Proteger sesiones de usuario con TLS
A partir de la versión 7.16, Linux VDA admite el cifrado TLS para proteger las sesiones de usuario. El cifrado TLS está inhabilitado de forma predeterminada.
Habilitar el cifrado TLS
Para habilitar el cifrado TLS y proteger las sesiones de usuario, instale certificados y habilite el cifrado TLS en el Linux VDA y el Delivery Controller (el Controller).
Instalar certificados en Linux VDA
Obtenga certificados de servidor en formato PEM y certificados raíz en formato CRT. Un certificado de servidor contiene estas secciones:
- Certificado
- Clave privada no cifrada
- Certificados intermedios (opcional)
Un ejemplo de certificado de servidor:
Habilitar el cifrado TLS
Habilitar el cifrado TLS en Linux VDA
En Linux VDA, use el script enable_vdassl.sh
del directorio /opt/Citrix/VDA/sbin para habilitar (o inhabilitar) el cifrado TLS. Para obtener información acerca de las opciones disponibles en el script, ejecute el comando /opt/Citrix/VDA/sbin/enable_vdassl.sh -help
.
Sugerencia: Debe instalar un certificado de servidor cada servidor Linux VDA; debe instalar certificados raíz en cada cliente y servidor Linux VDA.
Habilitar el cifrado TLS en el Controller
Nota:
Solo puede habilitar el cifrado TLS para grupos de entrega enteros. No puede habilitar el cifrado TLS para aplicaciones específicas.
En una ventana de PowerShell en el Controller, ejecute estos comandos uno tras otro para habilitar el cifrado TLS para el grupo de entrega de destino.
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true
Nota:
Para asegurarse de que solo los nombres de dominio completos de los VDA están contenidos en el archivo de una sesión ICA, también puede ejecutar el comando
Set-BrokerSite –DnsResolutionEnabled $true
. Este comando habilita la resolución DNS. Si inhabilita la resolución DNS, el archivo de una sesión ICA revela las direcciones IP los de VDA y proporciona nombres de dominio completos únicamente para los elementos relacionados con TLS, comoSSLProxyHost
yUDPDTLSPort
.
Para inhabilitar el cifrado TLS en el Controller, ejecute estos comandos uno tras otro:
Add-PSSnapin citrix.*
Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
Set-BrokerSite –DnsResolutionEnabled $false
Solución de problemas
Es posible que se produzca el error “No se puede asignar la dirección solicitada” en la aplicación Citrix Workspace para Windows al intentar acceder a una sesión de escritorio publicado:
Como solución temporal, agregue una entrada al archivo hosts, que sea similar a:
<IP address of the Linux VDA> <FQDN of the Linux VDA>
En las máquinas Windows, el archivo hosts normalmente se encuentra en C:\Windows\System32\drivers\etc\hosts
.