Protege las sesiones de usuario con TLS
A partir de la versión 7.16, el VDA de Linux es compatible con el cifrado TLS para sesiones de usuario seguras. El cifrado TLS está inhabilitado de forma predeterminada.
Habilita el cifrado TLS
-
Para habilitar el cifrado TLS en las sesiones de usuario seguras, obtén los certificados y habilita el cifrado TLS tanto en el VDA de Linux como en el Delivery Controller™ (el Controller).
-
Obtén los certificados
Obtén los certificados de servidor en formato PEM y los certificados raíz en formato CRT de una entidad de certificación (CA) de confianza. Un certificado de servidor contiene las siguientes secciones:
- Certificado
- Clave privada sin cifrar
- Certificados intermedios (opcional)
Un ejemplo de certificado de servidor:
Habilita el cifrado TLS
Habilita el cifrado TLS en el VDA de Linux
En el VDA de Linux, usa la herramienta enable_vdassl.sh para habilitar (o inhabilitar) el cifrado TLS. La herramienta se encuentra en el directorio /opt/Citrix/VDA/sbin. Para obtener información sobre las opciones disponibles en la herramienta, ejecuta el comando /opt/Citrix/VDA/sbin/enable_vdassl.sh -help.
Consejo: Debes instalar un certificado de servidor en cada servidor VDA de Linux y certificados raíz en cada servidor y cliente VDA de Linux.
Habilita el cifrado TLS en el Controller
Nota:
Solo puedes habilitar el cifrado TLS para grupos de entrega completos. No puedes habilitar el cifrado TLS para aplicaciones específicas.
En una ventana de PowerShell del Controller, ejecuta los siguientes comandos en secuencia para habilitar el cifrado TLS en el grupo de entrega de destino.
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Nota:
Para asegurarte de que solo los FQDN de VDA se incluyan en un archivo de sesión ICA®, también puedes ejecutar el comando
Set-BrokerSite –DnsResolutionEnabled $true. El comando habilita la resolución DNS. Si inhabilitas la resolución DNS, un archivo de sesión ICA revela las direcciones IP del VDA y proporciona FQDN solo para los elementos relacionados con TLS, como SSLProxyHost y UDPDTLSPort.
Para inhabilitar el cifrado TLS en el Controller, ejecuta los siguientes comandos en secuencia:
Add-PSSnapin citrix.*Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $falseSet-BrokerSite –DnsResolutionEnabled $false
Solución de problemas
El siguiente error “Can’t assign requested address” puede aparecer en la aplicación Citrix Workspace™ para Windows cuando intentas acceder a una sesión de escritorio publicada:
Como solución alternativa, agrega una entrada al archivo hosts, similar a la siguiente:
<IP address of the Linux VDA> <FQDN of the Linux VDA>
En las máquinas Windows, el archivo hosts se encuentra normalmente en C:\Windows\System32\drivers\etc\hosts.