Proteger sesiones de usuario con TLS
A partir de la versión 7.16, Linux VDA admite el cifrado TLS para proteger las sesiones de usuario. El cifrado TLS está inhabilitado de forma predeterminada.
Habilitar el cifrado TLS
Para habilitar el cifrado TLS y proteger las sesiones de usuario, deber obtener certificados y habilitar el cifrado TLS en el Linux VDA y el Delivery Controller (el Controller).
Obtener certificados
Debe obtener los certificados de servidor en formato PEM y los certificados raíz en formato CRT desde una entidad de certificación (CA) de confianza. Un certificado de servidor contiene estas secciones:
- Certificado
- Clave privada no cifrada
- Certificados intermedios (opcional)
Un ejemplo de certificado de servidor:
Habilitar el cifrado TLS
Habilitar el cifrado TLS en Linux VDA
En Linux VDA, utilice la herramienta enable_vdassl.sh para habilitar (o inhabilitar) el cifrado TLS. La herramienta se encuentra en el directorio /opt/Citrix/VDA/sbin. Para obtener información acerca de las opciones disponibles en la herramienta, ejecute el comando /opt/Citrix/VDA/sbin/enable_vdassl.sh -help.
Sugerencia: Debe instalar un certificado de servidor cada servidor Linux VDA; debe instalar certificados raíz en cada cliente y servidor Linux VDA.
Habilitar el cifrado TLS en el Controller
Nota:
Solo puede habilitar el cifrado TLS para grupos de entrega enteros. No puede habilitar el cifrado TLS para aplicaciones específicas.
En una ventana de PowerShell en el Controller, ejecute estos comandos uno tras otro para habilitar el cifrado TLS para el grupo de entrega de destino.
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Nota:
Para asegurarse de que solo los nombres de dominio completos de los VDA están contenidos en el archivo de una sesión ICA, también puede ejecutar el comando Set-BrokerSite –DnsResolutionEnabled $true. Este comando habilita la resolución DNS. Si inhabilita la resolución DNS, el archivo de una sesión ICA revela las direcciones IP los de VDA y proporciona nombres de dominio completos únicamente para los elementos relacionados con TLS, como SSLProxyHost y UDPDTLSPort.
Para inhabilitar el cifrado TLS en el Controller, ejecute estos comandos uno tras otro:
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
Set-BrokerSite –DnsResolutionEnabled $false
Solución de problemas
Es posible que se produzca el error “Can’t assign requested address” en la aplicación Citrix Workspace para Windows al intentar acceder a una sesión de escritorio pública:
Como solución temporal, agregue una entrada al archivo hosts, que sea similar a:
<IP address of the Linux VDA> <FQDN of the Linux VDA>
En las máquinas Windows, el archivo hosts normalmente se encuentra en C:\Windows\System32\drivers\etc\hosts
.