This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
证书管理
概述
HDX™ Direct 连接通过网络级加密进行保护。为此,每个会话主机都拥有一个唯一的自签名根 CA 证书和由该自签名根 CA 证书签名的相应服务器证书。
此解决方案具有以下优势:
- 简化安全性: HDX Direct 连接无需环境内证书管理的管理开销即可获得保护。
- 减少攻击面: 由于每个主机都拥有一组唯一的密钥和证书,因此攻击面仅限于单个主机。
- 增强非持久性环境的安全性: 在非持久性会话主机环境中,由于每次重新启动时都会生成新的密钥和证书,因此安全性会进一步增强。
会话主机
Citrix ClxMtp Service 和 Citrix Certificate Manager Service 是负责管理每个会话主机上证书的两个服务。ClxMtp Service 负责密钥生成和轮换,而 Certificate Manager Service 负责生成和管理证书。
将创建两个证书:一个自签名根 CA 证书和一个服务器证书。这两个证书的有效期均为两年;但是,当密钥轮换时,它们将被替换。此外,每次非持久性计算机重新启动时,都会生成新证书。
每个证书的详细信息如下:
-
自签名根 CA
- 颁发给:CA-Citrix-Certificate-Manager
- 颁发者:CA-Citrix-Certificate-Manager
- 颁发者详细信息:组织为 Citrix Systems, Inc.
-
服务器证书
- 颁发给:<主机 FQDN="">(例如,FTLW11-001.ctxlab.net)主机>
- 颁发者:CA-Citrix-Certificate-Manager
- 颁发者详细信息:组织为 Citrix Systems, Inc.
注意:
Citrix Certificate Manager Service 生成利用 2048 位密钥的 RSA 证书。
如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书,并且主题名称与计算机的 FQDN 不匹配,则会生成新证书。
密钥轮换
Citrix ClxMtp Service 每六个月自动轮换一次密钥。但是,您可以通过增加会话主机注册表中的轮换计数器来手动触发密钥轮换。
要轮换密钥,请更新以下值:
- 键:SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- 值类型:DWORD
- 值名称:ClxMtpRotateRequestCounter
- 数据:整数(十进制)
注意:
对于首次密钥轮换:
- 创建 ClxMtpConnectorSvcRotateKeyPairs 键。
- 创建 ClxMtpRotateRequestCounter 值并将其设置为 1。
对于后续密钥轮换,请将 ClxMtpRotateRequestCounter 值增加 1。
更新该值后,Citrix ClxMtp Service 将自动轮换密钥,无需重新启动。然后,Citrix Certificate Manager Service 在检测到新密钥后将自动生成新证书。
客户端设备
根 CA 证书通过已建立的安全可信连接路径由 Workspace 或 Storefront™ 发送到客户端。这消除了将 CA 证书分发到客户端设备证书存储的需要,并确保客户端信任用于保护 HDX Direct 连接的证书。
使用自定义证书
HDX Direct 支持使用由您自己的 PKI 颁发和管理的证书。以下步骤概述了如何安装证书、配置必要的权限、将其绑定到会话管理器服务以及启用所需的 TLS 侦听器。
- 如果 HDX Direct 在计算机上处于禁用状态,请继续执行步骤 2。如果 HDX Direct 已启用,请按照以下步骤操作:
- 打开注册表编辑器 (regedit.exe) 并导航到 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd。
- 将 SSLEnabled 值设置为 0。
- 导航到 HKLM\Software\Citrix\HDX-Direct。
- 将 HdxDirectCaInTls 值设置为 0。
-
在计算机的证书存储中安装由您的 PKI 颁发的相应证书。
- 授予会话管理器服务对证书私钥的读取访问权限。
- 启动 Microsoft 管理控制台 (MMC):开始 > 运行 > mmc.exe。
- 导航到 文件 > 添加/删除管理单元。
- 选择 证书,然后单击 添加。
- 选择 计算机帐户,然后单击 下一步。
- 选择 本地计算机,然后单击 完成。
- 导航到 证书 (本地计算机) > 个人 > 证书。
- 右键单击相应的证书,然后选择 所有任务 > 管理私钥。
- 添加以下服务之一并授予其读取访问权限:
- 对于 单会话 VDA:
NT SERVICE\PorticaService - 对于 多会话 VDA:
NT SERVICE\TermService
- 对于 单会话 VDA:
- 单击 应用,然后单击 确定。
- 将证书绑定到会话管理器服务。
- 检索证书指纹(双击证书 > 详细信息 > 指纹)。
- 打开注册表编辑器 (regedit.exe) 并导航到 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd。
- 编辑 SSLThumbprint 值并粘贴证书指纹。
- 启用 Citrix TLS 侦听器。
- 在相同的注册表位置,将 SSLEnabled 值设置为 1。
- 启用 HDX Direct(在Citrix 策略中)。
Citrix Virtual Apps and Desktops 安装介质包含一个 PowerShell 脚本 (Enable-VdaSSL.ps1),可自动执行以下多项任务:
- 设置证书密钥的权限
- 将证书绑定到会话管理器服务
- 启用 Citrix TLS 侦听器
此脚本位于 Support > Tools > SslSupport 目录中。有关更多详细信息,请参阅使用 PowerShell 脚本在 VDA 上配置 TLS。
注意:
如果您使用的是自己的证书,则连接到会话主机的设备需要安装正确的根 CA 证书和中间 CA 证书。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.