HTML5 Receiver Konfiguration - Sichere Kommunikation zum Citrix VDA

In diesem Betrag werden alle notwendigen Schritte für die Einrichtung der sicheren Kommunikation über HTML5 Receiver beschrieben. Die Anleitung bezieht sich hauptsächlich auf die Intranet-Kommunikation.

Zu bemerken: Ein HTML5 Receiver kann aktuell den vollwertigen, lokal installierten Receiver nicht ersetzten.

Wenn Sie der Anleitung folgen werden Sie möglicherweise auch die Ursache für die folgende Fehlermeldung beseitigen:

 

Lösungen

Die Nutzung des HTML5 Receiver ist sowohl aus einem externen Netzwerk als auch aus einem internen Netzwerk möglich. Es wird von Citrix empfohlen in beiden Fällen den Zugriff auf die Citrix Infrastruktur über den NetScaler zu organisieren.

Je nachdem wie Sie Ihre Infrastruktur gestalten wollen, haben Sie eine Wahl zwischen zwei Option: mit einem SSL Zertifikat auf jedem VDA oder ohne.

 

Option 1 – ohne SSL Zertifikat auf den VDAs

In diesem Fall sind keinen installierten Zertifikaten auf den VDAs mehr notwendig, um eine Verbindung von einem HTML5-fähigen Browser herzustellen. Die Verbindung zwischen den End-Geräten (User Devise und VDA) muss verschlüsselt werden. Es gibt zwar Internet-Browser (z.B.), die durch eine minimale Anpassung eine unverschlüsselte Web Socket-Verbindung ermöglichen.

Port80 Zertifikat VDAs

Option 2 – mit SSL Zertifikat auf den VDAs

SSL VDAs

 

Konfigurationsschritte:

Die Konfiguration lässt sich grob in sechs Schritte unterteilen. Die Schritte 1 und 2 sind für die Option 1 notwendig, die Schritte 1 bis 6 für die Option 2.

  1. Citrix Richtlinien Anpassung
  2. BereitstellungsoptionAnpassung
  3. Zertifikate auf den VDAs installieren
  4. SSL auf den VDAs aktivieren
  5. SSL-Verbindungen für die ausgewählte Bereitstellungsgruppe aktivieren
  6. DNS-Auflösung auf der Citrix-Site aktivieren

1. Citrix Richtlinien Anapassung (Optional)

Es ist nicht mehr notwendig, die WebSocket-Einstellungen zu aktivieren. Die Kommunikation findet ausschließlich über den Port 443 und nicht mehr über den Port 8008 statt.

Folgende Citrix-Richtlinien sind anzupassen:

  • WebSockets connections: auf Allowed
  • Web Sockets port number: auf 8008
  • WebSockets trusted origin server list: *

 

2. Bereistellungsoption konfigurieren

Melden Sie sich auf dem StoreFront-Server an und navigieren Sie zu:

Receiver für Web-Sites verwalten > Konfigurieren > Citrix Receiver / Workspace-App bereitstellen > Bereistellungsoption:

  • Immer Receiver für HTML5 verwenden (Always use Receiver for HTML5)
  • Verwenden Sie Receiver für HTML5, wenn die lokale Version von Citrix Receiver/ Workspace-App nicht verfügbar ist (Use Receiver for HTML5 if local Citrix Receiver / Workspace-App is unavailable)
  • Lokal installieren

Wählen Sie eine Option, die für Ihre Infrastruktur am besten passt.

Deploy Citrix Receiver

Außerdem ist es sinnvoll, für den HTML5 Zugang einen separaten Store einzurichten.

 

3. Zertifikate auf den VDAs installiert

Auf jedem VDA muss ein Zertifikat installiert werden. Wichtig ist, dass es sich dabei nicht um ein Wildcard-Zertifikat handelt. Der Subjekt Alternative Name muss den DNS-Namen des VDAs beinhalten.   Der FQDN des VDAs soll mit den FQDN im Computerzertifikat übereinstimmen.

3.1. Starten Sie die Zertifikat-Management Konsole (Certlm.msc)

3.2. Navigieren Sie zu Personal > Certificates

01 Create Cert Request

3.3. Rechte Maustaste > All Tasks > Request New Certificate…

02 Create Cert Request

3.4. Next

03 Create Cert Request

3.5. Next

04 Create Cert Request

3.6. Wählen Sie für Sie für eine passende Zertifikat-Vorlage

05 Create Cert Request

3.7. Schließen Sie den Wizard

06 Create Cert Request

3.8. Wie man sieht, ist das Zertifikat erfolgreich installiert.

 07 Citrix XenApp XenDesktop HDX Service Cert

 

4. SSL auf den VDAs aktivieren

4.1. Wählen Sie das installierte Zertifikat aus, und klicken Sie mit der rechten Maustaste auf Properties > Details.

4.2. Klicken Sie auf Thumbprint und kopieren Sie den Hashwert

08 Thumbprint

4.3. Im weiteren Schritt wird uns die Dateien Enable-VdaSSL.ps1 benötigt. Die Datei befindet sich auf der Install-DVD in dem Ordner DVD:\Support\Tools\SslSupport

VDA Enable VdaSSL

Starten die PowerShell Konsole als Administrator und geben Sie die folgende Befehlskette ein:

Enable-VdaSSL.ps1 -Enable

Standardmäßig ist auf jedem VDA ein weiteres Computerzertifikat installiert: Citrix XenApp/Xendesktop HDX Service. Wenn es bei Ihnen der Fall ist, geben dann den kopierten Thumbprint-Wert (Fingerabdruck) ein. So können Sie gewährleisten, dass das „richtige“ Zertifikat“ für angebunden wird.

Enable-VdaSSL.ps1 -Enable -CertificateThumbPrint "Ihr_Thumbprint_Wert"

4.4. Bei der Ausführung sind noch zwei Entscheidungen zu treffen:

Configure ACLs. Die Entscheidung hat keine direkte Auswirkung und kann mit Yes beantwortet werden.

Configure Firewall. Hier wird Ihnen vorgeschlagen, die Ports 1494 (ICA), 2598 (Session Reliability) und 8008 (Websocket) zu sperren. Wenn Sie damit einverstanden sind, klicken Sie auf Yes.

4 4 VDA EnableVdaSSL

Zur Info: Den Thumbprint Wert ist einschließend unter dem folgenden Registry-Zweig zu finden:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd

4 5 Reg Wds icawd

 

5. SSL-Verbindungen für die ausgewählte Bereitstellungsgruppe aktivieren

Zwei weitere Konfigurationsschritte werden auf dem Delivery Controller durchgeführt. In diesem Punkt aktiviert man die verschlüsselte Kommunikation zwischen dem HTML5 Receiver und den VDAs einer bestimmten Bereitstellungsgruppe.

5.1. PowerShell als Administrator starten

5.2. Führen Sie das Citrix PowerShell Snap-In hinzu – asnp citrix*

5.3. Get-BrokerAccessPolicyRue -DesktopGroupName “Name der Bereitstellungsgruppe” | Set-BrokerAccessPolicyRule -HdxSslEnabled $true

5 1 HdxSslEnabled

 

6. DNS-Auflösung auf der Citrix-Site aktivieren

Führen Sie einen weiteren Befehl aus. In diesem Fall wird sichergestellt, dass die FQDN des VDAs innerhalb der ICA-Datei an den Client weitergeleitet wird. Der FQDN des VDAs muss mit dem FQDN im Computerzertifikat übereinstimmen.

Set-BrokerSite -DnsResolutionEnabled $true

6 DnsResolutionEnabled

 

 

Datenaustausch zwischen HTML5 Session und lokalen Client verbieten

Diese Anleitung ist nur auf Google Chrome und Microsoft Edge anwendbar. Standardmäßig ist die Dateiübertragung zwischen einem Benutzergerät und einer virtuellen XenDesktop-Sitzung erlaubt.

Die vorher aktivierte Clientlaufwerkzuordnung hat für HTML5 Receiver keinerlei Wirkung. Der Benutzer darf über die Upload-Option auf alle eigenen Laufwerke zugreifen.

Download – Upload Buttons 

HTML5 Receiver

  1. Download
  2. Upload 

 

Es gibt zwei Möglichkeiten, wie Sie diese Optionen deaktivieren können:

1. Citrix Richtlinien: Allow file transfer between desktop and client - Prohibited (Dateiübertragung zwischen Desktop und Client -zulassen) 

Allow file trasfer between desktop and client 2

2. Registry-Werte auf den VDAs anpassen:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\GroupPolicy\Defaults\IO
“AllowFileTransfer”=dword:00000000

Nach der Aktivierung sieht die Leiste wie folgt aus:

 HTML5 Receiver Leiste Ausgeblendet

 

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.