Sichere Benutzersitzungen mit TLS
Ab Version 7.16 unterstützt der Linux VDA die TLS-Verschlüsselung für sichere Benutzersitzungen. Die TLS-Verschlüsselung ist standardmäßig deaktiviert.
TLS-Verschlüsselung aktivieren
-
Um die TLS-Verschlüsselung für sichere Benutzersitzungen zu aktivieren, müssen Sie Zertifikate abrufen und die TLS-Verschlüsselung sowohl auf dem Linux VDA als auch auf dem Delivery Controller™ (dem Controller) aktivieren.
-
Zertifikate abrufen
Rufen Sie Serverzertifikate im PEM-Format und Root-Zertifikate im CRT-Format von einer vertrauenswürdigen Zertifizierungsstelle (CA) ab. Ein Serverzertifikat enthält die folgenden Abschnitte:
- Zertifikat
- Unverschlüsselter privater Schlüssel
- Zwischenzertifikate (optional)
Ein Beispiel für ein Serverzertifikat:
TLS-Verschlüsselung aktivieren
TLS-Verschlüsselung auf dem Linux VDA aktivieren
Auf dem Linux VDA verwenden Sie das Tool enable_vdassl.sh, um die TLS-Verschlüsselung zu aktivieren (oder zu deaktivieren). Das Tool befindet sich im Verzeichnis /opt/Citrix/VDA/sbin. Informationen zu den im Tool verfügbaren Optionen erhalten Sie, indem Sie den Befehl /opt/Citrix/VDA/sbin/enable_vdassl.sh -help ausführen.
Tipp: Ein Serverzertifikat muss auf jedem Linux VDA-Server installiert sein, und Root-Zertifikate müssen auf jedem Linux VDA-Server und -Client installiert sein.
TLS-Verschlüsselung auf dem Controller aktivieren
Hinweis:
Sie können die TLS-Verschlüsselung nur für ganze Bereitstellungsgruppen aktivieren. Sie können die TLS-Verschlüsselung nicht für bestimmte Anwendungen aktivieren.
Führen Sie in einem PowerShell-Fenster auf dem Controller die folgenden Befehle nacheinander aus, um die TLS-Verschlüsselung für die Zielbereitstellungsgruppe zu aktivieren.
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Hinweis:
Um sicherzustellen, dass nur VDA-FQDNs in einer ICA®-Sitzungsdatei enthalten sind, können Sie auch den Befehl
Set-BrokerSite –DnsResolutionEnabled $trueausführen. Der Befehl aktiviert die DNS-Auflösung. Wenn Sie die DNS-Auflösung deaktivieren, legt eine ICA-Sitzungsdatei VDA-IP-Adressen offen und stellt FQDNs nur für TLS-bezogene Elemente wie SSLProxyHost und UDPDTLSPort bereit.
Um die TLS-Verschlüsselung auf dem Controller zu deaktivieren, führen Sie die folgenden Befehle nacheinander aus:
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $falseSet-BrokerSite –DnsResolutionEnabled $false
Fehlerbehebung
Der folgende Fehler „Can’t assign requested address“ (Angeforderte Adresse kann nicht zugewiesen werden) kann in der Citrix Workspace™-App für Windows auftreten, wenn Sie versuchen, auf eine veröffentlichte Desktopsitzung zuzugreifen:
Als Workaround fügen Sie einen Eintrag zur Datei hosts hinzu, der ähnlich aussieht wie:
<IP-Adresse des Linux VDA> <FQDN des Linux VDA>
Auf Windows-Computern befindet sich die Datei hosts typischerweise unter C:\Windows\System32\drivers\etc\hosts.