Product Documentation

加密配置日志记录数据

Sep 14, 2015

Independent Management Architecture (IMA) 是 XenApp 中用于配置、监视和使用所有 XenApp 功能的基础架构。IMA 数据存储存储所有 XenApp 配置。

IMA 加密可保护配置日志记录所使用的管理数据。此信息存储在 IMA 数据存储中。对于对安全性具有较高要求的 IT 环境来说,使用 IMA 加密可为配置日志记录提供更高的安全性。例如,需要严格分离职责的环境或 Citrix 管理员应无权直接访问配置日志记录数据库的环境。

IMA 加密是一种场范围的设置,将在启用加密后应用到场中的所有服务器。因此,要使用 IMA 加密,必须在场中的所有服务器上将其启用。IMA 加密包含以下组件:

组件 说明
CTXKEYTOOL CTXKEYTOOL 也称为 IMA 加密实用程序,是一个命令行实用程序,可以用来管理 IMA 加密和生成密钥文件。CTXKEYTOOL 位于 XenApp 媒体的 Support 文件夹中。
密钥文件 密钥文件包含用于加密敏感 IMA 数据的加密密钥。可以使用 CTXKEYTOOL 创建密钥文件。为了保持加密的完整性,Citrix 建议您将密钥文件保存到一个安全的位置,而且不能随意进行分发。
如果已启用 IMA 加密,必须在场中的所有服务器上加载同一个有效的 IMA 加密密钥。将密钥文件复制到服务器之后,可使用 CTXKEYTOOL 加载密钥。

IMA 加密的配置过程包括以下任务:

  • 在场中的第一台服务器(即配置 XenApp 期间在上面创建该场的服务器)上,生成密钥文件,加载密钥,并将其启用
  • 使场中的其他服务器可以访问该密钥文件或将其放置在一个共享网络位置
  • 将密钥加载到场中的其他服务器(即在配置期间加入场的服务器)
注意:如果要在包含多个场的环境中启用 IMA 加密,Citrix 建议您使用不同名称来命名各个场的密钥。

本次存储 CTXKEYTOOL

  1. 将 CTXKEYTOOL.exe 文件从 XenApp 介质的 Support 文件夹复制到您的本地计算机。
  2. 创建名为 Resource 的文件夹,使其与 CTXKEYTOOL 文件处于目录结构中的同一级别。
  3. 将整个 Support\Resource\en 文件夹复制到新的 Resource 文件夹。
只要维持 CTXKEYTOOL.exe 文件和 Resource\en 文件夹与介质上所用的相对目录结构相同,即可将其存储在计算机上的任意位置。

生成密钥并在场中的第一台服务器上启用 IMA 加密

在 XenApp 场中的第一台服务器(即您在上面创建该场的服务器)上启用 IMA 加密之前,请先安装并配置 XenApp,然后重新启动服务器。

  1. 在创建 XenApp 场所在的服务器上,运行 CTXKEYTOOL 的 generate 选项,从而指定要存储密钥文件的位置的完整 UNC 路径或绝对路径(包括要生成的密钥的文件名)。

    Citrix 建议按照要在上面使用密钥的场来命名密钥,例如 farmakey.ctx。Citrix 还建议将密钥保存到一个使用场名称的文件夹,例如 Farm A Key。

    如果成功生成密钥文件,系统将显示消息“已成功生成密钥”。

  2. 要从文件获取密钥并将其放置在服务器上的正确位置,请在要添加密钥的服务器上运行 CTXKEYTOOL 的 load 选项,从而指定存储密钥文件的位置的完整 UNC 路径或绝对路径(包括密钥文件名)。 如果成功加载密钥,系统将显示消息“密钥加载成功”。
  3. 运行 CTXKEYTOOL 的 newkey 选项,从而使用当前加载的密钥并启用该密钥。 如果 IMA 加密成功启用,系统将显示消息“已替换此场的密钥。已对此场启用 IMA 加密”。

在共享网络位置上存储密钥文件

如果您选择将密钥存储在共享网络位置上,Citrix 建议执行以下操作:
  • 为文件夹命名一个有意义的名称,即文件夹名指定为其创建密钥的场的名称。这在您按照 Citrix 的最佳做法建议为场创建唯一密钥时尤为重要。
  • 确保您用来生成密钥的帐户与要用来配置场中所有服务器的帐户相同。必须使用同一帐户来执行这两项任务。
  1. 生成密钥文件后,像往常一样将其保存到本地目录。
  2. 在生成密钥的服务器上启用 IMA 加密之后,将密钥文件复制到共享网络位置。
  3. 将密钥文件的读取/执行访问权限授予将要加入场的每台服务器以及执行安装任务的管理员。

在加入场的服务器上加载密钥

在要加入 XenApp 场的服务器上启用 IMA 加密之前,请先安装并配置 XenApp,但不要重新启动服务器。

  1. 如果共享网络位置上没有密钥文件,请将密钥文件加载到服务器。
  2. 要从文件获取密钥并将其放置在服务器上的正确位置,请运行 CTXKEYTOOL 的 load 选项,从而指定存储密钥文件的位置的完整 UNC 路径或绝对路径(包括密钥文件名)。 如果成功加载密钥,系统将显示消息“密钥加载成功”。无需在此服务器上启用 IMA 加密,因为已在场中的第一台服务器上启用。
  3. 重新启动服务器。

在配置为加入场的所有服务器上重复此过程。

更改场

如果要将具有 IMA 加密的服务器移动到已启用 IMA 加密的场,请在重新启动所配置的服务器之前,在该服务器上运行 CTXKEYTOOL 的 load 选项(用于指定为新场生成的密钥)。

如果要将已启用 IMA 加密的服务器移动到未启用 IMA 加密的场,要移动的服务器上的 IMA 加密会自动禁用。

管理 IMA 加密

IMA 加密包括可以根据需要使用的其他功能:

  • Citrix 强烈建议生成密钥后立即将场密钥备份到安全的备用位置(例如 CD)。可以在创建密钥文件时创建其副本,也可以通过运行 CTXKEYTOOL 的 backup 选项来备份场密钥。
  • 可以重新创建意外删除、丢失或覆盖的密钥文件。同一场中的所有服务器均使用同一密钥,因此您可以从场中的其他服务器获取密钥;但是,XenApp 不允许您访问密钥。必须通过在场中具有密钥且正常工作的服务器上运行 CTXKEYTOOL 的 backup 选项来重新创建整个密钥文件。
  • 可以通过运行 CTXKEYTOOL 的 disable 选项来禁用 IMA 加密。由于 IMA 加密是场范围的功能,因此,在一台服务器上禁用该功能会在所有服务器上禁用该功能。

    如果禁用 IMA 加密,则要访问配置日志记录数据库,必须重新输入配置日志记录数据库的密码。此外,直至您重新输入数据库凭据之后,才会记录配置信息。

    要在禁用 IMA 加密之后将其重新启用,请运行 CTXKEYTOOL 的 enable 选项。启用 IMA 加密之后,Citrix 建议您运行 CTXKEYTOOL 的 query 选项来验证 IMA 加密是否已启用。

有关 CTXKEYTOOL 的详细信息,请参阅 XenApp 命令参考文档。