【翻译】

将XenApp或XenDesktop站点配置为使用传输层安全性(TLS)协议包括以下过程:

• 获取服务器证书并在所有交付控制器上安装和注册,并使用TLS证书配置端口。有关详细信息，请参阅控制器。

  () () () () ()

• 通过完成以下任务在用户和虚拟投递代理(VDA)之间启用TLS连接:

  • 【中文译文】(方便起见,后面将安装VDA的计算机简称为VDA)。可以使用Citrix提供的PowerShell脚本,也可以手动配置。有关常见信息，请参阅【翻译。有关详细信息，请参阅PowerShell VDA TLS和TLS。
  • 通过在工作室中运行一组PowerShell cmdlet,在包含VDA的交付组中配置TLS。有关详细信息，请参阅TLS。

  要求和注意事项：

  • 在用户和共识之间启用TLS连接仅对XenApp 7.6和7.6 XenDesktop及后续受支持的版本有效。
  • 刘强东，刘强东，刘强东，刘强东，刘强东，刘强东，刘强东，刘强东，刘强东。
  • 【中文译文】完全权限管理员具有此权限。
  • VDA / TLS / TLS / TLS
  • 如果打算在从早期版本升级的共识上配置TLS,请在升级之前卸载这些计算机上的SSL继电器软件。
  • PowerShell、机器创建服务、资源发放服务、VDA、TLS。对于第二种情况，计算机映像在每次重新启动时重置。

警告：

有关涉及在Windows注册表中操作的任务,注册表编辑不当会导致严重问题,可能需要重新安装操作系统。思杰(Citrix)使用注册表编辑器需自担风险。在编辑注册表之前，请务必进行备份。

【中文翻译CTX137556。

注意：

TLS: TLS:

• 如果直接访问的共识,Citrix接收器将始终使用TLS / TCP(而非UDP和UDT)。
• NetScaler网关VDA,Citrix Receiver DTLS over UDP NetScaler网关NetScaler网关VDA、UDP、DTLS。[au:]

控制器

HTTPS,XML服务。交付控制器云连接器骤

有各种不同类型的证书颁发机构以及从这些机构请求证书的方法,本文介绍了微软证书颁发机构。微软(Microsoft)

如果微软证书颁发机构集成到活动目录域或交付控制器加入到的可信林中,则可以从证书MMC管理单元证书注册向导获取证书。

请求和安装证书

1. 交付控制器(Delivery Controller)“”。

2. 展开个人 > 证书，然后使用所有任务 > 申请新证书上下文菜单命令。

   

3. 单击下一步开始，然后单击下一步活动目录(Active Directory)

4. 选择服务器身份验证证书的模板。“中文”，“中文”，“中文”，“中文”，“中文”注册，而不提供更多详细信息。

   

5. 要提供证书模板的更多详细信息，请单击详细信息箭头按钮并配置以下设置：

   使用者名称交付控制器FQDN。

   备用名称交付控制器FQDN。

   

ssl / tls

1. PowerShell (PowerShell)

2. 经纪人服务

   New-PSDrive- nameHKCR-PSProvider注册表根HKEY_CLASSES_ROOTService_Guid美元＝Get-ChildItemHKCR: \安装\产品- recurseea0|都{美元的关键＝＄\ _；＄\ _。GetValueNames（）|ForEach-Object{美元的关键．GetValue（＄\ _）}|都{＄\ _例如“思杰经纪服务”}}|Select-Object名字Service_Guid美元．名字匹配“[A-Z0-9] *美元”美元Guid＝$匹配［0]［GUID]Formatted_Guid美元＝美元GuidRemove-PSDrive- nameHKCRWrite-Host"Broker Service Application GUID:$ (Formatted_Guid美元）”-ForegroundColor黄色的<！——NeedCopy-->

3. PowerShell ? ? ?

   美元的主机名字＝（［System.Net.Dns)::GetHostByName（（＄env：computerName）））．主机名美元的拇指指纹＝（Get-ChildItem路径证书:\ LocalMachine \我|都{$ _．主题匹配（“CN =”+美元的主机名字)})．拇指指纹加入“;”Write-Host对象"证书拇指指纹$ (美元的主机名字）：＄（美元的拇指指纹）”前景黄色的<！——NeedCopy-->

4. 在同一PowerShell窗口中运行以下命令,以配置代理服务SSL / TLS端口和用户证书以进行加密:

   IPV4_Address美元＝测试连接-ComputerName美元的主机名字数1|Select-Object-ExpandPropertyIPV4AddressIPPort美元＝”$ (IPV4_Address美元）: 443”SSLxml美元＝"http添加sslcert iport = .IPPort美元certhash =美元的拇指指纹appid = {Formatted_Guid美元}”SSLxml美元|netsh．netshhttp显示sslcert<！——NeedCopy-->

正确配置后，最后一个命令.net . sh HTTP显示sslcert的输出显示监听器正在使用正确的IP:端口，并且应用程序ID代理服务。

存储前端交付控制器、Citrix网关STA HTTPS HTTP。

密码套件顺序列表应包括TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384或TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256密码套件（或两者）。这些密码套件必须位于任何TLS_DHE_密码套件之前。

注意：

Windows Server 2012TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384或TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。

1. 微软> / > SSL。
2. 编辑策略SSL。默认情况下，此策略设置为未配置。将此策略设置为已启用。
3. 按正确的顺序安排套件，删除任何不需要使用的密码套件。

确保TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384或TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256位于任何TLS_DHE_密码套件之前。

1 .微软MSDN对信道密码套件进行优先排序(香奈尔)。

HTTP、HTTPS

默认情况下,控制器上的XML服务在端口80上侦听HTTP流量,在端口443上侦听HTTPS流量。这句话的意思是:“控制器”、“控制器”、“控制器”、“控制器”。店面。

要更改控制器使用的默认HTTP或HTTPS端口,请从工作室运行以下命令:

.exe -WIPORT http-port -WISSLPORT https-port

其中，http端口* * * *;https端口* * * * *

【翻译】:工作室PowerShell cmdlet

Get-ConfigRegisteredServiceInstance -ServiceType Broker -Binding XML_HTTPS|

Unregister-ConfigRegisteredServiceInstance

Get-BrokerServiceInstance|where Binding -eq " XML_HTTPS "|Register-ConfigServiceInstance

HTTPS

如果希望XML服务忽略默认端口上的HTTP流量,请在控制器上的HKLM \ Software \ Citrix \ DesktopServer \中创建以下注册表设置,然后重新启动代理服务。

http://www.xmlservicesenablenonssl http://www.servicesenablenonssl http://www.servicesenablenonssl http://www.servicesenablenonssl http://www.servicesenablenonssl http://www.servicesenablenonssl

提供了一个能够创建的用于忽略HTTPS流量的相应注册表DWORD值:DWORD XmlServicesEnableSsl。请确保未将其设置为 0。

Vda, TLS, TLS

“”“”“”“”“TLS”，“TLS”，“TLS”

在VDA上配置TLS时,已安装TLS证书上的权限会被更改,向ICA服务授予读取证书私钥的权限,并向ICA服务告知以下信息:

• TLS / TLS / TLS。
• TCP端面，TLS。

Windows、Windows、Windows、Windows、Windows、Windows、Windows、Windows、Windows、Windows、Windowshttp://www.powershell。

• TLS。

重要

Citrix建议您查看您的SSLv3使用情况,并在适当的情况下重新配置那些部署以删除对SSLv3的支持。请参阅CTX200238。

支持的TLS协议版本遵循以下层次结构(从最低到最高):SSL 3.0, TLS 1.0, TLS 1.1和TLS 1.2。请指定允许的最低版本。将允许使用此版本或更高版本的所有协议连接。

例如,如果指定TLS 1.1作为最低版本,则允许TLS 1.1和TLS 1.2协议连接。SSL 3.0，全英文，全英文，全英文。TLS 1.2, TLS 1.2, TLS 1.2

• 【中文译文】

密码套件选择将用于连接的加密。【中文译文】客户端(Citrix接收器或店面)连接并发送支持的TLS密码套件列表,VDA将客户端的密码套件之一与其自己的配置密码套件列表中的密码套件之一进行匹配,并接受连接。【中文翻译】

VDA支持三组密码套件(也称为合规性模式):政府(列出),COM (mercial)及所有。可接受的密码套件还取决于Windows FIPS模式,有关窗户FIPS模式的信息,请参阅https://support.microsoft.com/kb/811833。下表列出了每组中的密码套件：

重要：

VDA、Windows Server 2012 R2、Windows Server 2016、Windows 10周年纪念版、Windows 10周年纪念版、Windows 10周年纪念版、Windows 10周年纪念版。Citrix Receiver for Windows(4.6 4.9)， Citrix Receiver for HTML5, Citrix Receiver for Chrome。NetScaler网关

对于使用NetScaler网关的所有连接以及所有VDA版本(如果在NetScaler网关与共识之间配置了TLS),也需要执行此步骤。Citrix接收器

VDA(Windows Server 2016或Windows 10周年纪念版)，SSL serverserverserverserver> SSL serverserverserver>。选择以下顺序：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_3DES_EDE_CBC_SHA

注意：

椭干系干系干系p384干系p256。“曲线25519”。提示:不会阻止使用 “curve25519”。

配置了此组策略设置时,VDA将仅选择同时显示在两个列表中的密码套件:组策略列表和选定合规性模式列表(COM,政府或所有)。该密码套件还必须显示在客户端(Citrix接收器或店面)发送的列表中。

“TLS”。“TLS”。如果您的应用程序要求使用特定的密码套件，您可能需要将它们添加到此组策略列表中。

重要：

【中文译文】:高精高精，高精高精。齐泽涛，齐泽涛，齐泽涛，齐泽涛，齐泽涛。

PowerShell VDA TLS

Enable-VdaSSL。ps1 . VDA。此脚本位于安装介质上的“支持”(支持)>“工具”(工具)>“SslSupport”文件夹中。

启用TLS时,此脚本为指定的TCP端口禁用现有的所有Windows防火墙规则,然后添加新规则以允许ICA服务仅接受TLS TCP端口上的传入连接。Windows:

• 思杰(Citrix)
• 思杰(Citrix) CGP
• Citrix WebSocket(电话:8008)

产生的影响为用户只能使用TLS进行连接;在不使用TLS的情况下,不能使用ICA / HDX启用了会话可靠性的ICA / HDX或采用WebSocket的HDX。

请参阅网络端口。

注意：

PVS、MCS、FQDN等。

“记事本”++“记事本”+“记事本”+“记事本”+“记事本”+“记事本”+“记事本”

重要：

启用或禁用密码学功能。其他参数为可选参数。

语法

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "" [-SSLPort ] [-SSLMinVersion ""] [-SSLCipherSuite""] 

示例

对，对，对，对。指纹（在此示例中以 12345678987654321 表示）用于选择要使用的证书。

启用- vdassl -启用-CertificateThumbPrint "12345678987654321"

以下脚本安装并启用TLS侦听器,指定TLS端口,400年政府密码套件和最低TLS 1.2协议值。指纹（在此示例中以 12345678987654321 表示）用于选择要使用的证书。

启用-CertificateThumbPrint "12345678987654321" -SSLPort 400 -SSLMinVersion "TLS_1.2" -SSLCipherSuite "All"

齐泽聪:齐泽聪，齐泽聪。

Enable-VdaSSL禁用

TLS

NT SERVICE\PorticaService(适用于Windows桌面操作系统)、NT SERVICE\TermService(适用于Windows服务器操作系统)。【中文译文】

1. 微软(MMC):> mmc.exe。

2. 【翻译】

   1. 选择文件 > 添加/删除管理单元。
   2. 选择证书，然后单击添加。
   3. 收到该管理单元将始终为下列帐户管理证书:提示时，选择计算机帐户，然后单击下一步。
   4. 收到请选择需要这个管理单元管理的计算机提示时，选择本地计算机，然后单击完成。

3. 在证书(本地计算机) > 个人 > 证书下，在证书上单击鼠标右键，然后选择所有任务 > 管理私钥。

4. 访问控制列表编辑器显示”(友好名称)私钥的权限”,其中,(友好名称)是TLS证书的名称。添加以下其中一项服务并向其授予读取权限：

   • Windows桌面操作系统的VDA: " PORTICASERVICE "
   • Windows Server操作系统的VDA: " TERMSERVICE "

5. 这句话的意思是:在证书对话框中，选择详细信息选项卡，然后滚动到底部。单击指纹。

6. HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd。

   1. 编辑SSL指纹注册表项并将TLS证书的指纹值复制到此二进制值中。。
   2. 编辑SSLEnabled注册表项并将DWORD值更改为1。(1 .)

   3. 如果要更改默认设置（可选），请在相同注册表路径中使用以下值：

      SSLPort DWORD - SSL端面。默认值：443。

      SSLMinVersion DWORD - 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2。[qh]:2。

      SSLCipherSuite DWORD - 1 = GOV, 2 = COM, 3 = ALL。3(全部)。

7. 如果TLS TCP端口不是默认值443,请确保此端口在Windows防火墙中处于打开状态。【中文翻译】:Windows、Windows、Windows、Windows允许连接或启用条目）。

8. “TLS TLS TCP”。

9. Windows Server操作系统的VDA。(Windows桌面操作系统VDA)。

TLS

“”“”“”“”“”

1. PowerShell Studio, PowerShell, PowerShell, PowerShell。
2. 运行asnp Citrix。*Citrix cmdlet。
3. 运行Set-BrokerAccessPolicyRule -HdxSslEnabled $true。
4. 运行Set-BrokerSite - dnsresoltionenabled $true。

故障排除

【中文译文】

使用Citrix接收机为Windows时,如果收到指示TLS错误的连接错误(例如1030),请禁用桌面查看器,然后尝试重新连接。这是一个很好的例子。例如，您在从证书颁发机构申请证书时指定了错误的模板。

控制器VDA

Windows通信框架(WCF)【翻译】VDA、verda、verda、verda、verda、verda。【中文译文】sha-1。

微软，WCF协议符合绿洲(结构化信息标准促进组织)标准,包括ws - securitypolicy 1.2。微软，WCF【翻译中列出的所有算法套件。

控制器。VDA。basic256。

TLS。html5

HTML5: HTTPS Web注入到这些网络站点的JavaScript必须与共识上运行的Citrix HDX HTML5视频重定向服务建立TLS连接。5 . html5。停止此服务将删除证书。

Html5。

【中文译文多媒体策略设置。