Certificate management

概述

HDX™ 直连通过网络级加密进行保护。为此，每个会话主机都有一个唯一的自签名根 CA 证书和一个相应的服务器证书，该证书由自签名根 CA 证书签名。

此解决方案提供以下优势：

• 简化安全性： HDX 直连受到保护，无需在环境中管理证书的额外管理开销。
• 减少攻击面： 攻击面仅限于单个主机，因为每个主机都有一组唯一的密钥和证书。
• 增强非持久性环境的安全性： 在具有非持久性会话主机的环境中，安全性得到进一步增强，因为每次重新启动时都会生成新的密钥和证书。

会话主机

Citrix ClxMtp 服务和Citrix 证书管理器服务是负责管理每个会话主机上证书的两个服务。ClxMtp 服务处理密钥生成和轮换，而证书管理器服务生成和管理证书。

创建了两个证书：一个自签名根 CA 和一个服务器证书。两者都签发了两年有效期；但是，当密钥轮换时，它们会被替换。此外，每次非持久性计算机重新启动时都会生成新的证书。

每个证书的详细信息如下：

• 自签名根 CA
  • Issued to: CA-Citrix-Certificate-Manager
  • 颁发者：CA-思杰证书管理器
  • 颁发者详细信息：组织为 思杰系统公司
• 服务器证书
  • Issued to: <host FQDN> (For example, FTLW11-001.ctxlab.net)
  • Issued by: CA-Citrix-Certificate-Manager
  • 颁发者详细信息：组织为 思杰系统公司。

注意：

Citrix 证书管理器服务生成使用 2048 位密钥的 RSA 证书。

如果存在由 Citrix 证书管理器服务创建的现有计算机证书，并且主题名称与计算机的 FQDN 不匹配，则会生成新证书。

密钥轮换

Citrix ClxMtp 服务每六个月自动轮换密钥。但是，您可以通过增加会话主机注册表中的轮换计数器来手动触发密钥轮换。

要轮换密钥，请更新以下值：

• Key: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
• Value type: DWORD
• Value name: ClxMtpRotateRequestCounter
• 数据：整数 (十进制)

注意：

首次密钥轮换：

1. Create the ClxMtpConnectorSvcRotateKeyPairs key.
2. Create and set the ClxMtpRotateRequestCounter value to 1.

For subsequent key rotations, increase the ClxMtpRotateRequestCounter value by 1.

值更新后，Citrix ClxMtp Service 将自动轮换密钥，无需重新启动。然后，Citrix Certificate Manager Service 在检测到新密钥后将自动生成新证书。

客户端设备

根 CA 证书通过已建立的安全可信连接路径由 Workspace 或 Storefront™ 发送到客户端。这消除了将 CA 证书分发到客户端设备的证书存储的需要，并确保客户端信任用于保护 HDX Direct 连接的证书。

使用自定义证书

HDX Direct 支持使用由您自己的 PKI 颁发和管理的证书。以下步骤概述了如何安装证书、配置必要的权限、将其绑定到会话管理器服务以及启用所需的 TLS 侦听器。

1. 如果计算机上禁用了 HDX Direct，请继续执行步骤 2。如果启用了 HDX Direct，请按照以下步骤操作：
   1. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   2. Set the SSLEnabled value to 0.
   3. Navigate to HKLM\Software\Citrix\HDX-Direct.
   4. Set the HdxDirectCaInTls value to 0.

2. 在计算机的证书存储中安装由您的 PKI 颁发的相应证书。

3. 授予会话管理器服务对证书私钥的读取权限。
   1. 启动 微软 管理控制台 (MMC): 开始 > 运行 > mmc.exe。
   2. 导航到 文件 > 添加/删除管理单元。
   3. 选择 证书，然后单击 添加。
   4. 选择 计算机帐户，然后单击 下一步。
   5. 选择 本地计算机，然后单击 完成。
   6. 导航到 证书 (本地计算机) > 个人 > 证书。
   7. 右键单击相应的证书，然后选择 所有任务 > 管理私钥。
   8. 添加以下服务之一并授予其读取权限：
      • 对于 单会话 VDA：NT SERVICE\PorticaService
      • 对于 多会话 VDA：NT SERVICE\TermService
   9. 单击 应用，然后单击 确定。
4. 将证书绑定到会话管理器服务。
   1. 检索证书指纹（双击证书 > 详细信息 > 指纹）。
   2. Open the registry editor (regedit.exe) and navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
   3. 编辑 SSLThumbprint 值并粘贴证书的指纹。
5. 启用 Citrix 的 TLS 侦听器。
   1. 在同一注册表位置中，将 SSLEnabled 值设置为 1。
6. 启用 HDX 直连（在 Citrix 策略 中）。

Citrix 虚拟应用和桌面 安装介质包含一个 PowerShell 脚本 (Enable-VdaSSL.ps1)，可自动执行以下多项任务：

• 对证书的密钥进行权限设置
• 执行证书与会话管理器服务的绑定操作
• 启用 Citrix 的 TLS 侦听器功能

此脚本位于“支持”>“工具”>“SslSupport”目录中。有关详细信息，请参阅 使用 PowerShell 脚本在 VDA 上配置 TLS。

注意：

如果您使用的是自己的证书，则连接到会话主机的设备需要安装正确的根 CA 和中间 CA 证书。