通用服务器上的传输层安全(TLS)
协议TLS(传输层安全)在TCP中心和虚拟交付代理(VDA)和通用服务器之间的连接是收费的。
Avertissement:
Pour les tâches qui incluent l ' utilization du register Windows, la registration peut entraîner de sérieux problèmes qui pourraient nécessiter la réinstallation de votre système d 'exploitation。Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d ' une mauvaise utilisation de l ' Éditeur du register。你们假设我们的风险集合liés à我们使用我们的注册。Veillez à faire一份关于在修饰语前注册的保护文件。
VDA中印象的联系类型和普遍印象的服务类型
连接文本清晰
所有的联系,亲属à l’impression, VDA和其他所有印象的服务港口。Ces connections sont effectuées unique lorsque le paramètre de stratégieSSL活跃美国东部时间defini苏尔Desactive(par defaut的数值)。
- 服务连接(端口TCP 8080)
- données d’impression en texte clair流量连接(CGP)(端口TCP 7229)
支持微软的文章服务和港口的紧急情况réseau倒窗décrit les ports utilisés par le service de spouleur d 'impression Microsoft Windows。Les paramètres SSL/TLS de ce document ne ' s appliquate pas aux connections NETBIOS et RPC effectuées par le service de spouleur d 'impression Windows。Le VDA利用Le fournisseur d 'impression réseau Windows (win32splr .dll) comme solution de secours si Le paramètre de stratégie世界上最活跃的服务美国东部时间defini苏尔Activé avec retour à l’impression far native de Windows.
连结cryptees
Ces连接SSL/TLS,亲戚à l’impression, proennent du VDA和se连接端口给人的印象普遍。Ces connections sont effectuées unique lorsque le paramètre de stratégieSSL活跃美国东部时间defini苏尔活跃的.
- 连接服务Web d 'impression cryptées(端口TCP 8443)
- 连接通量données d’impression cryptées (CGP)(端口TCP 443)
配置客户端SSL/TLS
VDA功能与客户端SSL/TLS有关。
Utilisez la stratégie de group Microsoft et le register pour configier Microsoft channel SSP pour les connections de service Web d 'impression cryptées(端口TCP 8443)。支持微软的文章Paramètres de注册TLSdécrit les paramètres de register de Microsoft channel SSP。
A ' aide de l ' éditeur de stratégie de group, sur le VDA (Windows Server 2016 or Windows 10), accédez à配置ordinateur > Modèles d’administration > Réseau > Paramètres de Configuration SSL >配置SSL的顺序.Sélectionnez l 'ordre suivant:
Tls_ecdhe_rsa_with_aes_256_gcm_sha384_p384 tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384 tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384 tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384 tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384
标记:
Lorsque ce paramètre de stratégie de groupe est configuré, le VDA sélectionne une de chiffement pour les connections de service Web d’impression cryptées (port par défaut: 8443) unique si les connections apparaissent dans les deffement desuites de chiffement SSL:
- 列出stratégie组的SSL文件
- list correspondent au paramètre de stratégie Suite de chiffement SSL (COM, GOV ou ALL) sélectionné
stratégie组的配置影响également其他应用程序和服务在VDA上的TLS。如果你申请requièrent de chiffement spécifiques,你可以申请à de chiffement de la stratégie de group。
重要的是:
对stratégie组的修改为配置提供了一个有效的效应'après le redémarrage du système d’exploitation。
Utilisez une stratégie Citrix pour configurer les paramètres SSL/TLS pour les connections CGP (port TCP 443)。
配置服务器的SSL/TLS
这个服务给人的印象是普遍适用于SSL/TLS服务的。
Utilisez le script PowerShellEnable-UpsSsl.ps1pour configurer les paramètres SSL/TLS。
安装人员的服务证书与通用的服务证书相同
如果使用HTTPS,则服务印象普遍为fonctionnalités TLS,即服务证书的偏差。证书客户端不是utilisés。Utilisez les services de certificates Microsoft Active Directory ou une autre autorité de certification pour demander un certificat pour le serveur d 'impression universal . ul。
请注意:considérations suivantes lors de '题词ou de ' demand d 'un certificate à l 'aide des certificates Microsoft Active Directory:
- 把证书放在证书的封面上人员de l 'ordinateur当地。
- Definissez l 'attribut笔名commun对象的唯一名称(DN)是完整域名的完整名称(FQDN)的证书。Spécifiez cette information dans le modèle de certificat。
- Définissez le fournisseur de services cryptographiques (CSP) utilisé pour générer la demande de certificate et la clé privée surMicrosoft增强RSA和AES加密提供程序(加密).Spécifiez cette information dans le modèle de certificat。
- Définissez la taille de la clé sur au moins 2048位。Spécifiez cette information dans le modèle de certificat。
在通用服务器上配置SSL
我们的服务与我们的服务联系紧密。在服务器上使用SSL的功能是activé。两种类型的联系:网络印象的联系,大陆印象的联系,以及données印象的流动联系,大陆印象的联系。SSL peut être activé sur ces connections。SSL protège la confidentialité et l 'intégrité de ces connections。Par défaut, SSL为désactivé。
脚本PowerShell utilisé pour configrer SSL se trouve sur Le support d 'installation et portte Le nom de fichier suivant:\ \ \ SslSupport \ Enable-UpsSsl.ps1工具的支持。
配置为numéros de port d ' écoute sur le serveur d ' impression universal
为您提供以下服务:
- 端口TCP de service Web d 'impression en texteclair (HTTP): 8080
- 端口TCP流量données d’impression en texteclair (CGP): 7229
- 端口TCP de service Web d 'impression cryptée (HTTPS): 8443
- 端口TCP de flux de données d 'impression crypté (CGP): 443
Pour modifier les ports utilisés par le service XTE sur le serveur d 'impression universal, exécutez les commands suivantes dans PowerShell en tant qu ' administrale (voir la section suivante Pour obtenir des notes sur l 'utilisation du PowerShell Enable-UpsSsl.ps1):
服务CitrixXTEServer, UpSvcEnable-UpsSsl.ps1-Enable -HTTPSPort欧-CGPSSLPort Enable-UpsSsl.ps1-Disable -HTTPPort-CGPPort 开始营运CitrixXTEServer
Paramètres TLS sur le serveur d 'impression universal
如果您在一个配置中配置了给人印象普遍的服务器à charge équilibrée,请确保您在给人印象普遍的服务器上配置了paramètres TLS configurés de manière cohérente。
请您在印象普遍的服务器上配置协议,在证书上的授权TLS installé sont modifiées,授予印象普遍的服务accès en lecture à la clé privée du certificat, et fournissant au service d 'impression普遍的信息suivantes
- Quel certificat utiliser dans le magasin de certificat à utiliser pour TLS。
- Quels numéros de port TCP utiliser pour les connections TLS。
Le Pare-feu Windows (s’il est activé) doit être configuré pour autoriser les connections entrantes sur TCP端口。PowerShell启用upsssl .ps1。
- 版本du协议TLS à授权。
该服务器的通用版本为1.2,1.1和1.0版本的TLS协议。Spécifiez la version minimale autorisée。
La版本的du协议TLS par défaut est 1.2。
- 套间,TLS à授权。
一个chiffement sélectionne les算法密码系统utilisés pour一个连接。所有人的印象都是这样的,我们可以把顾客的服务和顾客的服务结合起来。当VDA连接并提供一份提供费用的服务套餐时,服务人员通常会与客户的一份提供费用套餐对应,并接受一份提供费用套餐configurée并接受一份提供费用套餐。不存在与工作相对应的关系,所有人的印象都是拒绝联系的。
印象通用公司提供全套服务:nommés GOV(政府),COM(商业)和所有(我们)提供全套服务模式:OPEN, FIPS和SP800-52。可接受的套间dépendent aussi du paramètre de stratégie模式FIPS SSL等模式为FIPS窗口。Consultez cet(中央东部东京)支持微软的文章在FIPS窗口模式下添加信息。
| 套房(按priorité décroissant顺序) | 打开所有 | 打开COM | 开放的政府 | FIPS所有 | FIPS COM | FIPS政府 | SP800-52所有 | SP800-52 COM | SP800-52政府 |
|---|---|---|---|---|---|---|---|---|---|
| TLS_ECDHE_RSA_AES256_GCM_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_AES256_CBC_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_AES256_CBC_SHA | X | X | X | X | X | X |
配置TLS在服务器上的印象universal à l 'aide脚本PowerShell
在zone中安装证书TLS普通本地>人员>证书Du magasin de certificates。Si plusieurs certificats résident à cet emplacement, fournissez l 'empreinte numérique du certificat au script PowerShellEnable-UpsSsl.ps1.
标记:
我的脚本PowerShell提供了正确的证书,在所有人的印象中都是完整的域名。你们不能在这里拿到证书,如果你们拿到的证书是présent,那就给大家一个完整的印象。
Le脚本Enable-UpsSsl.ps1active ou désactive les connections TLS depuis le VDA vers le serveur d 'impression universal。这个脚本在档案中是可删除的支持>工具> SslSupport在支架上安装。
您可以使用TLS协议,脚本désactive toutes les règles de pare-feu Windows存在于所有端口的TCP服务器。Ensuite, il ajoute des règles qui渗透服务XTE d 'accepter les connections entrantes unique sur les ports TLS TCP et UDP。Cela désactive également les règles du Pare-feu Windows pour:
- 服务网络印象的联系(参数défaut: 8080)
- données d’impression en texte clair的通量连接(CGP) (par défaut: 7229)
根据conséquent, VDA不可能影响TLS的使用。
标记:
在Spouleur的印象中,TLS的激活不影响连接RPC/SMB, Windows代表VDA,代表普遍印象的服务器。
重要的是:
Specifiez更主动欧Desactiver就像总理的变量。Le paramètre CertificateThumbPrint est facultatif si seul certificat Le magasin de certificin Ordinateur local possède Le nom de domaine complete du’impression d’selle。其余的都是教员。
Syntaxe
Enable-UpsSSL。ps1 -Enable [-HTTPPort ] [-CGPPort ] [-HTTPSPort ] [-CGPSSLPort ] [-SSLMinVersion ] [-SSLCipherSuite ] [-CertificateThumbprint ] [-FIPSMode ] [-ComplianceMode ] enable - upssl。ps1 -Disable [-HTTPPort ] [-CGPPort ] | 标记为 | 描述 |
|---|---|
| 更主动 | 在服务器XTE上激活SSL/TLS。所以我们可以paramètre或者paramètre禁用它。 |
| Desactiver | Désactive服务器XTE上的SSL/TLS。所以它是paramètre或paramètre启用是必需的。 |
CertificateThumbprint“<拇指指纹>” |
Empreinte numérique du certificat TLS dans le certificat personnel de l ' ordineur local, entourée de guillemets。请将您想要使用的证书应用于numérique spécifiée。 |
HTTPPort<口> |
Port de service Web d 'impression en texteclear (HTTP/SOAP)。票面价值défaut: 8080 |
CGPport<口> |
données d’impression en texteclair的流动港口(CGP)。票面价值défaut: 7229。 |
HTTPSPort<口> |
Port de service Web d 'impression cryptée (HTTPS/SOAP)。面值défaut: 8443 |
CGPSSLPort<口> |
通量港données d 'impression cryptée (CGP)。面值défaut: 443 |
SSLMinVersion“<版本>” |
最小版本的协议TLS, entourés de guillemets。Les values sont:«TLS_1.0»、«TLS_1.1»和«TLS_1.2»。参数défaut: TLS_1.2。 |
SSLCipherSuite“<名称>” |
给我一个包裹,给我一套行李。有效值为:«GOV»,«COM»et«ALL»(par défaut)。 |
FIPSMode布尔> < |
Active ou désactive le mode FIPS 140 dans le server XTE。$true输入激活模式FIPS 140, $false输入désactiver输入激活模式FIPS 140。 |
例子
激活TLS脚本。L 'empreinte numérique (représentée en tant que«12345678987654321»dans cet example) est utilisée pour sélectionner le certificat à utiliser。
Enable-UpsSsl.ps1–Enable -CertificateThumbprint "12345678987654321"
Le script suivant désactive TLS。
Enable-UpsSsl.ps1–Disable
配置模式为FIPS
激活模式的美国FIPS(联邦信息处理标准)保证密码系统符合à la normme FIPS 140 est utilisée pour les connections chiffrées du serveur d’impression universal。
在服务器上配置模式FIPS,在客户端上配置模式FIPS。
在FIPS模式下,您可以查看Microsoft的文件。
在客户端激活模式为FIPS
Sur le Delivery Controller, exécutez Citrix Studio和définissez le paramètre de stratégie Citrix模式FIPS SSL苏尔活跃的.Activez la stratégie Citrix。
Procédez comme suit sur chaque VDA:
- Activez le模式的FIPS窗口。
- Redemarrez勒的共识。
在服务器上激活FIPS模式
Procédez comme suit sur chaque serveur d 'impression universal:
- Activez le模式的FIPS窗口。
- Exécutez cette command PowerShell en tant qu ' administrator:
服务CitrixXTEServer, UpSvc - Executez le脚本
Enable-UpsSsl.ps1用苹果产品的使-FIPSMode真正的美元. - Redémarrez le serveur d 'impression universal。
Désactivation客户端模式
Sur le Delivery Controller, exécutez Citrix Studio和définissez le paramètre de stratégie Citrix模式FIPS SSL苏尔Desactive.Activez la stratégie Citrix。Vous pouvez également suprimer le paramètre de stratégie Citrix模式FIPS SSL.
Procédez comme suit sur chaque VDA:
- Désactivez le模式FIPS窗口。
- Redemarrez勒的共识。
Désactivation du mode FIPS sur le server
Procédez comme suit sur chaque serveur d 'impression universal:
- Désactivez le模式FIPS窗口。
- Exécutez cette command PowerShell en tant qu ' administrator:
服务CitrixXTEServer, UpSvc - Executez le脚本
Enable-UpsSsl.ps1用苹果产品的使-FIPSMode假美元. - Redémarrez le serveur d 'impression universal。
配置协议版本SSL/TLS
La version du protocol SSL/TLS par défaut est TLS 1.2。TLS 1.2是协议的seule版本SSL/TLS recommandée在生产中使用。Pour le dépannage, il peut être nécessaire de modifier temporaiment la version du protocol SSL/TLS dans unenvironment hors production。
SSL 2.0和SSL 3.0并不适用于所有的服务器。
在服务器上配置SSL/TLS协议
Procédez comme suit sur chaque serveur d 'impression universal:
- Exécutez cette command PowerShell en tant qu ' administrator:
服务CitrixXTEServer, UpSvc - Executez le脚本
Enable-UpsSsl.ps1Avec les paramètres de version使-SSLMinVersion.请不要告诉我们à TLS 1.2,否则请告诉我们terminé测试。 - Redémarrez le serveur d 'impression universal。
在客户端上配置SSL/TLS协议
Procédez comme suit sur chaque VDA:
1.交付控制器:définissez le paramètre de stratégie版本du协议SSL关于souhaitée et activez la stratégie版本的协议。
2.支持微软的文章Paramètres de注册TLSdécrit les paramètres de register de Microsoft channel SSP。ActivezTLS 1.0, TLS 1.1 ou TLS 1.2côté客户à l 'aide des paramètres du register。
重要的是:
我们不知道这个餐厅的原始值是paramètres还是你的注册值是terminé测试。
3.Redemarrez勒的共识。
解决问题
如果我们的产品有错误,vérifiez le ficier journal C:\Program Files (x86)\Citrix\XTE\logs\error.log sur le serveur d 'impression universal。
勒信息误差客户端SSL握手失败图dans ce ficier journal si le handshake SSL/TLS échoue。我们可以在échecs上提供各种版本的SSL/TLS协议,这些协议由VDA和服务器提供。
Utilisez le nom de domaine compleet du serveur d 'impression universal dans les paramètres de stratégie suivants, qui大陆les nom d 'hôte du serveur d 'impression universal:
- Imprimantes de会话
- 归因d 'imprimantes
- 服务员给人的印象是:équilibrage de la charge
Vérifiez我的钟表système(日期,它和我们的爱)是正确的,在所有的印象和VDA中是正确的。