Certificate management

概述

HDX™ 直连通过网络级加密进行保护。为此，每个会话主机都有一个唯一的自签名根 CA 证书以及一个相应的服务器证书，该证书由自签名根 CA 证书签名。

此解决方案提供以下优势：

• 简化安全性： HDX 直连受到保护，无需在环境中管理证书的额外管理开销。
• 减少攻击面： 攻击面仅限于单个主机，因为每个主机都有一组唯一的密钥和证书。
• 增强非持久性环境的安全性： 在具有非持久性会话主机的环境中，每次重新启动时都会生成新的密钥和证书，从而进一步增强了安全性。

会话主机

Citrix ClxMtp 服务和Citrix 证书管理器服务是负责管理每个会话主机上证书的两个服务。ClxMtp 服务处理密钥生成和轮换，而证书管理器服务生成和管理证书。

创建了两个证书：一个自签名根 CA 证书和一个服务器证书。两者都颁发了两年有效期；但是，当密钥轮换时，它们会被替换。此外，每次非持久性计算机重新启动时都会生成新的证书。

每个证书的详细信息如下：

• 自签名根 CA
  • Issued to: CA-Citrix-Certificate-Manager
  • 颁发者：CA-思杰-证书管理器
  • 颁发者详细信息：组织为 思杰系统公司
• 服务器证书
  • Issued to: <host FQDN> (For example, FTLW11-001.ctxlab.net)
  • Issued by: CA-Citrix-Certificate-Manager
  • 颁发者详细信息：组织为思杰系统公司。

注意：

Citrix 证书管理器服务生成利用 2048 位密钥的 RSA 证书。

如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书，并且主题名称与计算机的 FQDN 不匹配，则会生成新证书。

密钥轮换

Citrix ClxMtp Service 每六个月自动轮换密钥。但是，您可以通过增加会话主机的注册表中的轮换计数器来手动触发密钥轮换。

要轮换密钥，请更新以下值：

• Key: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
• 值的数据类型：DWORD
• Value name: ClxMtpRotateRequestCounter
• 数据：整数（十进制）

注意：

首次密钥轮换：

1. Create the ClxMtpConnectorSvcRotateKeyPairs key.
2. Create and set the ClxMtpRotateRequestCounter value to 1.

在后续的密钥轮换操作中，请将 ClxMtpRotateRequestCounter 的值增加一个单位。

Once the value is updated, the Citrix ClxMtp Service will automatically rotate the keys without requiring a restart. The Citrix Certificate Manager Service will then generate new certificates automatically once it detects new keys.

客户端设备

根 CA 证书通过已建立的安全可信连接路径由 Workspace 或 Storefront™ 发送给客户端。这消除了将 CA 证书分发到客户端设备的证书存储的需要，并确保客户端信任用于保护 HDX Direct 连接的证书。

使用自定义证书

HDX Direct 支持使用由您自己的 PKI 颁发和管理的证书。以下步骤概述了如何安装证书、配置必要的权限、将其绑定到会话管理器服务以及启用所需的 TLS 侦听器。

1. 如果计算机上禁用了 HDX Direct，请继续执行步骤 2。如果启用了 HDX Direct，请按照以下步骤操作：
   1. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   2. 将 SSLEnabled 的参数值设定为 0。
   3. Navigate to HKLM\Software\Citrix\HDX-Direct.
   4. Set the HdxDirectCaInTls value to 0.

2. 在计算机的证书存储中安装由您的 PKI 颁发的相应证书。

3. 授予会话管理器服务对证书私钥的读取权限。
   1. 启动微软管理控制台 (MMC): 开始 > 运行 > mmc.exe。
   2. 导航到 文件 > 添加/删除管理单元。
   3. 选择 证书，然后单击 添加。
   4. 选择 计算机帐户，然后单击 下一步。
   5. 选择 本地计算机，然后单击 完成。
   6. 导航到 证书 (本地计算机) > 个人 > 证书。
   7. 右键单击相应的证书，然后选择 所有任务 > 管理私钥。
   8. 添加以下服务之一并授予其读取权限：
      • 对于 单会话 VDA：NT SERVICE\PorticaService
      • 对于 多会话 VDA：NT SERVICE\TermService
   9. 单击 应用，然后单击 确定。
4. 将证书绑定到会话管理器服务。
   1. 检索证书指纹（双击证书 > 详细信息 > 指纹）。
   2. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   3. 编辑 SSLThumbprint 值并粘贴证书的指纹。
5. 启用 Citrix TLS 侦听器功能。
   1. 在同一注册表位置，将 SSLEnabled 值设置为 1。
6. 启用 HDX 直连（在 Citrix 策略 中）。

Citrix 虚拟应用和桌面 安装介质包含一个 PowerShell 脚本 (Enable-VdaSSL.ps1)，可自动执行以下多项任务：

• 设置证书所使用的密钥的权限
• 将证书绑定到会话管理器服务上
• 启用 Citrix 的 TLS 侦听器

此脚本位于 Support > Tools > SslSupport 目录中。有关更多详细信息，请参阅 使用 PowerShell 脚本在 VDA 上配置 TLS。

注意：

如果使用自己的证书，连接到会话主机的设备需要安装正确的根 CA 和中间 CA 证书。