Schützen von Benutzersitzungen mit TLS
Ab Version 7.16 unterstützt der Linux VDA die TLS-Verschlüsselung für sichere Benutzersitzungen. Die TLS-Verschlüsselung ist standardmäßig deaktiviert.
TLS-Verschlüsselung aktivieren
Zum Aktivieren der TLS-Verschlüsselung für sichere Benutzersitzungen beschaffen Sie Zertifikate und aktivieren Sie die TLS-Verschlüsselung auf Linux VDA und auf dem Delivery Controller (dem Controller).
Beschaffen von Zertifikaten
Beziehen Sie von einer vertrauenswürdigen Zertifizierungsstelle Serverzertifikate im PEM-Format und Stammzertifikate im CRT-Format. Serverzertifikate enthalten die folgenden Abschnitte:
- Zertifikat
- Nicht verschlüsselter privater Schlüssel
- Zwischenzertifikate (optional)
Ein Beispiel eines Serverzertifikats:
TLS-Verschlüsselung aktivieren
Aktivieren der TLS-Verschlüsselung auf dem Linux VDA
Verwenden Sie auf dem Linux VDA das Tool enable_vdassl.sh
, um die TLS-Verschlüsselung zu aktivieren oder zu deaktivieren. Das Tool ist im Verzeichnis /opt/Citrix/VDA/sbin. Informationen zu den Optionen des Tools können Sie über den Befehl /opt/Citrix/VDA/sbin/enable_vdassl.sh -help
aufrufen.
Tipp: Auf jedem Linux VDA-Server muss ein Serverzertifikat installiert sein und auf jedem Linux VDA-Server und -Client müssen Stammzertifikate installiert sein.
Enable TLS encryption on the Controller
Hinweis:
Sie können die TLS-Verschlüsselung nur für ganze Bereitstellungsgruppen aktivieren. Für einzelne Anwendungen können Sie die TLS-Verschlüsselung nicht aktivieren.
Führen Sie in einem PowerShell-Fenster auf dem Controller die folgenden Befehle nacheinander aus, um die TLS-Verschlüsselung für die gewünschte Bereitstellungsgruppe zu aktivieren.
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Hinweis:
Um sicherzustellen, dass nur VDA-FQDNs in einer ICA-Sitzungsdatei enthalten sind, können Sie auch den Befehl
Set-BrokerSite –DnsResolutionEnabled $true
ausführen. Der Befehl aktiviert die DNS-Auflösung. Wenn Sie die DNS-Auflösung deaktivieren, legt eine ICA-Sitzungsdatei VDA-IP-Adressen offen und stellt FQDNs nur für TLS-bezogene Elemente wie SSLProxyHost und UDPDTLSPort bereit.
Zum Deaktivieren der TLS-Verschlüsselung auf dem Controller führen Sie die folgenden Befehle nacheinander aus:
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
Set-BrokerSite –DnsResolutionEnabled $false
Problembehandlung
Der folgende Fehler “Angeforderte Adresse kann nicht zugewiesen werden” kann in Citrix Workspace-App für Windows auftreten, wenn Sie versuchen, auf eine veröffentlichte Desktopsitzung zuzugreifen:
Fügen Sie als Workaround der Datei hosts einen Eintrag hinzu, der folgendem Beispiel folgt:
<IP address of the Linux VDA> <FQDN of the Linux VDA>
Auf Windows-Computern ist die Hosts-Datei normalerweise unter C:\Windows\System32\drivers\etc\hosts
.