Product Documentation

使用 DTLS 的安全用户会话

Feb 26, 2018

在此版本中,Citrix 将 DTLS 作为实验性功能引入所有支持的 Linux 平台。默认情况下,此功能处于禁用状态。

XenApp 和 XenDesktop 支持对组件之间基于 TCP 的连接使用传输层安全性 (TLS) 协议。XenApp 和 XenDesktop 还可通过使用自适应传输,对基于 UDP 的 ICA/HDX 连接使用数据报传输层安全性 (DTLS) 协议。有关详细信息,请参阅传输层安全性

启用 DTLS 加密

在 Linux VDA 上启用 SSL 加密

在 Linux VDA 上,使用 enable_vdassl.sh 工具启用(或禁用)SSL 加密。该工具位于 /opt/Citrix/VDA/sbin。有关该工具中可用选项的信息,请运行 /opt/Citrix/VDA/sbin/enable_vdassl.sh –h 命令。 

注意

当前,Citrix Receiver 仅支持 DTLS 1.0。请使用 enable_vdassl.sh 工具将 SSLMinVersion 设置为 TLS_1.0,将 SSLCipherSuite 设置为 COMALL

验证自适应传输是否已启用

在 Citrix Studio 中,验证 HDX 自适应传输策略设置为首选还是诊断模式

在 Linux VDA 上启用 DTLS 加密

要启用 DTLS 加密,请在 VDA 上以 root 用户身份运行以下命令。

命令 复制

sudo /opt/Citrix/VDA/bin/ctxreg update -k  "HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\icawd\Tds\udp"   -v  "fDTLSEnabled" -d "0x00000001"

设置防火墙规则以允许传输 DTLS 流量

RHEL 7/CentOS 7

以 root 用户身份运行以下命令。

命令 复制

firewall-cmd --permanent --zone=public --add-port=443/udp

RHEL 6/CentOS 6

1. 将以下行添加到 /etc/xdl/firewall 中的 ctxhdx 文件中。

-I INPUT 1 -p udp -m udp --dport 443 -j ACCEPT   

2. 以 root 用户身份运行以下命令。

命令 复制

lokkit --custom-rules=ipv4:filter:/etc/xdl/firewall/ctxhdx

SUSE 12

1. 将以下行添加到 /etc/sysconfig/SuSEfirewall2.d/services/ 中的 ctxhdx 文件中。

UDP="443"  

2. 以 root 用户身份运行以下命令。

命令 复制

yast2 firewall services add zone=EXT service=service:ctxhdx

Ubuntu 16

以 root 用户身份运行以下命令。

命令 复制

ufw allow proto udp from any to any port 443

注意

DTLS 加密使用与 SSL 加密相同的端口(默认为 443)。要为 DTLS 加密配置不同的端口,请相应地设置防火墙规则。启用 DTLS 加密后,请按此顺序重新启动 VDA 服务和 HDX 服务,以使设置生效。