This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
管理安全密钥
注意:
您必须将此功能与 StoreFront™ 1912 LTSR CU2 或更高版本结合使用。
此功能允许您仅允许经批准的 StoreFront 和 Citrix Gateway 计算机与 Citrix Delivery Controllers 通信。启用此功能后,任何不包含密钥的请求都将被阻止。使用此功能可增加一层额外的安全性,以防范源自内部网络的攻击。
使用此功能的通用工作流程如下:
-
使用 PowerShell 开发工具包在 Studio 中启用此功能。
-
在 Studio 中配置设置。(您可以使用 Studio 控制台或 PowerShell 来完成此操作)。
-
在 StoreFront 中配置设置。此操作需使用 PowerShell 完成。
启用安全密钥功能
默认情况下,此功能处于禁用状态。要启用它,请使用远程 PowerShell SDK。有关远程 PowerShell SDK 的更多信息,请参阅SDK 和 API。
要启用此功能,请执行以下步骤:
- Run the XenApp and XenDesktop® Remote PowerShell SDK.
- 在命令窗口中,运行以下命令:
-
Add-PSSnapIn Citrix*。此命令添加 Citrix 管理单元。 Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"
-
在 Studio 中配置设置
您可以使用 Studio 控制台或 PowerShell 在 Studio 中配置设置。
使用 Studio 控制台
启用该功能后,导航到 Studio > 配置 > 管理安全密钥。您可能需要单击刷新才能显示管理安全密钥选项。
单击管理安全密钥后,将显示管理安全密钥窗口。
重要提示:
- 有两个密钥可供使用。您可以对通过 XML 和 STA 端口进行的通信使用相同或不同的密钥。我们建议您一次只使用一个密钥。未使用的密钥仅用于密钥轮换。
- 请勿单击刷新图标来更新已在使用的密钥。如果这样做,将导致服务中断。
单击刷新图标以生成新密钥。
要求通过 XML 端口进行通信时使用密钥(仅限 StoreFront)。如果选中此选项,则要求使用密钥对通过 XML 端口进行的通信进行身份验证。StoreFront 通过此端口与 Citrix Cloud 进行通信。有关更改 XML 端口的信息,请参阅知识中心文章 CTX127945。
要求通过 STA 端口进行通信时使用密钥。如果选中此选项,则要求使用密钥对通过 STA 端口进行的通信进行身份验证。Citrix Gateway 和 StoreFront 通过此端口与 Citrix Cloud 进行通信。有关更改 STA 端口的信息,请参阅知识中心文章 CTX101988。
应用更改后,单击关闭以退出管理安全密钥窗口。
Use PowerShell
以下是与 Studio 操作等效的 PowerShell 步骤。
-
Run the XenApp® and XenDeskop Remote PowerShell SDK.
- 在命令窗口中,运行以下命令:
Add-PSSnapIn Citrix*
- 运行以下命令以生成密钥并设置 Key1:
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- 运行以下命令以生成密钥并设置 Key2:
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 运行以下一个或两个命令,以启用密钥在身份验证通信中的使用:
- 要通过 XML 端口验证通信:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- 要通过 STA 端口验证通信:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- 要通过 XML 端口验证通信:
请参阅 PowerShell 命令帮助以获取指导和语法。
在 StoreFront 中配置相关设置
完成 Studio 中的配置后,您需要使用 PowerShell 在 StoreFront 中配置相关设置。
在 StoreFront 服务器上,您需要运行以下 PowerShell 命令:
- 要配置用于通过 XML 端口进行通信的密钥,请使用
Get-STFStoreServie和Set-STFStoreService命令。例如:PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
- 要配置用于通过 STA 端口进行通信的密钥,请使用
New-STFSecureTicketAuthority命令。例如:PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>
有关指导和语法,请参阅 PowerShell 命令帮助。
在 Citrix ADC 中配置设置
注意:
除非您使用 Citrix ADC 作为网关,否则无需在 Citrix ADC 中配置此功能。如果您使用 Citrix ADC,请按照以下步骤操作。
-
请确保以下先决条件配置已正确设置并处于可用状态:
- 已配置以下 Citrix ADC 相关 IP 地址。
- 用于访问 Citrix ADC 控制台的 Citrix ADC 管理 IP (NSIP) 地址。有关详细信息,请参阅 配置 NSIP 地址。
- 用于在 Citrix ADC 设备和后端服务器之间启用通信的子网 IP (SNIP) 地址。有关详细信息,请参阅 配置子网 IP 地址。
- Citrix Gateway 虚拟 IP 地址和负载平衡器虚拟 IP 地址,用于登录 ADC 设备以启动会话。有关详细信息,请参阅 创建虚拟服务器。
- Citrix ADC 设备中所需的模式和功能已启用。
- 要启用这些模式,请在 Citrix ADC GUI 中导航到 系统 > 设置 > 配置模式。
- 要启用这些功能,请在 Citrix ADC GUI 中导航到 系统 > 设置 > 配置基本功能。
- 所有与证书相关的配置均已完成设置。
- 证书签名请求 (CSR) 已创建。有关详细信息,请参阅 创建证书。
- 服务器和 CA 证书以及根证书已安装。有关详细信息,请参阅 安装、链接和更新。
- 已为 Citrix 虚拟桌面 创建了 Citrix 网关。通过单击“测试 STA 连接”按钮来测试连接,以确认虚拟服务器已在线。有关详细信息,请参阅 为 Citrix 虚拟应用和桌面 设置 Citrix ADC。
- 已配置以下 Citrix ADC 相关 IP 地址。
-
添加重写操作。有关详细信息,请参阅 配置重写操作。
- 导航到 应用专家 > 重写 > 操作。
- 单击 Add 以添加新的重写操作。您可以将操作命名为“set Type to INSERT_HTTP_HEADER”。
- In Type, select INSERT_HTTP_HEADER.
- In Header Name, enter X-Citrix-XmlServiceKey.
- In Expression, add
<XmlServiceKey1 value>with the quotes. You can copy the XmlServiceKey1 value from your Desktop Delivery Controller™ configuration.
- 添加重写策略。有关详细信息,请参阅 配置重写策略。
-
导航到 应用专家 > 重写 > 策略。
-
单击 Add 以添加新策略。
- 在 Action 中,选择上一步中创建的操作。
- In Expression, add HTTP.REQ.IS_VALID.
- 单击 OK。
-
-
设置负载平衡。您必须为每个 STA 服务器配置一个负载平衡虚拟服务器。否则会话将无法启动。
有关详细信息,请参阅 设置基本负载平衡。
- 创建负载平衡虚拟服务器。
- 导航到 流量管理 > 负载平衡 > 服务器。
- 在 虚拟服务器 页面中,单击 添加。
- 在 协议 中,选择 HTTP。
- 添加负载平衡虚拟 IP 地址,并在 Port 中选择 80。
- 单击 OK。
- 创建负载平衡服务。
- 导航到 流量管理 > 负载平衡 > 服务。
- 在 Existing Server 中,选择上一步中创建的虚拟服务器。
- 在 协议 中,选择 HTTP 并在 端口 中选择 80。
- 单击 OK, 然后单击 Done。
- 将服务绑定到虚拟服务器。
- 选择之前创建的虚拟服务器,然后单击 编辑。
- 在 服务和服务器组 中,单击 无负载平衡虚拟服务器服务绑定。
绑定服务到虚拟服务器(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/adc-bind-service-to-lbvserver.png)
- 在 服务绑定 中,选择之前创建的服务。
- 单击 绑定。
- 将之前创建的重写策略绑定到虚拟服务器。
- 选择之前创建的虚拟服务器,然后单击 编辑。
- 在 高级设置 中,单击 策略,然后在 策略 部分单击 +。
绑定重写策略(/zh-cn/xenapp-and-xendesktop/7-15-ltsr/media/adc-bind-rewrite-policy.png)
- 在 选择策略 中,选择 重写;在 选择类型 中,选择 请求。
- 单击 继续。
- 在 选择策略 中,选择之前创建的重写策略。
- 单击 绑定。
- 单击 完成。
- 如有必要,为虚拟服务器设置持久性。
- 选择之前创建的虚拟服务器,然后单击编辑。
- 在高级设置中,单击持久性。
- 将持久性类型选择为其他。
- 选择DESTIP以根据虚拟服务器选择的服务 IP 地址(目标 IP 地址)创建持久性会话
- 在IPv4 子网掩码中,添加与 DDC 相同的网络掩码。
- 单击确定。
- 对其他虚拟服务器也重复这些步骤。
- 创建负载平衡虚拟服务器。
Configuration changes if the Citrix ADC appliance is already configured with Citrix Virtual Desktops™
如果您已将 Citrix ADC 设备配置为使用 Citrix Virtual Desktops,则要使用安全 XML 功能,必须进行以下配置更改。
- 在会话启动之前,将网关的安全票证颁发机构 URL 更改为使用负载平衡虚拟服务器的 FQDN。
- 确保
TrustRequestsSentToTheXmlServicePort参数设置为 False。默认情况下,TrustRequestsSentToTheXmlServicePort参数设置为 False。但是,如果客户已为 Citrix Virtual Desktops 配置了 Citrix ADC,则TrustRequestsSentToTheXmlServicePort设置为 True。
- In the Citrix ADC GUI, navigate to Configuration > Integrate with Citrix Products and click XenApp and XenDesktop.
-
选择网关实例并单击编辑图标。
-
在 StoreFront 窗格中,单击编辑图标。
- 添加 安全票证颁发机构 URL。
- 如果启用了安全 XML 功能,则 STA URL 必须是负载平衡服务的 URL。
- If the Secure XML feature is disabled, then the STA URL must be the URL of STA (DDC’s address) and the TrustRequestsSentToTheXmlServicePort parameter on the DDC must be set to True.
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.