Documentação de produtos
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Gerenciamento de certificados

May 31, 2026
Contribuição de: 
C

Visão geral

As conexões diretas HDX™ são protegidas com criptografia em nível de rede. Para facilitar isso, cada host de sessão possui um certificado de CA raiz autoassinado exclusivo e um certificado de servidor correspondente, que é assinado pelo certificado de CA raiz autoassinado.

Esta solução oferece as seguintes vantagens:

  • Segurança Simplificada: As conexões diretas HDX são protegidas sem a sobrecarga administrativa de gerenciar certificados no ambiente.
  • Superfície de Ataque Reduzida: A superfície de ataque é limitada a um único host porque cada host possui um conjunto exclusivo de chaves e certificados.
  • Segurança Aprimorada para Ambientes Não Persistentes: Em ambientes com hosts de sessão não persistentes, a segurança é ainda mais aprimorada, já que novas chaves e certificados são gerados a cada reinício.

Host de sessão

O Citrix ClxMtp Service e o Citrix Certificate Manager Service são os dois serviços responsáveis pelo gerenciamento de certificados em cada host de sessão. O ClxMtp Service lida com a geração e rotação de chaves, enquanto o Certificate Manager Service gera e gerencia os certificados.

Dois certificados são criados: uma CA raiz autoassinada e um certificado de servidor. Ambos são emitidos com um período de validade de dois anos; no entanto, são substituídos quando as chaves são rotacionadas. Além disso, novos certificados são gerados cada vez que máquinas não persistentes são reiniciadas.

Os detalhes de cada certificado são os seguintes:

  • CA Raiz Autoassinada
    • Emitido para: CA-Citrix-Certificate-Manager
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalhes do emissor: A organização é Citrix Systems, Inc.
  • Certificado do Servidor
    • Emitido para: <host FQDN> (Por exemplo, FTLW11-001.ctxlab.net)
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalhes do emissor: A organização é Citrix Systems, Inc.

NOTA:

O Serviço Citrix Certificate Manager gera certificados RSA que utilizam chaves de 2048 bits.

Se houver um certificado de máquina existente criado pelo Serviço Citrix Certificate Manager e o nome do assunto não corresponder ao FQDN da máquina, um novo certificado será gerado.

Rotação de chave

O Serviço Citrix ClxMtp rotaciona automaticamente as chaves a cada seis meses. No entanto, você pode acionar uma rotação de chave manualmente aumentando o contador de rotação no registro do host da sessão.

Para rotacionar as chaves, atualize o seguinte valor:

  • Chave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
  • Tipo de valor: DWORD
  • Nome do valor: ClxMtpRotateRequestCounter
  • Dados: inteiro (Decimal)

NOTA:

Para a primeira rotação de chave:

  1. Crie a chave ClxMtpConnectorSvcRotateKeyPairs.
  2. Crie e defina o valor ClxMtpRotateRequestCounter como 1.

Para rotações de chave subsequentes, aumente o valor ClxMtpRotateRequestCounter em 1.

Uma vez que o valor é atualizado, o Serviço Citrix ClxMtp rotacionará automaticamente as chaves sem exigir uma reinicialização. O Serviço Citrix Certificate Manager gerará novos certificados automaticamente assim que detectar novas chaves.

Dispositivo cliente

O certificado raiz da CA é enviado ao cliente pelo Workspace ou Storefront™ através do caminho de conexão seguro e confiável já estabelecido. Isso elimina a necessidade de distribuir certificados de CA para os armazenamentos de certificados dos dispositivos cliente e garante que o cliente confie nos certificados usados para proteger a conexão HDX Direct.

Usando certificados personalizados

O HDX Direct suporta o uso de certificados emitidos e gerenciados pela sua própria PKI. As etapas a seguir descrevem como instalar seu certificado, configurar as permissões necessárias, vinculá-lo ao serviço de gerenciador de sessão e habilitar os ouvintes TLS necessários.

  1. Prossiga para a etapa 2 se o HDX Direct estiver desabilitado na máquina. Se o HDX Direct estiver habilitado, siga as etapas abaixo:
    1. Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    2. Defina o valor SSLEnabled como 0.
    3. Navegue até HKLM\Software\Citrix\HDX-Direct.
    4. Defina o valor HdxDirectCaInTls como 0.

  2. Instale o certificado apropriado emitido pela sua PKI no armazenamento de certificados da máquina.

  3. Conceda ao serviço de gerenciador de sessão acesso de leitura às chaves privadas do certificado.
    1. Inicie o console de gerenciamento da Microsoft (MMC): Iniciar > Executar > mmc.exe.
    2. Navegue até Arquivo > Adicionar/Remover Snap-in.
    3. Selecione Certificados e clique em Adicionar.
    4. Escolha Conta de computador e clique em Avançar.
    5. Selecione Computador local e clique em Concluir.
    6. Navegue até Certificados (Computador Local) > Pessoal > Certificados.
    7. Clique com o botão direito no certificado apropriado e selecione Todas as Tarefas > Gerenciar Chaves Privadas.
    8. Adicione um dos seguintes serviços e conceda a ele acesso de Leitura:
      • Para VDA de Sessão Única: NT SERVICE\PorticaService
      • Para VDA de Múltiplas Sessões: NT SERVICE\TermService
    9. Clique em Aplicar e depois em OK.
  4. Vincule o certificado ao serviço de gerenciador de sessão.
    1. Recupere o thumbprint do certificado (clique duas vezes no certificado > Detalhes > Thumbprint).
    2. Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    3. Edite o valor de SSLThumbprint e cole o thumbprint do certificado.
  5. Habilite os ouvintes TLS do Citrix.
    1. No mesmo local do registro, defina o valor de SSLEnabled como 1.
  6. Habilite o HDX Direct (na política do Citrix).

A mídia de instalação do Citrix Virtual Apps and Desktops inclui um script PowerShell (Enable-VdaSSL.ps1) que automatiza várias dessas tarefas:

  • Definir permissões para as chaves do certificado
  • Vincular o certificado ao serviço do gerenciador de sessão
  • Habilitar os ouvintes TLS do Citrix

Este script está localizado no diretório Support > Tools > SslSupport. Para mais detalhes, consulte Configurar TLS em um VDA usando o script PowerShell.

NOTA:

Os dispositivos que se conectam aos hosts de sessão precisam ter os certificados de CA raiz e CA intermediária corretos instalados se você estiver usando seus próprios certificados.

Gerenciamento de certificados
May 31, 2026
Contribuição de: 
C
May 31, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.