-
-
-
安全密钥
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
管理安全密钥
注意:
您必须将此功能与 StoreFront 1912 LTSR CU2 或更高版本结合使用。
安全 XML 功能仅在 Citrix ADC 和 Citrix Gateway 版本 12.1 及更高版本上受支持。
此功能允许您仅允许已批准的 StoreFront 和 Citrix Gateway 计算机与 Citrix Delivery Controller 通信。 开启该功能后,任何不包含 Key 的请求都将被阻止。 使用此功能可添加额外的安全层,以防止来自内部网络的攻击。
使用此功能的一般工作流程如下:
-
在 Studio 中显示安全密钥设置。 (使用远程 PowerShell SDK)
-
配置部署的设置。 (使用 Studio 或 Remote PowerShell SDK)。
-
在 StoreFront 中配置设置。 (使用 PowerShell).
-
在 Citrix ADC 中配置设置。
配置部署的设置
您可以使用 Studio 或 PowerShell 配置部署设置。
使用 Studio
启用该功能后,导航到 设置 > 管理安全密钥 ,然后单击 编辑. 这 管理安全密钥 blade 显示。 点击 救 以应用更改并退出 Blade。
-priority
- 有两个密钥可供使用。 您可以使用相同密钥或不同的密钥通过 XML 和 STA 端口进行通信。 我们建议您一次只使用一个密钥。 未使用的 key 仅用于 key 轮换。
- 请勿单击刷新图标来更新已在使用的密钥。 否则,将发生服务中断。
单击刷新图标以生成新密钥。
需要密钥才能通过 XML 端口进行通信(仅限 StoreFront). 如果选中,则需要密钥来验证通过 XML 端口的通信。 StoreFront 通过此端口与 Citrix Cloud 通信。 有关更改 XML 端口的信息,请参阅知识中心文章 CTX127945.
需要密钥才能通过 STA 端口进行通信. 如果选中,则需要密钥来验证通过 STA 端口的通信。 Citrix Gateway 和 StoreFront 通过此端口与 Citrix Cloud 通信。 有关更改 STA 端口的信息,请参见知识中心文章 CTX101988.
应用更改后,单击 关闭 退出 管理安全密钥 叶片。
使用远程 PowerShell SDK
以下是等效于 Studio 中执行的操作的 PowerShell 步骤。
-
运行远程 PowerShell SDK。
- 在命令窗口中,运行以下命令:
Add-PSSnapIn Citrix*
- 执行以下命令生成 Key 并设置 Key1。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- 执行以下命令生成 Key 并设置 Key2。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 运行以下一个或两个命令,以启用密钥对通信进行身份验证:
- 要验证通过 XML 端口的通信:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- 要验证通过 STA 端口的通信,请执行以下操作:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- 要验证通过 XML 端口的通信:
有关指南和语法,请参阅 PowerShell 命令帮助。
在 StoreFront 中配置设置
完成部署设置后,您需要使用 PowerShell 在 StoreFront 中配置相关设置。
在 StoreFront 服务器上,运行以下 PowerShell 命令:
要配置通过 XML 端口进行通信的密钥,请使用命令 Set-STFStoreFarm. 例如:
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
为以下参数输入适当的值:
Path to storeResource feed namesecret
要配置通过 STA 端口进行通信的密钥,请使用 新 STFSecureTicketAuthority 和 Set-STFRoamingGateway 命令。 例如:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
为以下参数输入适当的值:
Gateway nameSTA URLSecret
有关指南和语法,请参阅 PowerShell 命令帮助。
在 Citrix ADC 中配置设置
注意:
除非您使用 Citrix ADC 作为网关,否则不需要在 Citrix ADC 中配置此功能。 如果您使用 Citrix ADC,请按照以下步骤操作。
-
确保以下先决条件配置已就绪:
- 配置了以下与 Citrix ADC 相关的 IP 地址。
- 用于访问 Citrix ADC 控制台的 Citrix ADC 管理 IP (NSIP) 地址。 有关详细信息,请参阅 配置 NSIP 地址.
- 子网 IP (SNIP) 地址,用于启用 Citrix ADC 设备与后端服务器之间的通信。 有关详细信息,请参阅 配置子网 IP 地址.
- Citrix Gateway 虚拟 IP 地址和负载均衡器虚拟 IP 地址,用于登录 ADC 设备以启动会话。 有关详细信息,请参阅 创建虚拟服务器.
- Citrix ADC 设备中所需的模式和功能已启用。
- 要启用这些模式,请在 Citrix ADC GUI 中转到 系统 > 设置 > 配置模式.
- 要启用这些功能,请在 Citrix ADC GUI 中转到 系统 > 设置 > 配置基本功能.
- 证书相关配置齐全。
- 创建证书签名请求 (CSR)。 有关详细信息,请参阅 创建证书.
- 将安装服务器和 CA 证书以及根证书。 有关详细信息,请参阅 安装、链接和更新.
- 已为 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)创建了 Citrix Gateway。 通过单击 测试 STA 连接 按钮确认虚拟服务器处于联机状态。 有关详细信息,请参阅 为 Citrix Virtual Apps and Desktops 设置 Citrix ADC.
- 配置了以下与 Citrix ADC 相关的 IP 地址。
-
添加重写操作。 有关详细信息,请参阅 配置 Rewrite 操作.
- 转到 应用专家 > 重写 > 行动.
- 点击 加 以添加新的重写操作。 您可以将操作命名为 “set Type to INSERT_HTTP_HEADER”。
- 在 类型选择 INSERT_HTTP_HEADER.
- 在 标头名称,输入 X-Citrix-XmlServiceKey。
- 在 表达加
<XmlServiceKey1 value>与引号。 您可以从 Desktop Delivery Controller 配置中复制 XmlServiceKey1 值。
- 添加重写策略。 有关详细信息,请参阅 配置重写策略.
-
转到 应用专家 > 重写 > 政策.
-
点击 加 以添加新策略。
- 在 行动中,选择在上一步中创建的操作。
- 在 表达中,添加 HTTP。REQ.IS_VALID。
- 单击 “ 确定”。
-
-
设置负载均衡。 必须为每个 STA 服务器配置一个负载平衡虚拟服务器。 否则,会话将无法启动。
有关详细信息,请参阅 设置基本负载均衡.
- 创建负载平衡虚拟服务器。
- 转到 流量管理 > 负载均衡 > 服务器.
- 在 虚拟服务器 页面上,单击 加.
- 在 协议选择 HTTP 协议.
- 添加负载均衡虚拟 IP 地址,然后在 港口 选择 80.
- 单击 “ 确定”。
- 创建负载均衡服务。
- 转到 流量管理 > 负载均衡 > 服务业.
- 在 现有服务器,选择在上一步中创建的虚拟服务器。
- 在 协议选择 HTTP 协议 和 港口 选择 80.
- 点击 还行 ,然后单击 做.
- 将服务绑定到虚拟服务器。
- 选择之前创建的虚拟服务器,然后单击 编辑.
- 在 服务和服务组点击 无负载平衡虚拟服务器服务绑定.
- 在 服务绑定,选择之前创建的 Citrix DaaS。
- 点击 捆.
- 将之前创建的重写策略绑定到虚拟服务器。
- 选择之前创建的虚拟服务器,然后单击 编辑.
- 在 高级设置点击 政策 然后在 政策 部分单击 +.
- 在 选择 Policy (策略)选择 重写 和 选择 Type (类型)选择 请求.
- 点击 继续.
- 在 选择策略中,选择之前创建的重写策略。
- 点击 捆.
- 单击完成。
- 如有必要,为虚拟服务器设置持久性。
- 选择之前创建的虚拟服务器,然后单击 编辑.
- 在 高级设置点击 坚持.
- 选择持久性类型作为 别人.
- 选择 DESTIP 根据虚拟服务器选择的服务的 IP 地址(目标 IP 地址)创建持久性会话
- 在 IPv4 网络掩码,添加与 DDC 相同的网络掩码。
- 单击 “ 确定”。
- 对其他虚拟服务器也重复这些步骤。
- 创建负载平衡虚拟服务器。
如果 Citrix ADC 设备已配置了 Citrix DaaS,则配置更改
如果您已经使用 Citrix DaaS 配置了 Citrix ADC 设备,则要使用安全 XML 功能,必须进行以下配置更改。
- 在会话启动之前,将 安全票证颁发机构 URL 使用负载平衡虚拟服务器的 FQDN。
- 确保
TrustRequestsSentToTheXmlServicePortparameter 设置为 False。 默认情况下,TrustRequestsSentToTheXmlServicePortparameter 设置为 False。 但是,如果客户已经为 Citrix DaaS 配置了 Citrix ADC,则TrustRequestsSentToTheXmlServicePort设置为 True。
- 在 Citrix ADC GUI 中,转到 配置 > 与 Citrix 产品集成 ,然后单击 XenApp 和 XenDesktop.
-
选择网关实例,然后单击编辑图标。
-
在 StoreFront 窗格中,单击编辑图标。
- 添加 Secure Ticket Authority 网址.
- 如果启用了安全 XML 功能,则 STA URL 必须是负载平衡服务的 URL。
- 如果禁用了安全 XML 功能,则 STA URL 必须是 STA 的 URL(DDC 的地址),并且 DDC 上的 TrustRequestsSentToTheXmlServicePort 参数必须设置为 True。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.