Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Gerenciar chaves de segurança

April 27, 2026
Contribuição de: 
C C

Observação:

  • Você deve usar este recurso em combinação com o StoreFront™ 1912 LTSR CU2 ou posterior.
  • O recurso Secure XML é compatível apenas com o Citrix ADC e o Citrix Gateway versão 12.1 e posterior.

Este recurso permite que apenas máquinas StoreFront e Citrix Gateway aprovadas se comuniquem com os Citrix Delivery Controllers. Depois de habilitar este recurso, quaisquer solicitações que não contenham a chave serão bloqueadas. Use este recurso para adicionar uma camada extra de segurança para proteger contra ataques originados da rede interna.

Um fluxo de trabalho geral para usar este recurso é o seguinte:

  1. Habilite o Studio para exibir as configurações do recurso.
  2. Configure as configurações para o seu site.
  3. Configure as configurações no StoreFront.
  4. Configure as configurações no Citrix ADC.

Habilitar o Studio para exibir as configurações do recurso

Por padrão, as configurações das chaves de segurança estão ocultas no Studio. Para habilitar o Studio a exibi-las, use o PowerShell SDK da seguinte forma:

  1. Execute o PowerShell SDK do Citrix Virtual Apps and Desktops™.
  2. Em uma janela de comando, execute os seguintes comandos:
    • Add-PSSnapIn Citrix*. Este comando adiciona os snap-ins do Citrix.
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Para obter mais informações sobre o PowerShell SDK, consulte SDKs e APIs.

Configurar as configurações para o site

Você pode usar o Studio ou o PowerShell para configurar as configurações da chave de segurança para o seu site.

Usar o console do Studio

  1. Navegue até Studio > Configurações > Gerenciar chave de segurança e clique em Editar. A janela Gerenciar Chave de Segurança é exibida.

    Assistente de Gerenciamento de Chave de Segurança

    Importante:

    • Há duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use apenas uma chave por vez. A chave não utilizada é usada apenas para rotação de chave.
    • Não clique no ícone de atualização para atualizar a chave já em uso. Se o fizer, ocorrerá interrupção do serviço.

  2. Clique no ícone de atualização para gerar novas chaves.

  3. Selecione onde uma chave é necessária:

    • Exigir chave para comunicações pela porta XML (somente StoreFront). Se selecionado, exige uma chave para autenticar comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta XML, consulte o artigo da Central de Conhecimento CTX127945.

    • Exigir chave para comunicações pela porta STA. Se selecionado, exige uma chave para autenticar comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por esta porta. Para obter informações sobre como alterar a porta STA, consulte o artigo da Central de Conhecimento CTX101988.

  4. Clique em Salvar para aplicar suas alterações e sair da janela.

Usar o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações do Studio.

  1. Execute o PowerShell SDK Remoto do Citrix Virtual Apps and Desktops.

  2. Em uma janela de comando, execute o seguinte comando:
    • Add-PSSnapIn Citrix*
  3. Execute os seguintes comandos para gerar uma chave e configurar a Chave1:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <a chave que você gerou>
  4. Execute os seguintes comandos para gerar uma chave e configurar a Chave2:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <a chave que você gerou>
  5. Execute um ou ambos os comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
    • Para autenticar comunicações pela porta XML:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • Para autenticar comunicações pela porta STA:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando PowerShell para obter orientação e sintaxe.

Configurar as configurações no StoreFront

Após concluir a configuração do seu site, você precisa configurar as configurações relevantes no StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos PowerShell:

Para configurar a chave para comunicações pela porta XML, use o comando Set-STFStoreFarm. Por exemplo:

$store = Get-STFStoreService -VirtualPath [Caminho para o armazenamento]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Nome do feed de recursos]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [segredo]
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

  • Caminho para o armazenamento
  • Nome do feed de recursos
  • segredo

Para configurar a chave para comunicações pela porta STA, use os comandos New-STFSecureTicketAuthority e Set-STFRoamingGateway. Por exemplo:

$gateway = Get-STFRoamingGateway -Name [Nome do Gateway]
$sta1 = New-STFSecureTicketAuthority -StaUrl [URL da STA1] -StaValidationEnabled $true -StaValidationSecret [segredo]
$sta2 = New-STFSecureTicketAuthority -StaUrl [URL da STA2] -StaValidationEnabled $true -StaValidationSecret [segredo]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

Insira os valores apropriados para os seguintes parâmetros:

  • Nome do Gateway
  • URL da STA
  • Segredo

Consulte a ajuda do comando PowerShell para obter orientação e sintaxe.

Configurar as configurações no Citrix ADC

Observação:

A configuração deste recurso no Citrix ADC não é necessária, a menos que você use o Citrix ADC como seu gateway. Se você usa o Citrix ADC, siga as etapas abaixo.

  1. Certifique-se de que a seguinte configuração de pré-requisito já esteja em vigor:

    • Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
      • Endereço IP de Gerenciamento do Citrix ADC (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configuring the NSIP address.

      Endereço IP de gerenciamento do ADC

      • Endereço IP de Sub-rede (SNIP) para habilitar a comunicação entre o appliance Citrix ADC e os servidores de back-end. Para obter detalhes, consulte Configuring Subnet IP Addresses.
      • Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no appliance ADC para iniciar a sessão. Para obter detalhes, consulte Create a virtual server.

      Endereço IP de sub-rede

    • Os modos e recursos necessários no appliance Citrix ADC estão habilitados.
      • Para habilitar os modos, na GUI do Citrix ADC, navegue até Sistema > Configurações > Configurar Modo.
      • Para habilitar os recursos, na GUI do Citrix ADC, navegue até Sistema > Configurações > Configurar Recursos Básicos.
    • As configurações relacionadas a certificados estão concluídas.
      • A Solicitação de Assinatura de Certificado (CSR) é criada. Para obter detalhes, consulte Create a certificate.

      Criar um certificado CSR

      • Os certificados de servidor e CA e os certificados raiz estão instalados. Para obter detalhes, consulte Install, link, and updates.

      Instalar certificado de servidor

      Instalar certificado CA

      Gateway para desktops virtuais

  2. Adicionar uma ação de reescrita. Para obter detalhes, consulte Configuring a Rewrite Action.

    1. Navegue até AppExpert > Rewrite > Actions.
    2. Clique em Adicionar para adicionar uma nova ação de reescrita. Você pode nomear a ação como “set Type to INSERT_HTTP_HEADER”.

    Adicionar ação de reescrita

    1. Em Tipo, selecione INSERT_HTTP_HEADER.
    2. Em Nome do Cabeçalho, insira X-Citrix-XmlServiceKey.
    3. Em Expressão, adicione <valor da XmlServiceKey1> com as aspas. Você pode copiar o valor da XmlServiceKey1 da sua configuração do Desktop Delivery Controller™.

    Valor da chave de serviço XML

  3. Adicionar uma política de reescrita. Para obter detalhes, consulte Configuring a Rewrite Policy.

    1. Navegue até AppExpert > Rewrite > Policies.

    2. Clique em Adicionar para adicionar uma nova política.

    Adicionar política de reescrita

    1. Em Ação, selecione a ação criada na etapa anterior.
    2. Em Expressão, adicione HTTP.REQ.IS_VALID.
    3. Clique em OK.

  4. Configurar o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões não serão iniciadas.

    Para obter detalhes, consulte Set up basic load balancing.

    1. Crie um servidor virtual de balanceamento de carga.
      • Navegue até Gerenciamento de Tráfego > Balanceamento de Carga > Servidores.
      • Na página Servidores Virtuais, clique em Adicionar.

      Adicionar um servidor de balanceamento de carga

      • Em Protocolo, selecione HTTP.
      • Adicione o endereço IP virtual do balanceamento de carga e em Porta selecione 80.
      • Clique em OK.
    2. Crie um serviço de balanceamento de carga.
      • Navegue até Gerenciamento de Tráfego > Balanceamento de Carga > Serviços.

      Adicionar um serviço de balanceamento de carga

      • Em Servidor Existente, selecione o servidor virtual criado na etapa anterior.
      • Em Protocolo, selecione HTTP e em Porta selecione 80.
      • Clique em OK e, em seguida, clique em Concluído.
    3. Vincule o serviço ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Serviços e Grupos de Serviços, clique em Nenhuma Vinculação de Serviço de Servidor Virtual de Balanceamento de Carga.

      Vincular serviço a um servidor virtual

      • Em Vinculação de Serviço, selecione o serviço criado anteriormente.
      • Clique em Vincular.
    4. Vincule a política de reescrita criada anteriormente ao servidor virtual.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Configurações Avançadas, clique em Políticas e, em seguida, na seção Políticas, clique em +.

      Vincular política de reescrita

      • Em Escolher Política, selecione Rewrite e em Escolher Tipo, selecione Request.
      • Clique em Continuar.
      • Em Selecionar Política, selecione a política de reescrita criada anteriormente.
      • Clique em Vincular.
      • Clique em Concluído.
    5. Configure a persistência para o servidor virtual, se necessário.
      • Selecione o servidor virtual criado anteriormente e clique em Editar.
      • Em Configurações Avançadas, clique em Persistência.

      Configurar persistência

      • Selecione o tipo de persistência como Outros.
      • Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
      • Em Máscara de Rede IPv4, adicione uma máscara de rede igual à do DDC.
      • Clique em OK.
    6. Repita estas etapas para o outro servidor virtual também.

Alterações de configuração se o appliance Citrix ADC já estiver configurado com o Citrix Virtual Desktops™

Se você já configurou o appliance Citrix ADC com o Citrix Virtual Desktops, então, para usar o recurso Secure XML, você deve fazer as seguintes alterações de configuração.

  • Antes do início da sessão, altere a URL da Autoridade de Tíquetes de Segurança do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.
  • Certifique-se de que o parâmetro TrustRequestsSentToTheXmlServicePort esteja definido como False. Por padrão, o parâmetro TrustRequestsSentToTheXmlServicePort é definido como False. No entanto, se o cliente já configurou o Citrix ADC para o Citrix Virtual Desktops, então o TrustRequestsSentToTheXmlServicePort é definido como True.
  1. Na GUI do Citrix ADC, navegue até Configuração > Integrar com Produtos Citrix e clique em XenApp and XenDesktop®.

  2. Selecione a instância do gateway e clique no ícone de edição.

    Editar configuração de gateway existente

  3. No painel do StoreFront, clique no ícone de edição.

    Editar detalhes do StoreFront

  4. Adicione a URL da Autoridade de Tíquetes de Segurança.
    • Se o recurso Secure XML estiver habilitado, então a URL da STA deve ser a URL do serviço de balanceamento de carga.
    • Se o recurso Secure XML estiver desabilitado, então a URL da STA deve ser a URL da STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXmlServicePort no DDC deve ser definido como True.

    Adicionar URLs da STA

Gerenciar chaves de segurança
April 27, 2026
Contribuição de: 
C C
April 27, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.