

O recurso Secure XML é compatível apenas com o Citrix ADC e o Citrix Gateway versão 12.1 e posterior.

Nota:

Você pode gerenciar sua implantação do Citrix Virtual Apps and Desktops™ usando dois consoles de gerenciamento: Web Studio (baseado na web) e Citrix Studio (baseado no Windows). Este artigo aborda apenas o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.

Este recurso permite que você permita que apenas máquinas StoreFront e Citrix Gateway aprovadas se comuniquem com os Delivery Controllers. Depois de habilitar este recurso, todas as solicitações que não contiverem a chave serão bloqueadas. Use este recurso para adicionar uma camada extra de segurança para proteger contra ataques originados da rede interna.

Um fluxo de trabalho geral para usar este recurso é o seguinte:

Habilite o Web Studio para mostrar as configurações do recurso.
Configure as definições para o seu site.
Configure as definições para o StoreFront.
Configure as definições para o Citrix ADC.

Configurar definições para o site

Você pode usar o Web Studio ou o PowerShell para configurar as definições da chave de segurança para o seu site.

Usar o Web Studio

Faça login no Web Studio, selecione Settings no painel esquerdo.
Localize o bloco Manage security key e clique em Edit. A página Manage Security Key é exibida.
Clique no ícone de atualização para gerar as chaves.
Importante:
- Existem duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use apenas uma chave por vez. A chave não utilizada é usada apenas para rotação de chaves.
- Não clique no ícone de atualização para atualizar a chave já em uso. Se o fizer, ocorrerá interrupção do serviço.
Selecione onde uma chave é necessária para as comunicações:
- Require key for communications over XML port (StoreFront only). Se selecionado, exige uma chave para autenticar as comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta XML, consulte o artigo CTX127945 da Central de Conhecimento.
- Require key for communications over STA port. Se selecionado, exige uma chave para autenticar as comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta STA, consulte o artigo CTX101988 da Central de Conhecimento.
Clique em Save para aplicar suas alterações e fechar a janela.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações do Web Studio.

Execute o SDK do PowerShell Remoto do Citrix Virtual Apps and Desktops.
Em uma janela de comando, execute o seguinte comando:
- Add-PSSnapIn Citrix*
Execute os seguintes comandos para gerar uma chave e configurar a Key1:
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey1 <the key you generated>
Execute os seguintes comandos para gerar uma chave e configurar a Key2:
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey2 <the key you generated>
Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
- Para autenticar comunicações pela porta XML:
  - Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- Para autenticar comunicações pela porta STA:
  - Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando PowerShell para obter orientação e sintaxe.

Configurar definições para o StoreFront

Após concluir a configuração do seu site, você precisa configurar as definições relevantes para o StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos do PowerShell:

Para configurar a chave para comunicações pela porta XML, use o comando [Set-STFStoreFarm

https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Por exemplo

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

Path to store
Resource feed name
secret

Para configurar a chave para comunicações pela porta STA, use os comandos New-STFSecureTicketAuthority e Set-STFRoamingGateway. Por exemplo:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

Gateway name
STA URL
Secret

Consulte a ajuda do comando PowerShell para obter orientação e sintaxe.

Configurar definições para o Citrix ADC

Nota:

A configuração deste recurso para o Citrix ADC não é necessária, a menos que você use o Citrix ADC como seu gateway. Se você usa o Citrix ADC, siga estas etapas:

Certifique-se de que a seguinte configuração de pré-requisito já esteja em vigor:
- Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
  - Endereço IP de Gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configuring the NSIP address.
  - Endereço IP de Sub-rede (SNIP) para habilitar a comunicação entre o dispositivo Citrix ADC e os servidores de back-end. Para obter detalhes, consulte Configuring Subnet IP Addresses.
  - Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no dispositivo ADC para iniciar a sessão. Para obter detalhes, consulte Create a virtual server.
- Os modos e recursos necessários no dispositivo Citrix ADC estão habilitados.
  - Para habilitar os modos, na GUI do Citrix ADC, vá para System > Settings > Configure Mode.
  - Para habilitar os recursos, na GUI do Citrix ADC, vá para System > Settings > Configure Basic Features.
- As configurações relacionadas a certificados estão completas.
  - A Solicitação de Assinatura de Certificado (CSR) é criada. Para obter detalhes, consulte Create a certificate.
  - Os certificados de servidor e CA e os certificados raiz são instalados. Para obter detalhes, consulte Install, link, and updates.
  - Um Citrix Gateway foi criado para o Citrix Virtual Desktops. Teste a conectividade clicando no botão Test STA Connectivity para confirmar que os servidores virtuais estão online. Para obter detalhes, consulte Setting up Citrix ADC for Citrix Virtual Apps and Desktops.
Adicione uma ação de reescrita. Para obter detalhes, consulte Configuring a Rewrite Action.
1. Vá para AppExpert > Rewrite > Actions.
2. Clique em Add para adicionar uma nova ação de reescrita. Você pode nomear a ação como “set Type to INSERT_HTTP_HEADER”.
1. Em Type, selecione INSERT_HTTP_HEADER.
2. Em Header Name, insira X-Citrix-XmlServiceKey.
3. Em Expression, adicione <XmlServiceKey1 value> com as aspas. Você pode copiar o valor de XmlServiceKey1 da sua configuração do Desktop Delivery Controller™.
Adicione uma política de reescrita. Para obter detalhes, consulte Configuring a Rewrite Policy.
1. Vá para AppExpert > Rewrite > Policies.
2. Clique em Add para adicionar uma nova política.
1. Em Action, selecione a ação criada na etapa anterior.
2. Em Expression, adicione HTTP.REQ.IS_VALID.
3. Clique em OK.
Configure o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.

Para obter detalhes, consulte Set up basic load balancing.
1. Crie um servidor virtual de balanceamento de carga.
  - Vá para Traffic Management > Load Balancing > Servers.
  - Na página Virtual Servers, clique em Add.
  - Em Protocol, selecione HTTP.
  - Adicione o endereço IP virtual do balanceamento de carga e em Port selecione 80.
  - Clique em OK.
2. Crie um serviço de balanceamento de carga.
  - Vá para Traffic Management > Load Balancing > Services.
  - Em Existing Server, selecione o servidor virtual criado na etapa anterior.
  - Em Protocol, selecione HTTP e em Port selecione 80.
  - Clique em OK e, em seguida, clique em Done.
3. Vincule o serviço ao servidor virtual.
  - Selecione o servidor virtual criado anteriormente e clique em Edit.
  - Em Services and Service Groups, clique em No Load Balancing Virtual Server Service Binding.
  - Em Service Binding, selecione o serviço criado anteriormente.
  - Clique em Bind.
4. Vincule a política de reescrita criada anteriormente ao servidor virtual.
  - Selecione o servidor virtual criado anteriormente e clique em Edit.
  - Em Advanced Settings, clique em Policies e, em seguida, na seção Policies, clique em +.
  - Em Choose Policy, selecione Rewrite e em Choose Type, selecione Request.
  - Clique em Continue.
  - Em Select Policy, selecione a política de reescrita criada anteriormente.
  - Clique em Bind.
  - Clique em Done.
5. Configure a persistência para o servidor virtual, se necessário.
  - Selecione o servidor virtual criado anteriormente e clique em Edit.
  - Em Advanced Settings, clique em Persistence.
  - Selecione o tipo de persistência como Others.
  - Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino).
  - Em IPv4 Netmask, adicione a máscara de rede igual à do DDC.
  - Clique em OK.
6. Repita estas etapas para o outro servidor virtual também.

Alterações de configuração se o dispositivo Citrix ADC já estiver configurado com o Citrix Virtual Desktops™

Se você já configurou o dispositivo Citrix ADC com o Citrix Virtual Desktops, para usar o recurso Secure XML, você deve fazer as seguintes alterações de configuração.

Antes do início da sessão, altere a Security Ticket Authority URL do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
Certifique-se de que o parâmetro TrustRequestsSentToTheXmlServicePort esteja definido como False. Por padrão, o parâmetro TrustRequestsSentToTheXmlServicePort é definido como False. No entanto, se o cliente já configurou o Citrix ADC para o Citrix Virtual Desktops, o TrustRequestsSentToTheXmlServicePort é definido como True.

Na GUI do Citrix ADC, vá para Configuration > Integrate with Citrix Products e clique em XenApp and XenDesktop®.
Selecione a instância do gateway e clique no ícone de edição.
No painel StoreFront, clique no ícone de edição.
Adicione a Secure Ticket Authority URL.
- Se o recurso Secure XML estiver habilitado, a STA URL deve ser a URL do serviço de balanceamento de carga.
- Se o recurso Secure XML estiver desabilitado, a STA URL deve ser a URL da STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deve ser definido como True.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Gerenciar chaves de segurança

January 23, 2026

Contribuição de:

January 23, 2026

Contribuição de:

Isso foi útil?