-
-
Criar e gerenciar conexões e recursos
-
Pools de identidade de diferentes tipos de associação de identidade de máquina
-
Serviço Citrix Secure Ticketing Authority (STA) Autônomo do Cloud Connector
-
-
-
Gerenciamento de certificados
-
-
-
-
-
-
Coletar um Rastreamento do Citrix Diagnostic Facility (CDF) na Inicialização do Sistema
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gerenciamento de certificados
Visão geral
As conexões HDX™ Direct são protegidas com criptografia em nível de rede. Para facilitar isso, cada host de sessão tem um certificado raiz de CA autoassinado exclusivo e um certificado de servidor correspondente, que é assinado pelo certificado raiz de CA autoassinado.
Esta solução oferece as seguintes vantagens:
- Segurança simplificada: As conexões HDX Direct são protegidas sem a sobrecarga administrativa de gerenciar certificados no ambiente.
- Superfície de ataque reduzida: A superfície de ataque é limitada a um único host porque cada host tem um conjunto exclusivo de chaves e certificados.
- Segurança aprimorada para ambientes não persistentes: Em ambientes com hosts de sessão não persistentes, a segurança é ainda mais aprimorada, pois novas chaves e certificados são gerados a cada reinício.
Host de sessão
O Citrix ClxMtp Service e o Citrix Certificate Manager Service são os dois serviços responsáveis pelo gerenciamento de certificados em cada host de sessão. O ClxMtp Service lida com a geração e rotação de chaves, enquanto o Certificate Manager Service gera e gerencia os certificados.
Dois certificados são criados: um CA raiz autoassinado e um certificado de servidor. Ambos são emitidos com um período de validade de dois anos; no entanto, eles são substituídos quando as chaves são rotacionadas. Além disso, novos certificados são gerados cada vez que as máquinas não persistentes são reiniciadas.
Os detalhes de cada certificado são os seguintes:
-
CA raiz autoassinado
- Emitido para: CA-Citrix-Certificate-Manager
- Emitido por: CA-Citrix-Certificate-Manager
- Detalhes do emissor: A organização é Citrix Systems, Inc.
-
Certificado de servidor
- Emitido para: <FQDN do host> (Por exemplo, FTLW11-001.ctxlab.net)
- Emitido por: CA-Citrix-Certificate-Manager
- Detalhes do emissor: A organização é Citrix Systems, Inc.
OBSERVAÇÃO:
O Citrix Certificate Manager Service gera certificados RSA que utilizam chaves de 2048 bits.
Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome do assunto não corresponder ao FQDN da máquina, um novo certificado será gerado.
Rotação de chaves
O Citrix ClxMtp Service rotaciona as chaves automaticamente a cada seis meses. No entanto, você pode acionar uma rotação de chaves manualmente aumentando o contador de rotação no registro do host de sessão.
Para rotacionar as chaves, atualize o seguinte valor:
- Chave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- Tipo de valor: DWORD
- Nome do valor: ClxMtpRotateRequestCounter
- Dados: inteiro (Decimal)
OBSERVAÇÃO:
Para a primeira rotação de chaves:
- Crie a chave ClxMtpConnectorSvcRotateKeyPairs.
- Crie e defina o valor ClxMtpRotateRequestCounter como 1.
Para rotações de chaves subsequentes, aumente o valor ClxMtpRotateRequestCounter em 1.
Uma vez que o valor é atualizado, o Citrix ClxMtp Service rotacionará automaticamente as chaves sem exigir uma reinicialização. O Citrix Certificate Manager Service então gerará novos certificados automaticamente assim que detectar novas chaves.
Dispositivo cliente
O certificado CA raiz é enviado ao cliente pelo Workspace ou Storefront™ através do caminho de conexão seguro e confiável já estabelecido. Isso elimina a necessidade de distribuir certificados CA para os armazenamentos de certificados dos dispositivos cliente e garante que o cliente confie nos certificados usados para proteger a conexão HDX Direct.
Usando certificados personalizados
O HDX Direct oferece suporte ao uso de certificados emitidos e gerenciados pela sua própria PKI. As etapas a seguir descrevem como instalar seu certificado, configurar as permissões necessárias, vinculá-lo ao serviço de gerenciador de sessão e habilitar os ouvintes TLS necessários.
- Prossiga para a etapa 2 se o HDX Direct estiver desabilitado na máquina. Se o HDX Direct estiver habilitado, siga as etapas abaixo:
- Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Defina o valor SSLEnabled como 0.
- Navegue até HKLM\Software\Citrix\HDX-Direct.
- Defina o valor HdxDirectCaInTls como 0.
-
Instale o certificado apropriado emitido pela sua PKI no armazenamento de certificados da máquina.
- Conceda ao serviço de gerenciador de sessão acesso de leitura às chaves privadas do certificado.
- Inicie o console de gerenciamento da Microsoft (MMC): Iniciar > Executar > mmc.exe.
- Navegue até Arquivo > Adicionar/Remover Snap-in.
- Selecione “Certificados” e clique em “Adicionar”.
- Escolha “Conta de computador” e clique em “Avançar”.
- Selecione “Computador local” e clique em “Concluir”.
- Navegue até “Certificados (Computador Local) > Pessoal > Certificados”.
- Clique com o botão direito do mouse no certificado apropriado e selecione “Todas as Tarefas > Gerenciar Chaves Privadas”.
- Adicione um dos seguintes serviços e conceda a ele acesso de Leitura:
- Para VDA de Sessão Única:
NT SERVICE\PorticaService - Para VDA de Múltiplas Sessões:
NT SERVICE\TermService
- Para VDA de Sessão Única:
- Clique em “Aplicar” e depois em “OK”.
- Vincule o certificado ao serviço de gerenciador de sessão.
- Recupere o thumbprint do certificado (clique duas vezes no certificado > “Detalhes” > “Thumbprint”).
- Abra o editor de registro (regedit.exe) e navegue até HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- Edite o valor SSLThumbprint e cole o thumbprint do certificado.
- Habilite os ouvintes TLS da Citrix.
- No mesmo local de registro, defina o valor SSLEnabled como 1.
- Habilite o HDX Direct (na política da Citrix).
A mídia de instalação do Citrix Virtual Apps and Desktops inclui um script PowerShell (Enable-VdaSSL.ps1) que automatiza várias dessas tarefas:
- Definição de permissões para as chaves do certificado
- Vinculação do certificado ao serviço de gerenciador de sessão
- Habilitação dos ouvintes TLS da Citrix
Este script está localizado no diretório Support > Tools > SslSupport. Para obter mais detalhes, consulte Configurar TLS em um VDA usando o script PowerShell.
OBSERVAÇÃO:
Os dispositivos que se conectam aos hosts de sessão precisam ter os certificados CA raiz e CA intermediário corretos instalados se você estiver usando seus próprios certificados.
Compartilhar
Compartilhar
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.