Citrix Virtual Apps and Desktops

Gerenciar chaves de segurança

January 24, 2025

Contribuição de:

Importante:

Você deve usar esse recurso em combinação com o StoreFront 1912 LTSR CU2 ou posterior.

O recurso Secure XML só é suportado no Citrix ADC e no Citrix Gateway versão 12.1 e posterior.

Nota:

Você pode gerenciar a implantação do Citrix Virtual Apps and Desktops usando dois consoles de gerenciamento: Web Studio (baseado na web) e Citrix Studio (baseado em Windows). Este artigo abrange somente o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.

Esse recurso permite que somente máquinas StoreFront e Citrix Gateway aprovadas se comuniquem com os Delivery Controllers. Depois de ativar esse recurso, todas as solicitações que não contenham a chave serão bloqueadas. Use esse recurso para adicionar uma camada extra de segurança para se proteger contra ataques provenientes da rede interna.

Um fluxo de trabalho geral para usar esse recurso é o seguinte:

Ative o Web Studio para mostrar as configurações do recurso.
Defina as configurações do seu site.
Defina as configurações do StoreFront.
Defina as configurações para o Citrix ADC.

Defina as configurações do site

Você pode usar o Web Studio ou o PowerShell para definir as configurações da chave de segurança do seu site.

Use o Web Studio

Entre no Web Studio, selecione Configurações no painel esquerdo.
Localize o quadro Gerenciar chave de segurança e clique em Editar. A página Gerenciar chave de segurança é exibida.
Clique no ícone de atualização para gerar as chaves.
Importante:
- Há duas chaves disponíveis para uso. Você pode usar a mesma chave ou chaves diferentes para comunicações pelas portas XML e STA. Recomendamos que você use somente uma chave por vez. A chave não usada é usada somente para rotação de chaves.
- Não clique no ícone de atualização para atualizar a chave já em uso. Se você fizer isso, ocorrerá uma interrupção do serviço.
Selecione onde uma chave é necessária para as comunicações:
- Exigir chave para comunicações pela porta XML (somente StoreFront). Se selecionado, exija uma chave para autenticar as comunicações pela porta XML. O StoreFront se comunica com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta XML, consulte o artigo CTX127945do Knowledge Center.
- Exigir chave para comunicações pela porta STA. Se selecionado, exija uma chave para autenticar as comunicações pela porta STA. O Citrix Gateway e o StoreFront se comunicam com o Citrix Cloud por essa porta. Para obter informações sobre como alterar a porta STA, consulte o artigo CTX101988do Centro de Conhecimento.
Clique em Salvar para aplicar suas alterações e fechar a janela.

Use o PowerShell

A seguir estão as etapas do PowerShell equivalentes às operações do Web Studio.

Execute o Citrix Virtual Apps and Desktops Remote PowerShell SDK.
Em uma janela de comando, execute o seguinte comando:
- Add-PSSnapIn Citrix*
Execute os seguintes comandos para gerar uma chave e configurar a Key1:
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey1 <the key you generated>
Execute os seguintes comandos para gerar uma chave e configurar o Key2:
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey2 <the key you generated>
Execute um ou os dois comandos a seguir para habilitar o uso de uma chave na autenticação de comunicações:
- Para autenticar as comunicações pela porta XML:
  - Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- Para autenticar as comunicações pela porta STA:
  - Set-BrokerSite -RequireXmlServiceKeyForSta $true

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Defina as configurações para o StoreFront

Depois de concluir a configuração do seu site, você precisa definir as configurações relevantes para o StoreFront usando o PowerShell.

No servidor StoreFront, execute os seguintes comandos do PowerShell:

Para configurar a chave para comunicação pela porta XML, use o comando [Set-STFStoreFarm

https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]. Por exemplo

  $store = Get-STFStoreService -VirtualPath [Path to store]
  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
 

Insira os valores apropriados para os seguintes parâmetros:

Path to store
Resource feed name
secret

Para configurar a chave para comunicação pela porta STA, use os comandos New-STFSecureTicketAuthority e Set-StfRoamingGateway . Por exemplo:

  $gateway = Get-STFRoamingGateway -Name [Gateway name]
  $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
 

Insira os valores apropriados para os seguintes parâmetros:

Gateway name
STA URL
Secret

Consulte a ajuda do comando do PowerShell para obter orientação e sintaxe.

Defina as configurações para o Citrix ADC

Nota:

Não é necessário configurar esse recurso para o Citrix ADC, a menos que você use o Citrix ADC como gateway. Se você usa o Citrix ADC, siga estas etapas:

Certifique-se de que a seguinte configuração de pré-requisitos já esteja em vigor:
- Os seguintes endereços IP relacionados ao Citrix ADC estão configurados.
  - Endereço IP do Citrix ADC Management (NSIP) para acessar o console do Citrix ADC. Para obter detalhes, consulte Configurando o endereço NSIP.
  - Endereço IP de sub-rede (SNIP) para permitir a comunicação entre o dispositivo Citrix ADC e os servidores back-end. Para obter detalhes, consulte Configurando endereços IP de sub-rede.
  - Endereço IP virtual do Citrix Gateway e endereço IP virtual do balanceador de carga para fazer login no dispositivo ADC para iniciar a sessão. Para obter detalhes, consulte Criar um servidor virtual.
- Os modos e recursos necessários no dispositivo Citrix ADC estão ativados.
  - Para ativar os modos, na GUI do Citrix ADC, vá para System > Settings > Configure Mode.
  - Para habilitar os recursos, na GUI do Citrix ADC, vá para System > Settings > Configure Basic Features.
- As configurações relacionadas aos certificados estão concluídas.
  - A Solicitação de Assinatura de Certificado (CSR) é criada. Para obter detalhes, consulte Criar um certificado.
  - O servidor, os certificados CA e os certificados raiz estão instalados. Para obter detalhes, consulte Instalar, vincular e atualizar.
  - Um Citrix Gateway foi criado para Citrix Virtual Desktops. Teste a conectividade clicando no botão Testar conectividade STA para confirmar se os servidores virtuais estão online. Para obter detalhes, consulte Configurando o Citrix ADC para Citrix Virtual Apps and Desktops.
Adicione uma ação de reescrita. Para obter detalhes, consulte Configurando uma ação de reescrita.
1. Vá para AppExpert > Rewrite > Actions.
2. Clique em Adicionar para adicionar uma nova ação de reescrita. Você pode nomear a ação como “definir Tipo como INSERT_HTTP_HEADER”.
1. Em , digite, selecione INSERT_HTTP_HEADER.
2. Em Header Name, insira X-Citrix-XMLServiceKey.
3. Na expressão **, adicione <XmlServiceKey1 value> com as aspas. Você pode copiar o valor XMLServiceKey1 da configuração do seu Desktop Delivery Controller.
Adicione uma política de reescrita. Para obter detalhes, consulte Configurando uma política de reescrita.
1. Vá para AppExpert > Rewrite > Policies.
2. Clique em Adicionar para adicionar uma nova política.
1. Na Ação **, selecione a ação criada na etapa anterior.
2. Na expressão **, adicione HTTP.REQ.IS_VALID.
3. Clique em OK.
Configure o balanceamento de carga. Você deve configurar um servidor virtual de balanceamento de carga por servidor STA. Caso contrário, as sessões falharão ao iniciar.

Para obter detalhes, consulte Configurar o balanceamento de carga básico.
1. Crie um servidor virtual de balanceamento de carga.
  - Vá para Gerenciamento de tráfego > Balanceamento de carga > Servidores.
  - Na página Virtual Servers , clique em Adicionar.
  - Em Protocol, selecione HTTP.
  - Adicione o endereço IP virtual de balanceamento de carga e, em Port , selecione 80.
  - Clique em OK.
2. Crie um serviço de balanceamento de carga.
  - Vá para Gerenciamento de tráfego > Balanceamento de carga > Services.
  - Em Servidor existente, selecione o servidor virtual criado na etapa anterior.
  - Em Protocol, selecione HTTP e em Port selecione 80.
  - Clique em OK, e, em seguida, clique em Concluído.
3. Vincule o serviço ao servidor virtual.
  - Selecione o servidor virtual criado anteriormente e clique em Editar.
  - Em Serviços e grupos de serviços, clique em No Load Balancing Virtual Server Service Binding.
  - Em Service Binding, selecione o serviço criado anteriormente.
  - Clique em Bind.
4. Vincule a política de regravação criada anteriormente ao servidor virtual.
  - Selecione o servidor virtual criado anteriormente e clique em Editar.
  - Em Configurações avançadas, clique em Policies, e, na seção Policies , clique em +.
  - Em Escolha Política, selecione Rewrite e em Escolha Type, selecione Solicitar.
  - Clique em Continuar.
  - Em Selecione Política, selecione a política de reescrita criada anteriormente.
  - Clique em Bind.
  - Clique em Concluído.
5. Configure a persistência para o servidor virtual, se necessário.
  - Selecione o servidor virtual criado anteriormente e clique em Editar.
  - Em Configurações avançadas, clique em Persistência.
  - Selecione o tipo de persistência como Outros.
  - Selecione DESTIP para criar sessões de persistência com base no endereço IP do serviço selecionado pelo servidor virtual (o endereço IP de destino)
  - Em IPv4 Netmask, adicione uma máscara de rede igual à do DDC.
  - Clique em OK.
6. Repita essas etapas também para o outro servidor virtual.

A configuração muda se o dispositivo Citrix ADC já estiver configurado com o Citrix Virtual Desktops

Se você já configurou o dispositivo Citrix ADC com o Citrix Virtual Desktops, para usar o recurso Secure XML, você deve fazer as seguintes alterações de configuração.

Antes do início da sessão, altere a URL</strong> da **Security Ticket Authority do gateway para usar os FQDNs dos servidores virtuais de balanceamento de carga.</li>
Certifique-se de que o parâmetro TrustRequestsSentToTheXMLServicePort esteja definido como False. Por padrão, o parâmetro TrustRequestsSentToTheXMLServicePort está definido como False. No entanto, se o cliente já tiver configurado o Citrix ADC para Citrix Virtual Desktops, o TrustRequestsSentToTheXMLServicePort será definido como True.</ul>

Na GUI do Citrix ADC, vá para Configuração > Integrar com produtos Citrix e clique em XenApp e XenDesktop.
Selecione a instância do gateway e clique no ícone de edição.
No painel StoreFront, clique no ícone de edição.
Adicione o URL Secure Ticket Authority.
- Se o recurso Secure XML estiver ativado, o URL STA deverá ser o URL do serviço de balanceamento de carga.
- Se o recurso Secure XML estiver desativado, o URL STA deverá ser o URL do STA (endereço do DDC) e o parâmetro TrustRequestsSentToTheXMLServicePort no DDC deverá ser definido como True.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Gerenciar chaves de segurança

January 24, 2025

Contribuição de:

Neste artigo

Isso foi útil?