Certificate management

概述

HDX™ 直接连接通过网络级加密进行保护。为此，每个会话主机都有一个唯一的自签名根 CA 证书和一个相应的服务器证书，该证书由自签名根 CA 证书签名。

此解决方案提供以下优势：

• 简化安全性： HDX 直接连接受到保护，无需在环境中管理证书的额外管理开销。
• 减少攻击面： 攻击面仅限于单个主机，因为每个主机都有一组唯一的密钥和证书。
• 增强非持久性环境的安全性： 在具有非持久性会话主机的环境中，安全性得到进一步增强，因为每次重新启动时都会生成新的密钥和证书。

会话主机

Citrix ClxMtp 服务和Citrix 证书管理器服务是负责管理每个会话主机上证书的两个服务。ClxMtp 服务负责密钥生成和轮换，而证书管理器服务负责生成和管理证书。

创建了两个证书：一个自签名根 CA 证书和一个服务器证书。两者都颁发了两年有效期；但是，当密钥轮换时，它们会被替换。此外，每次非持久性计算机重新启动时都会生成新证书。

每个证书的详细信息如下：

• 自签名根 CA
  • Issued to: CA-Citrix-Certificate-Manager
  • 颁发者：CA-Citrix-证书管理器
  • 颁发者详细信息：组织为 思杰系统公司。
• 服务器证书
  • 颁发给：<主机 完全限定域名>（例如，FTLW11-001.ctxlab.net）
  • Issued by: CA-Citrix-Certificate-Manager
  • 颁发者详细信息：组织为思杰系统公司。

注意：

Citrix 证书管理器服务生成使用 2048 位密钥的 RSA 证书。

如果存在由 Citrix 证书管理器服务创建的现有计算机证书，并且主题名称与计算机的 FQDN 不匹配，则会生成新证书。

密钥轮换

Citrix ClxMtp 服务每六个月自动轮换密钥。但是，您可以通过增加会话主机注册表中的轮换计数器来手动触发密钥轮换。

要轮换密钥，请更新以下值：

• Key: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
• Value type: DWORD
• Value name: ClxMtpRotateRequestCounter
• 数据：整数（十进制）

注意：

首次密钥轮换：

1. Create the ClxMtpConnectorSvcRotateKeyPairs key.
2. Create and set the ClxMtpRotateRequestCounter value to 1.

在执行后续的密钥轮换操作时，请务必将 ClxMtpRotateRequestCounter 的值增加 1。

一旦该值得到更新，Citrix ClxMtp Service 将自动执行密钥轮换，并且无需重新启动。Citrix Certificate Manager Service 在检测到新的密钥后，将会自动生成新的证书。

客户端设备

根 CA 证书通过已建立的安全可信连接路径由 Workspace 或 Storefront™ 发送到客户端。这消除了将 CA 证书分发到客户端设备的证书存储的需要，并确保客户端信任用于保护 HDX Direct 连接的证书。

使用自定义证书

HDX Direct 支持使用由您自己的 PKI 颁发和管理的证书。以下步骤概述了如何安装证书、配置必要的权限、将其绑定到会话管理器服务以及启用所需的 TLS 侦听器。

1. 如果 HDX Direct 在计算机上已禁用，请跳到步骤 2。如果 HDX Direct 已启用，请按照以下步骤操作：
   1. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   2. 请将 SSLEnabled 的值设定为 0。
   3. Navigate to HKLM\Software\Citrix\HDX-Direct.
   4. Set the HdxDirectCaInTls value to 0.

2. 在计算机的证书存储中安装由您的 PKI 颁发的相应证书。

3. 授予会话管理器服务对证书私钥的读取权限。
   1. 启动微软管理控制台 (MMC): 开始 > 运行 > mmc.exe。
   2. 导航到 文件 > 添加/删除管理单元。
   3. 选择 证书，然后单击 添加。
   4. 选择 计算机帐户，然后单击 下一步。
   5. 选择 本地计算机，然后单击 完成。
   6. 导航到 证书 (本地计算机) > 个人 > 证书。
   7. 右键单击相应的证书，然后选择 所有任务 > 管理私钥。
   8. 添加以下服务之一并授予其读取权限：
      • 对于 单会话 VDA：NT SERVICE\PorticaService
      • 对于 多会话 VDA：NT SERVICE\TermService
   9. 单击 应用，然后单击 确定。
4. 将证书绑定到会话管理器服务。
   1. 检索证书指纹（双击证书 > 详细信息 > 指纹）。
   2. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   3. 编辑 SSLThumbprint 值并粘贴证书的指纹。
5. 启用 Citrix 传输层安全侦听器。
   1. 在同一注册表位置，将 SSLEnabled 值设置为 1。
6. 启用 HDX 直连（在 Citrix 策略 中）。

Citrix 虚拟应用和桌面 安装介质包含一个 PowerShell 脚本 (Enable-VdaSSL.ps1)，可自动执行以下多项任务：

• 设置证书密钥的访问控制权限
• 将证书与会话管理器服务进行绑定
• 启用 Citrix TLS 侦听器功能

此脚本位于 Support > Tools > SslSupport 目录中。有关更多详细信息，请参阅 使用 PowerShell 脚本在 VDA 上配置 TLS。

注意：

如果使用自己的证书，连接到会话主机的设备需要安装正确的根 CA 和中间 CA 证书。