Sichere Benutzersitzungen mit TLS
Ab Version 7.16 unterstützt der Linux VDA die TLS-Verschlüsselung für sichere Benutzersitzungen. Die TLS-Verschlüsselung ist standardmäßig deaktiviert.
TLS-Verschlüsselung aktivieren
-
Um die TLS-Verschlüsselung für sichere Benutzersitzungen zu aktivieren, installieren Sie Zertifikate und aktivieren Sie die TLS-Verschlüsselung sowohl auf dem Linux VDA als auch auf dem Delivery Controller™ (dem Controller).
-
Zertifikate auf dem Linux VDA installieren
Besorgen Sie sich Serverzertifikate im PEM-Format und Root-Zertifikate im CRT-Format. Ein Serverzertifikat enthält die folgenden Abschnitte:
- Zertifikat
- Unverschlüsselter privater Schlüssel
- Zwischenzertifikate (optional)
Ein Beispiel für ein Serverzertifikat:
TLS-Verschlüsselung aktivieren
TLS-Verschlüsselung auf dem Linux VDA aktivieren
Verwenden Sie auf dem Linux VDA das Skript enable_vdassl.sh im Verzeichnis /opt/Citrix/VDA/sbin, um die TLS-Verschlüsselung zu aktivieren (oder zu deaktivieren). Informationen zu den im Skript verfügbaren Optionen erhalten Sie, indem Sie den Befehl /opt/Citrix/VDA/sbin/enable_vdassl.sh -help ausführen.
Tipp: Ein Serverzertifikat muss auf jedem Linux VDA-Server installiert werden, und Root-Zertifikate müssen auf jedem Linux VDA-Server und -Client installiert werden.
TLS-Verschlüsselung auf dem Controller aktivieren
Hinweis:
Sie können die TLS-Verschlüsselung nur für ganze Bereitstellungsgruppen aktivieren. Sie können die TLS-Verschlüsselung nicht für bestimmte Anwendungen aktivieren.
Führen Sie in einem PowerShell-Fenster auf dem Controller die folgenden Befehle nacheinander aus, um die TLS-Verschlüsselung für die Zielbereitstellungsgruppe zu aktivieren.
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Hinweis:
Um sicherzustellen, dass eine ICA®-Sitzungsdatei nur VDA-FQDNs enthält, können Sie auch den Befehl
Set-BrokerSite –DnsResolutionEnabled $trueausführen. Der Befehl aktiviert die DNS-Auflösung. Wenn Sie die DNS-Auflösung deaktivieren, legt eine ICA-Sitzungsdatei VDA-IP-Adressen offen und stellt FQDNs nur für TLS-bezogene Elemente wieSSLProxyHostundUDPDTLSPortbereit.
Um die TLS-Verschlüsselung auf dem Controller zu deaktivieren, führen Sie die folgenden Befehle nacheinander aus:
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $falseSet-BrokerSite –DnsResolutionEnabled $false
Fehlerbehebung
Der folgende Fehler „Can’t assign requested address“ kann in der Citrix Workspace™-App für Windows auftreten, wenn Sie versuchen, auf eine veröffentlichte Desktopsitzung zuzugreifen:
Als Problemumgehung fügen Sie einen Eintrag zur Datei hosts hinzu, der dem folgenden ähnelt:
<IP-Adresse des Linux VDA> <FQDN des Linux VDA>
Auf Windows-Maschinen befindet sich die Datei hosts typischerweise unter C:\Windows\System32\drivers\etc\hosts.