Citrix Virtual Apps and Desktops

Gerenciar chaves de segurança

Importante:

  • Você deve usar este recurso em combinação com o StoreFront 1912 LTSR CU2 ou posterior.
  • O recurso Secure XML só é suportado no Citrix ADC e no Citrix Gateway versão 12.1 ou superior.

Nota:

Você pode gerenciar a implantação do seu Citrix Virtual Apps and Desktops usando dois consoles de gerenciamento: Web Studio (baseado na Web) e Citrix Studio (baseado no Windows). Este artigo abrange somente o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.

Este recurso permite que você autorize apenas máquinas StoreFront e Citrix Gateway aprovadas para se comunicarem com Delivery Controllers. Depois que você habilitar esse recurso, todas as solicitações que não contenham a chave serão bloqueadas. Use esse recurso para adicionar uma camada extra de segurança para se proteger contra ataques originados na rede interna.

Eis aqui um fluxo de trabalho geral para usar esse recurso:

  1. Ative o Web Studio para mostrar as configurações do recurso.

  2. Defina as configurações do seu site.

  3. Defina as configurações do StoreFront.

  4. Defina as configurações do Citrix ADC.

Ativar o Web Studio para mostrar as configurações do recurso

Por padrão, as configurações das chaves de segurança estão ocultas do Web Studio. Para permitir que o Web Studio os exiba, use o SDK do PowerShell da seguinte forma:

  1. Execute o SDK do PowerShell do Citrix Virtual Apps and Desktops.
  2. Em uma janela de comando, execute os seguintes comandos:
    • Add-PSSnapIn Citrix*. Esse comando adiciona os snap-ins da Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Para obter mais informações sobre o PowerShell SDK, consulte SDKs e APIs.

Definir configurações para o site

Você pode usar o Web Studio ou o PowerShell para definir as configurações da chave de segurança do seu site.

Usar o Web Studio

  1. Entre no Web Studio, selecione Settings no painel esquerdo.
  2. Localize o bloco Manage security key e clique em Edit. A página Manage Security Key é exibida.

    Assistente Gerenciar chave de segurança

  3. Clique no ícone de atualização para gerar as chaves.

    Importante:

    • Existem duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use apenas uma chave de cada vez. A chave não utilizada é usada apenas para a rotação de chaves.
    • Não clique no ícone de atualização para atualizar a chave já em uso. Se você fizer isso, ocorrerá a interrupção do serviço.
  4. Selecione onde uma chave é necessária para a comunicação:

    • Require key for communications over XML port (StoreFront only). Se selecionada, exige uma chave para autenticar comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta XML, consulte o artigo do Knowledge Center CTX127945.

    • Require key for communications over STA port. Se selecionada, exige uma chave para autenticar comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta STA, consulte o artigo do Knowledge Center CTX101988.

  5. Clique em Save para aplicar as alterações e fechar a janela.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações do Web Studio.

  1. Execute o SDK do PowerShell remoto do Citrix Virtual Apps and Desktops

  2. Em uma janela de comando, execute o seguinte comando:
    • Add-PSSnapIn Citrix*
  3. Execute os seguintes comandos para gerar uma chave e configurar Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Execute os seguintes comandos para gerar uma chave e configurar Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
    • Para autenticar comunicações pela porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar comunicações pela porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Definir as configurações do StoreFront

Depois de concluir a configuração do seu site, você precisa definir as configurações relevantes do StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos do PowerShell:

  • Para configurar a chave para comunicações pela porta XML, use os comandos Get-STFStoreServie e Set-STFStoreService. Por exemplo:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Web Studio>
  • Para configurar a chave para comunicações pela porta STA, use o comando New-STFSecureTicketAuthority. Por exemplo:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Web Studio>

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Definir configurações do Citrix ADC

Nota:

A configuração desse recurso do Citrix ADC não é necessária, a menos que você use o Citrix ADC como gateway. Se você usa o Citrix ADC, siga estas etapas:

  1. Verifique se a seguinte configuração de pré-requisito já está em vigor:

    • Os seguintes endereços IP relacionados ao Citrix ADC são configurados.
      • Endereço IP de gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configurando o endereço NSIP.

      Endereço IP de gerenciamento ADC

      • Endereço IP de sub-rede (SNIP) para permitir a comunicação entre o appliance Citrix ADC e os servidores back-end. Para obter detalhes, consulte Configuração de endereços IP de sub-rede.
      • Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no appliance ADC para iniciar a sessão. Para obter detalhes, consulte Criar um servidor virtual.

      Endereço IP de sub-rede

    • Os modos e recursos necessários no dispositivo Citrix ADC estão ativados.
      • Para ativar os modos, na GUI do Citrix ADC, navegue até System > Settings > Configure Mode.
      • Para habilitar os recursos, na GUI do Citrix ADC, navegue até System > Settings > Configure Basic Features.
    • As configurações relacionadas aos certificados estão completas.
      • A solicitação de assinatura de certificado (CSR) é criada. Para obter detalhes, consulte Criar um certificado.

      Crie um certificado CSR

      Instalar certificado de servidor

      Instalar o certificado CA

      Gateway para desktops virtuais

  2. Adicione uma ação de regravação Para obter detalhes, consulte Configurando uma ação de regravação.

    1. Navegue até AppExpert > Rewrite > Actions.
    2. Clique em Add para adicionar uma nova ação de regravação. Você pode nomear a ação como “set Type to INSERT_HTTP_HEADER”.

    Adicionar ação de regravação

    1. Em Type, selecione INSERT_HTTP_HEADER.
    2. Em Header Name, insira X-Citrix-XMLServiceKey.
    3. Em Expression, adicione <XmlServiceKey1 value> com as aspas. Você pode copiar o valor XmlServiceKey1 da configuração do Desktop Delivery Controller.

    Valor da chave de serviço XML

  3. Adicione uma política de regravação. Para obter detalhes, consulte Configurando uma política de regravação.
    1. Navegue até AppExpert > Rewrite > Policies.

    2. Clique em Add para adicionar uma nova política.

    Adicionar política de regravação

    1. Em Action, selecione a ação criada na etapa anterior.
    2. Em Action, adicione HTTP.REQ.IS_VALID.
    3. Clique em OK.
  4. Configure o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.

    Para obter detalhes, consulte Configurar o balanceamento de carga básico.

    1. Crie um servidor virtual de balanceamento de carga.
      • Navegue até Traffic Management > Load Balancing > Servers.
      • Na página Virtual Servers, clique em Add.

      Adicionar um servidor de balanceamento de carga

      • Em Protocol, selecione HTTP.
      • Adicione o endereço IP virtual de balanceamento de carga e, em Port, selecione 80.
      • Clique em OK.
    2. Crie um serviço de balanceamento de carga.
      • Navegue até Traffic Management > Load Balancing > Services.

      Adicionar um serviço de balanceamento de carga

      • Em Existing Server, selecione o servidor virtual criado na etapa anterior.
      • Em Protocol, selecione HTTP e, em Port, selecione 80.
      • Clique em OK e clique em Done.
    3. Vincule o serviço ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Services and Service Groups, clique em No Load Balancing Virtual Server Service Binding.

      Vincular serviço a um servidor virtual

      • Em Service Binding, selecione o serviço criado anteriormente.
      • Clique em Bind.
    4. Vincule a política de regravação criada anteriormente ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Advanced Settings, clique em Policies e então, na sessão Policies, clique em +.

      Política de reescrita de vínculo

      • Em Choose Policy, selecione Rewrite e em Choose Type, selecione Request.
      • Clique em Continue.
      • Em Select Policy, selecione a política de regravação criada anteriormente.
      • Clique em Bind.
      • Clique em Concluído.
    5. Configure a persistência para o servidor virtual, se necessário.
      • Selecione o servidor virtual criado anteriormente e clique em Edit.
      • Em Advanced Settings, clique em Persistence.

      Definir persistência

      • Selecione o tipo de persistência como Others.
      • Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
      • Em IPv4 Netmask, adicione uma máscara de rede igual à do DDC.
      • Clique em OK.
    6. Repita essas etapas para o outro servidor virtual também.

Mudanças de configuração se o dispositivo Citrix ADC já estiver configurado com o Citrix Virtual Desktops

Se você já configurou o dispositivo Citrix ADC com o Citrix Virtual Desktops, para usar o recurso Secure XML, faça as seguintes alterações de configuração.

  • Antes do início da sessão, altere o Security Ticket Authority URL do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
  • Verifique se o parâmetro TrustRequestsSentToTheXmlServicePort está definido como False. Por padrão, o parâmetro TrustRequestsSentToTheXmlServicePort é definido como False. No entanto, se o cliente já tiver configurado o Citrix ADC para Citrix Virtual Desktops, o TrustRequestsSentToTheXmlServicePort está definido como Verdadeiro.
  1. Na GUI do Citrix ADC, navegue até Configuration > Integrate with Citrix Products e clique em XenApp and XenDesktop.
  2. Selecione a instância do gateway e clique no ícone de edição.

    Editar a configuração de gateway existente

  3. No painel StoreFront, clique no ícone de edição.

    Editar detalhes do StoreFront

  4. Adicione o Secure Ticket Authority URL.
    • Se o recurso XML seguro estiver habilitado, a URL STA deverá ser a URL do serviço de balanceamento de carga.
    • Se o recurso XML seguro estiver desativado, a URL STA deverá ser a URL do STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deve ser definido como True.

    Adicionar URLs STA

Gerenciar chaves de segurança