Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Gestire le chiavi di sicurezza

January 23, 2026
Grazie al contributo di: 
C

Nota:

  • È necessario utilizzare questa funzionalità in combinazione con StoreFront™ 1912 LTSR CU2 o versioni successive.

  • La funzionalità Secure XML è supportata solo su Citrix ADC e Citrix Gateway release 12.1 e successive.

Questa funzionalità consente di autorizzare solo le macchine StoreFront e Citrix Gateway approvate a comunicare con i Citrix Delivery Controller. Dopo aver abilitato questa funzionalità, tutte le richieste che non contengono la chiave vengono bloccate. Utilizzare questa funzionalità per aggiungere un ulteriore livello di sicurezza per proteggere dagli attacchi provenienti dalla rete interna.

Un flusso di lavoro generale per l’utilizzo di questa funzionalità è il seguente:

  1. Abilitare Studio per mostrare le impostazioni della funzionalità.

  2. Configurare le impostazioni per il proprio sito.

  3. Configurare le impostazioni in StoreFront.

  4. Configurare le impostazioni in Citrix ADC.

Abilitare Studio per mostrare le impostazioni della funzionalità

Per impostazione predefinita, le impostazioni per le chiavi di sicurezza sono nascoste in Studio. Per abilitare Studio a mostrarle, utilizzare l’SDK PowerShell come segue:

  1. Eseguire l’SDK PowerShell di Citrix Virtual Apps and Desktops™.
  2. In una finestra di comando, eseguire i seguenti comandi:
    • Add-PSSnapIn Citrix*. Questo comando aggiunge gli snap-in Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Per maggiori informazioni sull’SDK PowerShell, consultare SDK e API.

Configurare le impostazioni per il sito

È possibile utilizzare Studio o PowerShell per configurare le impostazioni della chiave di sicurezza per il proprio sito.

Utilizzare la console di Studio

  1. Accedere a Studio > Impostazioni > Gestisci chiave di sicurezza e fare clic su Modifica. Viene visualizzata la finestra Gestisci chiave di sicurezza.

    Procedura guidata Gestisci chiave di sicurezza

    Importante:

    • Sono disponibili due chiavi per l’uso. È possibile utilizzare la stessa chiave o chiavi diverse per le comunicazioni sulle porte XML e STA. Si consiglia di utilizzare una sola chiave alla volta. La chiave non utilizzata viene usata solo per la rotazione delle chiavi.
    • Non fare clic sull’icona di aggiornamento per aggiornare la chiave già in uso. In tal caso, si verificherà un’interruzione del servizio.

  2. Fare clic sull’icona di aggiornamento per generare nuove chiavi.

  3. Selezionare dove è richiesta una chiave:

    • Richiedi chiave per le comunicazioni sulla porta XML (solo StoreFront). Se selezionato, richiede una chiave per autenticare le comunicazioni sulla porta XML. StoreFront comunica con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta XML, consultare l’articolo del Knowledge Center CTX127945.

    • Richiedi chiave per le comunicazioni sulla porta STA. Se selezionato, richiede una chiave per autenticare le comunicazioni sulla porta STA. Citrix Gateway e StoreFront comunicano con Citrix Cloud tramite questa porta. Per informazioni sulla modifica della porta STA, consultare l’articolo del Knowledge Center CTX101988.

  4. Fare clic su Salva per applicare le modifiche e uscire dalla finestra.

Utilizzare PowerShell

Di seguito sono riportati i passaggi PowerShell equivalenti alle operazioni di Studio.

  1. Eseguire l’SDK PowerShell remoto di Citrix Virtual Apps and Desktops.

  2. In una finestra di comando, eseguire il seguente comando:
    • Add-PSSnapIn Citrix*
  3. Eseguire i seguenti comandi per generare una chiave e configurare Key1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <la chiave generata>
  4. Eseguire i seguenti comandi per generare una chiave e configurare Key2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <la chiave generata>
  5. Eseguire uno o entrambi i seguenti comandi per abilitare l’uso di una chiave nell’autenticazione delle comunicazioni:
    • Per autenticare le comunicazioni sulla porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Per autenticare le comunicazioni sulla porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consultare la guida dei comandi PowerShell per indicazioni e sintassi.

Configurare le impostazioni in StoreFront

Dopo aver completato la configurazione per il proprio sito, è necessario configurare le impostazioni pertinenti in StoreFront utilizzando PowerShell.

Sul server StoreFront, eseguire i seguenti comandi PowerShell:

Per configurare la chiave per le comunicazioni sulla porta XML, utilizzare il comando [Set-STFStoreFarm https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Ad esempio 
$store = Get-STFStoreService -VirtualPath [Percorso dello store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Nome del feed di risorse]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [segreto]
<!--NeedCopy-->

Immettere i valori appropriati per i seguenti parametri:

  • Percorso dello store
  • Nome del feed di risorse
  • segreto

Per configurare la chiave per le comunicazioni sulla porta STA, utilizzare i comandi New-STFSecureTicketAuthority e Set-STFRoamingGateway. Ad esempio:

$gateway = Get-STFRoamingGateway -Name [Nome del gateway]
$sta1 = New-STFSecureTicketAuthority -StaUrl [URL STA1] -StaValidationEnabled $true -StaValidationSecret [segreto]
$sta2 = New-STFSecureTicketAuthority -StaUrl [URL STA2] -StaValidationEnabled $true -StaValidationSecret [segreto]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Immettere i valori appropriati per i seguenti parametri:

  • Nome del gateway
  • URL STA
  • Segreto

Consultare la guida dei comandi PowerShell per indicazioni e sintassi.

Configurare le impostazioni in Citrix ADC

Nota:

La configurazione di questa funzionalità in Citrix ADC non è richiesta a meno che non si utilizzi Citrix ADC come gateway. Se si utilizza Citrix ADC, seguire i passaggi seguenti.

  1. Assicurarsi che la seguente configurazione prerequisito sia già presente:

    • Sono configurati i seguenti indirizzi IP relativi a Citrix ADC.

      Indirizzo IP di gestione ADC

      • Indirizzo IP di subnet (SNIP) per abilitare la comunicazione tra l’appliance Citrix ADC e i server back-end. Per i dettagli, consultare Configurazione degli indirizzi IP di subnet.
      • Indirizzo IP virtuale di Citrix Gateway e indirizzo IP virtuale del load balancer per accedere all’appliance ADC per l’avvio della sessione. Per i dettagli, consultare Creare un server virtuale.

      Indirizzo IP di subnet

    • Le modalità e le funzionalità richieste nell’appliance Citrix ADC sono abilitate.
      • Per abilitare le modalità, nell’interfaccia grafica di Citrix ADC accedere a Sistema > Impostazioni > Configura modalità.
      • Per abilitare le funzionalità, nell’interfaccia grafica di Citrix ADC accedere a Sistema > Impostazioni > Configura funzionalità di base.
    • Le configurazioni relative ai certificati sono complete.
      • La richiesta di firma del certificato (CSR) è stata creata. Per i dettagli, consultare Creare un certificato.

      Creare un certificato CSR

      Installare il certificato del server

      Installare il certificato CA

      Gateway per desktop virtuali

  2. Aggiungere un’azione di riscrittura. Per i dettagli, consultare Configurazione di un’azione di riscrittura.

    1. Accedere a AppExpert > Rewrite > Actions.
    2. Fare clic su Aggiungi per aggiungere una nuova azione di riscrittura. È possibile denominare l’azione “set Type to INSERT_HTTP_HEADER”.

    Aggiungere un'azione di riscrittura

    1. In Tipo, selezionare INSERT_HTTP_HEADER.
    2. In Nome intestazione, immettere X-Citrix-XmlServiceKey.
    3. In Espressione, aggiungere <Valore XmlServiceKey1> con le virgolette. È possibile copiare il valore XmlServiceKey1 dalla configurazione del Desktop Delivery Controller™.

    Valore della chiave del servizio XML

  3. Aggiungere una policy di riscrittura. Per i dettagli, consultare Configurazione di una policy di riscrittura.

    1. Accedere a AppExpert > Rewrite > Policies.

    2. Fare clic su Aggiungi per aggiungere una nuova policy.

    Aggiungere una policy di riscrittura

    1. In Azione, selezionare l’azione creata nel passaggio precedente.
    2. In Espressione, aggiungere HTTP.REQ.IS_VALID.
    3. Fare clic su OK.

  4. Configurare il bilanciamento del carico. È necessario configurare un server virtuale di bilanciamento del carico per ogni server STA. In caso contrario, le sessioni non verranno avviate.

    Per i dettagli, consultare Configurare il bilanciamento del carico di base.

    1. Creare un server virtuale di bilanciamento del carico.
      • Accedere a Traffic Management > Load Balancing > Servers.
      • Nella pagina Server virtuali, fare clic su Aggiungi.

      Aggiungere un server di bilanciamento del carico

      • In Protocollo, selezionare HTTP.
      • Aggiungere l’indirizzo IP virtuale del bilanciamento del carico e in Porta selezionare 80.
      • Fare clic su OK.
    2. Creare un servizio di bilanciamento del carico.
      • Accedere a Traffic Management > Load Balancing > Services.

      Aggiungere un servizio di bilanciamento del carico

      • In Server esistente, selezionare il server virtuale creato nel passaggio precedente.
      • In Protocollo, selezionare HTTP e in Porta selezionare 80.
      • Fare clic su OK, quindi su Fine.
    3. Associare il servizio al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Modifica.
      • In Servizi e gruppi di servizi, fare clic su Nessun servizio di server virtuale di bilanciamento del carico.

      Associare il servizio a un server virtuale

      • In Associazione servizio, selezionare il servizio creato in precedenza.
      • Fare clic su Associa.
    4. Associare la policy di riscrittura creata in precedenza al server virtuale.
      • Selezionare il server virtuale creato in precedenza e fare clic su Modifica.
      • In Impostazioni avanzate, fare clic su Policy, quindi nella sezione Policy fare clic su +.

      Associare la policy di riscrittura

      • In Scegli policy, selezionare Rewrite e in Scegli tipo, selezionare Request.
      • Fare clic su Continua.
      • In Seleziona policy, selezionare la policy di riscrittura creata in precedenza.
      • Fare clic su Associa.
      • Fare clic su Fine.
    5. Configurare la persistenza per il server virtuale, se necessario.
      • Selezionare il server virtuale creato in precedenza e fare clic su Modifica.
      • In Impostazioni avanzate, fare clic su Persistenza.

      Impostare la persistenza

      • Selezionare il tipo di persistenza come Altro.
      • Selezionare DESTIP per creare sessioni di persistenza basate sull’indirizzo IP del servizio selezionato dal server virtuale (l’indirizzo IP di destinazione).
      • In Maschera di rete IPv4, aggiungere una maschera di rete uguale a quella del DDC.
      • Fare clic su OK.
    6. Ripetere questi passaggi anche per l’altro server virtuale.

Modifiche alla configurazione se l’appliance Citrix ADC è già configurata con Citrix Virtual Desktops™

Se è già stata configurata l’appliance Citrix ADC con Citrix Virtual Desktops, per utilizzare la funzionalità Secure XML è necessario apportare le seguenti modifiche alla configurazione.

  • Prima dell’avvio della sessione, modificare l’URL di Security Ticket Authority del gateway per utilizzare gli FQDN dei server virtuali di bilanciamento del carico.
  • Assicurarsi che il parametro TrustRequestsSentToTheXmlServicePort sia impostato su False. Per impostazione predefinita, il parametro TrustRequestsSentToTheXmlServicePort è impostato su False. Tuttavia, se il cliente ha già configurato Citrix ADC per Citrix Virtual Desktops, TrustRequestsSentToTheXmlServicePort è impostato su True.
  1. Nell’interfaccia grafica di Citrix ADC, accedere a Configurazione > Integra con prodotti Citrix e fare clic su XenApp and XenDesktop®.

  2. Selezionare l’istanza del gateway e fare clic sull’icona di modifica.

    Modificare la configurazione del gateway esistente

  3. Nel riquadro StoreFront, fare clic sull’icona di modifica.

    Modificare i dettagli di StoreFront

  4. Aggiungere l’URL di Secure Ticket Authority.
    • Se la funzionalità Secure XML è abilitata, l’URL STA deve essere l’URL del servizio di bilanciamento del carico.
    • Se la funzionalità Secure XML è disabilitata, l’URL STA deve essere l’URL di STA (l’indirizzo del DDC) e il parametro TrustRequestsSentToTheXmlServicePort sul DDC deve essere impostato su True.

    Aggiungere URL STA

Gestire le chiavi di sicurezza
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.