Documentación de productos
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Gestión de certificados

May 30, 2026
Contribución de: 
C

Información general

Las conexiones directas HDX™ se protegen con cifrado a nivel de red. Para facilitar esto, cada host de sesión tiene un certificado de CA raíz autofirmado único y un certificado de servidor correspondiente, que está firmado por el certificado de CA raíz autofirmado.

Esta solución ofrece las siguientes ventajas:

  • Seguridad optimizada: Las conexiones directas HDX se protegen sin la sobrecarga administrativa de gestionar certificados en el entorno.
  • Superficie de ataque reducida: La superficie de ataque se limita a un solo host porque cada host tiene un conjunto único de claves y certificados.
  • Seguridad mejorada para entornos no persistentes: En entornos con hosts de sesión no persistentes, la seguridad se mejora aún más, ya que se generan nuevas claves y certificados al reiniciar.

Host de sesión

El servicio Citrix ClxMtp y el servicio Citrix Certificate Manager son los dos servicios responsables de gestionar los certificados en cada host de sesión. El servicio ClxMtp se encarga de la generación y rotación de claves, mientras que el servicio Certificate Manager genera y gestiona los certificados.

Se crean dos certificados: una CA raíz autofirmada y un certificado de servidor. Ambos se emiten con un período de validez de dos años; sin embargo, se reemplazan cuando se rotan las claves. Además, se generan nuevos certificados cada vez que se reinician las máquinas no persistentes.

Los detalles de cada certificado son los siguientes:

  • CA raíz autofirmada
    • Emitido a: CA-Citrix-Certificate-Manager
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalles del emisor: La organización es Citrix Systems, Inc.
  • Certificado de servidor
    • Emitido para: <FQDN del host> (Por ejemplo, FTLW11-001.ctxlab.net)
    • Emitido por: CA-Citrix-Certificate-Manager
    • Detalles del emisor: La organización es Citrix Systems, Inc.

NOTA:

El servicio Citrix Certificate Manager genera certificados RSA que utilizan claves de 2048 bits.

Si existe un certificado de máquina creado por el servicio Citrix Certificate Manager y el nombre del sujeto no coincide con el FQDN de la máquina, se genera un nuevo certificado.

Rotación de claves

El servicio Citrix ClxMtp rota automáticamente las claves cada seis meses. Sin embargo, puede activar una rotación de claves manualmente aumentando el contador de rotación en el registro del host de sesión.

Para rotar las claves, actualice el siguiente valor:

  • Clave: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
  • Tipo de valor: DWORD
  • Nombre del valor: ClxMtpRotateRequestCounter
  • Datos: entero (Decimal)

NOTA:

Para la primera rotación de clave:

  1. Cree la clave ClxMtpConnectorSvcRotateKeyPairs.
  2. Cree y establezca el valor ClxMtpRotateRequestCounter en 1.

Para las rotaciones de clave posteriores, aumente el valor ClxMtpRotateRequestCounter en 1.

Una vez actualizado el valor, el Citrix ClxMtp Service rotará automáticamente las claves sin necesidad de reiniciar. El Citrix Certificate Manager Service generará automáticamente nuevos certificados una vez que detecte nuevas claves.

Dispositivo cliente

El certificado de CA raíz se envía al cliente mediante Workspace o Storefront™ a través de la ruta de conexión segura y de confianza ya establecida. Esto elimina la necesidad de distribuir certificados de CA a los almacenes de certificados de los dispositivos cliente y garantiza que el cliente confíe en los certificados utilizados para proteger la conexión directa HDX.

Uso de certificados personalizados

HDX Direct admite el uso de certificados emitidos y administrados por su propia PKI. Los siguientes pasos describen cómo instalar su certificado, configurar los permisos necesarios, vincularlo al servicio de administrador de sesiones y habilitar los agentes de escucha TLS necesarios.

  1. Continúe con el paso 2 si HDX Direct está inhabilitado en la máquina. Si HDX Direct está habilitado, siga los pasos que se indican a continuación:
    1. Abra el editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    2. Establezca el valor SSLEnabled en 0.
    3. Vaya a HKLM\Software\Citrix\HDX-Direct.
    4. Establezca el valor HdxDirectCaInTls en 0.

  2. Instale el certificado apropiado emitido por su PKI en el almacén de certificados de la máquina.

  3. Conceda al servicio de administrador de sesiones acceso de lectura a las claves privadas del certificado.
    1. Inicie la consola de administración de Microsoft (MMC): Inicio > Ejecutar > mmc.exe.
    2. Vaya a Archivo > Agregar o quitar complemento.
    3. Seleccione Certificados y, a continuación, haga clic en Agregar.
    4. Elija Cuenta de equipo y haga clic en Siguiente.
    5. Seleccione Equipo local y haga clic en Finalizar.
    6. Vaya a Certificados (equipo local) > Personal > Certificados.
    7. Haga clic con el botón derecho en el certificado adecuado y seleccione Todas las tareas > Administrar claves privadas.
    8. Agregue uno de los siguientes servicios y concédale acceso de lectura:
      • Para VDA de sesión única: NT SERVICE\PorticaService
      • Para VDA multisesión: NT SERVICE\TermService
    9. Haga clic en Aplicar y, a continuación, en Aceptar.
  4. Vincule el certificado al servicio de administrador de sesiones.
    1. Recupere la huella digital del certificado (haga doble clic en el certificado > Detalles > Huella digital).
    2. Abra el editor del Registro (regedit.exe) y vaya a HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
    3. Edite el valor SSLThumbprint y pegue la huella digital del certificado.
  5. Habilite los agentes de escucha TLS de Citrix.
    1. En la misma ubicación del registro, establezca el valor SSLEnabled en 1.
  6. Habilite HDX Direct (en la directiva de Citrix).

El medio de instalación de Citrix Virtual Apps and Desktops incluye un script de PowerShell (Enable-VdaSSL.ps1) que automatiza varias de estas tareas:

  • Configuración de permisos para las claves del certificado
  • Vinculación del certificado al servicio del administrador de sesiones
  • Habilitación de los agentes de escucha TLS de Citrix

Este script se encuentra en el directorio Support > Tools > SslSupport. Para obtener más información, consulte Configurar TLS en un VDA mediante el script de PowerShell.

NOTA:

Los dispositivos que se conectan a los hosts de sesión deben tener instalados los certificados de CA raíz y CA intermedia correctos si utiliza sus propios certificados.

Gestión de certificados
May 30, 2026
Contribución de: 
C
May 30, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.