Gerenciar chaves de segurança
Observação:
Você deve usar esse recurso em combinação com o StoreFront 1912 LTSR CU2 ou posterior.
O recurso Secure XML é compatível apenas com o Citrix ADC e o Citrix Gateway versão 12.1 e posterior.
Esse recurso permite que apenas máquinas aprovadas do StoreFront e do Citrix Gateway se comuniquem com os Citrix Delivery Controllers. Depois de habilitar esse recurso, todas as solicitações que não contêm a chave são bloqueadas. Use esse recurso para adicionar uma camada extra de segurança para proteger contra ataques originados da rede interna.
Um fluxo de trabalho geral para usar esse recurso é o seguinte:
-
Exiba as configurações da chave de segurança no Studio. (Use o SDK do PowerShell remoto)
-
Defina as configurações para sua implantação. (Use o SDK do Studio ou do PowerShell remoto).
-
Defina as configurações no StoreFront. (Use o PowerShell).
-
Defina as configurações no Citrix ADC.
Definir configurações para sua implantação
Você pode definir as configurações para sua implantação usando o Studio ou o PowerShell.
Usar o Studio
Depois de ativar o recurso, navegue até Configurações > Gerenciar chave de segurança e clique em Editar. O Gerenciar chave de segurança aparece a lâmina. Clique Salvar para aplicar suas alterações e sair da folha.
Importante:
- Existem duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações nas portas XML e STA. Recomendamos que você use apenas uma chave por vez. A chave não utilizada é usada apenas para rotação de chaves.
- Não clique no ícone de atualização para atualizar a chave já em uso. Se você fizer isso, ocorrerá interrupção do serviço.
Clique no ícone de atualização para gerar novas chaves.
Exigir chave para comunicações pela porta XML (somente StoreFront). Se selecionado, exija uma chave para autenticar as comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta XML, consulte o artigo do Knowledge Center CTX127945.
Exigir chave para comunicações pela porta STA. Se selecionado, exija uma chave para autenticar as comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta STA, consulte o artigo do Knowledge Center CTX101988.
Depois de aplicar as alterações, clique em Fechar para sair do Gerenciar chave de segurança lâmina.
Usar o SDK do PowerShell Remoto
Veja a seguir as etapas do PowerShell equivalentes às operações executadas no Studio.
-
Execute o SDK do PowerShell remoto.
- Em uma janela de comando, execute o seguinte comando:
Add-PSSnapIn Citrix*
- Execute os seguintes comandos para gerar uma chave e configurar o Key1:
New-BrokerXmlServiceKey
Set-BrokerSite -XmlServiceKey1 <the key you generated>
- Execute os seguintes comandos para gerar uma chave e configurar o Key2:
New-BrokerXmlServiceKey
Set-BrokerSite -XmlServiceKey2 <the key you generated>
- Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
- Para autenticar comunicações pela porta XML:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- Para autenticar comunicações pela porta STA:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- Para autenticar comunicações pela porta XML:
Consulte a ajuda do comando do PowerShell para obter diretrizes e sintaxe.
Definir configurações no StoreFront
Depois de concluir as configurações para sua implantação, você precisa definir as configurações relevantes no StoreFront usando o PowerShell.
No servidor StoreFront, execute os seguintes comandos do PowerShell:
Para configurar a chave para comunicações pela porta XML, use o comando Set-STFStoreFarm. Por exemplo:
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
Insira os valores apropriados para os seguintes parâmetros:
Path to store
Resource feed name
secret
Para configurar a chave para comunicações pela porta STA, use o comando New-STFSecureTicketAuthority
e Set-STFRoamingGateway
Comandos. Por exemplo:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
Insira os valores apropriados para os seguintes parâmetros:
Gateway name
STA URL
Secret
Consulte a ajuda do comando do PowerShell para obter diretrizes e sintaxe.
Definir configurações no Citrix ADC
Observação:
A configuração desse recurso no Citrix ADC não é necessária, a menos que você use o Citrix ADC como gateway. Se você usa o Citrix ADC, siga as etapas abaixo.
-
Certifique-se de que a seguinte configuração de pré-requisito já esteja em vigor:
- Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
- Endereço IP de gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configurando o endereço NSIP.
- Endereço IP de sub-rede (SNIP) para permitir a comunicação entre o dispositivo Citrix ADC e os servidores de back-end. Para obter detalhes, consulte Configurando endereços IP de sub-rede.
- Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no dispositivo ADC para inicialização da sessão. Para obter detalhes, consulte Criar um servidor virtual.
- Os modos e recursos necessários no dispositivo Citrix ADC estão ativados.
- Para ativar os modos, na GUI do Citrix ADC, vá para Sistema > Configurações > Modo de configuração.
- Para habilitar os recursos, na GUI do Citrix ADC, vá para Sistema > Configurações > Configurar recursos básicos.
- As configurações relacionadas aos certificados estão concluídas.
- A Solicitação de Assinatura de Certificado (CSR) é criada. Para obter detalhes, consulte Criar um certificado.
- Os certificados de servidor e CA e os certificados raiz são instalados. Para obter detalhes, consulte Instalar, vincular e atualizar.
- Um Citrix Gateway foi criado para o Citrix DaaS (antigo serviço Citrix Virtual Apps and Desktops). Teste a conectividade clicando no botão Testar a conectividade STA para confirmar que os servidores virtuais estão online. Para obter detalhes, consulte Configurando o Citrix ADC para Citrix Virtual Apps and Desktops.
- Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
-
Adicione uma ação de reescrita. Para obter detalhes, consulte Configurando uma ação de reescrita.
- Ir para AppExpert > Reescrever > Ações.
- Clique Adicionar para adicionar uma nova ação de reescrita. Você pode nomear a ação como “definir Tipo como INSERT_HTTP_HEADER”.
- Em Tiposelecionar INSERT_HTTP_HEADER.
- Em Nome do cabeçalho, insira X-Citrix-XmlServiceKey.
- Em Expressãoadicionar
<XmlServiceKey1 value>
com as aspas. Você pode copiar o valor XmlServiceKey1 da configuração do Desktop Delivery Controller.
- Adicione uma política de reescrita. Para obter detalhes, consulte Configurando uma política de reescrita.
-
Ir para AppExpert > Reescrever > Políticas.
-
Clique Adicionar para adicionar uma nova política.
- Em Ação, selecione a ação criada na etapa anterior.
- Em Expressão, adicione HTTP. REQ.IS_VALID.
- Clique OKEY.
-
-
Configure o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.
Para obter detalhes, consulte Configurar o balanceamento de carga básico.
- Crie um servidor virtual de balanceamento de carga.
- Ir para Gerenciamento de tráfego > Balanceamento de carga > Servidores.
- Em Servidores Virtuais , clique em Adicionar.
- Em Protocoloselecionar Referências HTTP.
- Adicione o endereço IP virtual de balanceamento de carga e em Porta selecionar 80.
- Clique OKEY.
- Crie um serviço de balanceamento de carga.
- Ir para Gerenciamento de tráfego > Balanceamento de carga > Serviços.
- Em Servidor existente, selecione o servidor virtual criado na etapa anterior.
- Em Protocoloselecionar Referências HTTP e em Porta selecionar 80.
- Clique OKEY e, em seguida, clique em Terminado.
- Vincule o serviço ao servidor virtual.
- Selecione o servidor virtual criado anteriormente e clique em Editar.
- Em Serviços e grupos de serviçosclique Nenhuma associação de serviço de servidor virtual de balanceamento de carga.
- Em Vinculação de serviço, selecione Citrix DaaS criado anteriormente.
- Clique Ligar.
- Vincule a política de reescrita criada anteriormente ao servidor virtual.
- Selecione o servidor virtual criado anteriormente e clique em Editar.
- Em Configurações avançadasclique Políticas e depois em Políticas clique em seção +.
- Em Escolha a políticaselecionar Reescrever e em Escolha o tiposelecionar Pedir.
- Clique Continuar.
- Em Selecione a política, selecione a política de reescrita criada anteriormente.
- Clique Ligar.
- Clique em Concluído.
- Configure a persistência para o servidor virtual, se necessário.
- Selecione o servidor virtual criado anteriormente e clique em Editar.
- Em Configurações avançadasclique Persistência.
- Selecione o tipo de persistência como Outros.
- Selecionar DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
- Em Máscara de rede IPv4, adicione máscara de rede igual à do DDC.
- Clique OKEY.
- Repita essas etapas para o outro servidor virtual também.
- Crie um servidor virtual de balanceamento de carga.
A configuração será alterada se o dispositivo Citrix ADC já estiver configurado com o Citrix DaaS
Se você já configurou o dispositivo Citrix ADC com o Citrix DaaS, para usar o recurso Secure XML, faça as seguintes alterações de configuração.
- Antes do lançamento da sessão, altere o URL da Autoridade de Tíquete de Segurança do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
- Certifique-se de que o
TrustRequestsSentToTheXmlServicePort
é definido como False. Por padrão,TrustRequestsSentToTheXmlServicePort
é definido como False. No entanto, se o cliente já tiver configurado o Citrix ADC para Citrix DaaS, oTrustRequestsSentToTheXmlServicePort
está definido como True.
- Na GUI do Citrix ADC, vá para Configuração > Integre-se aos produtos Citrix e clique em XenApp e XenDesktop.
-
Selecione a instância do gateway e clique no ícone de edição.
-
No painel StoreFront, clique no ícone de edição.
- Adicione o URL da Autoridade de Ticket Seguro.
- Se o recurso Secure XML estiver habilitado, a URL STA deverá ser a URL do serviço de balanceamento de carga.
- Se o recurso Secure XML estiver desabilitado, a URL do STA deverá ser a URL do STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deverá ser definido como True.