Citrix DaaS

Gestire i token di sicurezza

Nota:

  • È necessario utilizzare questa funzione in combinazione con StoreFront 1912 LTSR CU2 o versioni successive.

  • La funzione Secure XML è supportata solo su Citrix ADC e Citrix Gateway versione 12.1 e successive.

Questa funzione consente di consentire solo ai computer StoreFront e Citrix Gateway approvati di comunicare con i Citrix Delivery Controller. Dopo aver abilitato questa funzione, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzione per aggiungere un ulteriore livello di sicurezza per la protezione dagli attacchi provenienti dalla rete interna.

Di seguito è riportato un flusso di lavoro generale per l’utilizzo di questa funzione:

  1. Visualizzare le impostazioni della chiave di sicurezza in Studio. (Usare Remote PowerShell SDK)

  2. Configurare le impostazioni per la distribuzione. (Usare Studio o Remote PowerShell SDK).

  3. Configurare le impostazioni in StoreFront. (Utilizzare PowerShell).

  4. Configurare le impostazioni in Citrix ADC.

Configurare le impostazioni per la distribuzione

È possibile configurare le impostazioni per la distribuzione usando Studio o PowerShell.

Usa Studio

Dopo aver abilitato la funzione, vai a Impostazioni > Gestire la chiave di sicurezza e fare clic su Redigere. Le Gestisci chiave di sicurezza viene visualizzata la lama. Clic Salvare per applicare le modifiche e uscire dalla lama.

Procedura guidata Gestisci chiave di sicurezza

Importante:

  • Ci sono due chiavi disponibili per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni tramite le porte XML e STA. Si consiglia di utilizzare un solo tasto alla volta. La chiave non utilizzata viene utilizzata solo per la rotazione della chiave.
  • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso. In caso contrario, si verificherà un’interruzione del servizio.

Fare clic sull’icona di aggiornamento per generare nuove chiavi.

Richiedi chiave per le comunicazioni tramite porta XML (solo StoreFront). Se questa opzione è selezionata, è necessario richiedere una chiave per autenticare le comunicazioni sulla porta XML. StoreFront comunica con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta XML, vedere l’articolo del Knowledge Center CTX127945.

Richiedi chiave per le comunicazioni sulla porta STA. Se questa opzione è selezionata, è necessario disporre di una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta STA, vedere l’articolo del Knowledge Center CTX101988.

Dopo aver applicato le modifiche, fare clic su Chiudere per uscire dal Gestisci chiave di sicurezza lama.

Usare Remote PowerShell SDK

Di seguito sono riportati i passaggi di PowerShell equivalenti alle operazioni eseguite in Studio.

  1. Eseguire Remote PowerShell SDK.

  2. In una finestra di comando, esegui il seguente comando:
    • Add-PSSnapIn Citrix*
  3. Eseguire i comandi seguenti per generare una chiave e configurare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. Eseguire i comandi seguenti per generare una chiave e configurare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. Eseguire uno o entrambi i comandi seguenti per abilitare l’utilizzo di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni sulla porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni sulla porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Per indicazioni e sintassi, vedere la Guida ai comandi di PowerShell.

Configurare le impostazioni in StoreFront

Dopo aver completato le impostazioni per la distribuzione, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.

Sul server StoreFront, eseguire i seguenti comandi di PowerShell:

Per configurare la chiave per le comunicazioni sulla porta XML, utilizzare il comando Set-STFStoreFarm. Per esempio:

$store = Get-STFStoreService -VirtualPath [Path to store] $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name] Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]

Immettere i valori appropriati per i seguenti parametri:

  • Path to store
  • Resource feed name
  • secret

Per configurare la chiave per le comunicazioni sulla porta STA, utilizzare il pulsante New-STFSecureTicketAuthority e Set-STFRoamingGateway Comandi. Per esempio:

$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2

Immettere i valori appropriati per i seguenti parametri:

  • Gateway name
  • STA URL
  • Secret

Per indicazioni e sintassi, vedere la Guida ai comandi di PowerShell.

Configurazione delle impostazioni in Citrix ADC

Nota:

La configurazione di questa funzione in Citrix ADC non è necessaria, a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, attenersi alla seguente procedura.

  1. Assicurarsi che la configurazione dei prerequisiti seguente sia già attiva:

    • Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP della subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per i dettagli, vedere Configurazione degli indirizzi IP della subnet.
      • Indirizzo IP virtuale Citrix Gateway e indirizzo IP virtuale del bilanciamento del carico per accedere all’appliance ADC per l’avvio della sessione. Per i dettagli, vedere Creare un server virtuale.

      Indirizzo IP subnet

    • Le modalità e le funzioni richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nell’interfaccia grafica di Citrix ADC andare su Sistema > Impostazioni > Modalità di configurazione.
      • Per abilitare le funzionalità, nell’interfaccia grafica di Citrix ADC andare su Sistema > Impostazioni > Configura le funzionalità di base.
    • Le configurazioni relative ai certificati sono state completate.
      • Viene creata la richiesta di firma del certificato (CSR). Per i dettagli, vedere Creare un certificato.

      Creare un certificato CSR

      Installa certificato server

      Installa certificato CA

      • È stato creato un Citrix Gateway per Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops). Verificare la connettività facendo clic sul pulsante Testare la connettività STA per confermare che i server virtuali sono online. Per i dettagli, vedere Configurazione di Citrix ADC per Citrix Virtual Apps and Desktops.

      Gateway per desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per i dettagli, vedere Configurazione di un’azione di riscrittura.

    1. Vai a AppExpert > Riscrivere > Azioni.
    2. Clic Aggiungere per aggiungere una nuova azione di riscrittura. È possibile denominare l’azione come “imposta tipo su INSERT_HTTP_HEADER”.

    Aggiungere l'azione di riscrittura

    1. In Digitareselezionare INSERT_HTTP_HEADER.
    2. In Nome intestazione, immettere X-Citrix-XmlServiceKey.
    3. In EspressioneAggiungere <XmlServiceKey1 value> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del controller di distribuzione desktop.

    Valore della chiave del servizio XML

  3. Aggiungere un criterio di riscrittura. Per i dettagli, vedere Configurazione di un criterio di riscrittura.
    1. Vai a AppExpert > Riscrivere > Politiche.

    2. Clic Aggiungere per aggiungere un nuovo criterio.

    Aggiungere criteri di riscrittura

    1. In Azione, selezionare l’azione creata nel passaggio precedente.
    2. In Espressione, aggiungere HTTP. REQ.IS_VALID.
    3. Fare clic su OK.
  4. Impostare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ogni server STA. In caso contrario, le sessioni non vengono avviate.

    Per i dettagli, vedere Configurare il bilanciamento del carico di base.

    1. Creare un server virtuale di bilanciamento del carico.
      • Vai a Gestione del traffico > Bilanciamento del carico > Server.
      • In Server virtuali pagina, fare clic su Aggiungere.

      Aggiungere un server di bilanciamento del carico

      • In Protocolloselezionare Protocollo HTTP.
      • Aggiungere l’indirizzo IP virtuale di bilanciamento del carico e in Porto selezionare 80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Vai a Gestione del traffico > Bilanciamento del carico > Servizi.

      Aggiungere un servizio di bilanciamento del carico

      • In Server esistente, selezionare il server virtuale creato nel passaggio precedente.
      • In Protocolloselezionare Protocollo HTTP e in Porto selezionare 80.
      • Clic OK , quindi fare clic su Fatto.
    3. Associare il servizio al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Redigere.
      • In Servizi e gruppi di serviziclic Associazione al servizio Virtual Server senza bilanciamento del carico.

      Associare il servizio a un server virtuale

      • In Associazione al servizio, selezionare Citrix DaaS creato in precedenza.
      • Clic Legare.
    4. Associare i criteri di riscrittura creati in precedenza al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Redigere.
      • In Impostazioni avanzateclic Politiche e poi in Politiche fare clic sulla sezione +.

      Criteri di riscrittura dei binding

      • In Scegli criterioselezionare Riscrivere e in Scegli il tiposelezionare Richiesta.
      • Clic Continuare.
      • In Seleziona criterio, selezionare il criterio di riscrittura creato in precedenza.
      • Clic Legare.
      • Fai clic su Fatto.
    5. Configurare la persistenza per il server virtuale, se necessario.
      • Selezionare il server virtuale creato in precedenza e fare clic su Redigere.
      • In Impostazioni avanzateclic Persistenza.

      Impostare la persistenza

      • Seleziona il tipo di persistenza come Altri.
      • Selezionare SUGGERIMENTO per creare sessioni di persistenza in base all’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione)
      • In Maschera di rete IPv4, aggiungere una maschera di rete uguale a quella del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

La configurazione cambia se l’appliance Citrix ADC è già configurata con Citrix DaaS

Se l’appliance Citrix ADC è già stata configurata con Citrix DaaS, per utilizzare la funzione Secure XML, è necessario apportare le seguenti modifiche alla configurazione.

  • Prima dell’avvio della sessione, modificare il URL dell’autorità ticket di sicurezza del gateway per utilizzare i nomi di dominio completi dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il TrustRequestsSentToTheXmlServicePort è impostato su False. Per impostazione predefinita, TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix DaaS, il metodo TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nell’interfaccia grafica di Citrix ADC, andare a Configurazione > Integrazione con i prodotti Citrix e fare clic su XenApp e XenDesktop.
  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modificare la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modifica i dettagli di StoreFront

  4. Aggiungi il URL dell’autorità ticket sicura.
    • Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (l’indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort nel DDC deve essere impostato su True.

    Aggiungi URL STA

Gestire i token di sicurezza