Softwarevirtualisierung mit App V 5 192Unser Buch "Softwarevirtualisierung mit App-V 5"

Das deutsche App-V 5 Buch: 496 Seiten Wissen zu Microsoft App-V 5 (5.1 bis HF6). Ab Windows 7 bis Server 2016 mit Zusatzinhalten zu App-V mit VDI, Terminalservern, XenDesktop und SCCM Mit Fragestellungen zum Contentstore, Skripting, Hochverfügbarkeit usw.
2 minutes reading time (483 words)

XenDesktop 7.x, Html 5 Citrix Receiver, VDA SSL und Wildcard Zertifikate

Citrix SSL 180x180 aWir benutzen für viele Umgebungen Wildcard Zertifikate (*.DOMAENE.LOCAL o.ä.) die wir teilweise als langjährige Zertifikate (http://www.software-virtualisierung.de/entry/erstellung-langjaehriger-zertifikate-zur-nutzung-mit-citrix.html) aus unserer eigenen CA exportieren. Leider hat sich gezeigt, dass der Citrix html 5 Client diese Zertifikate nicht ohne weiteres importieren kann. Diese funktionieren dennoch. Daher hier eine Anleitung, wie die Zertifikate für den VDA und den Desktop Delivery Controller konfiguriert werden. Damit wird die Darstellung der Citrix Inhalte direkt in einem Html 5 fähigen Webbrowser erreicht.

Zusätzlich wird in diesem Block gezeigt, wie die Fehlermeldung „Verification of the certificate failed“ für Zertifikate umgangen werden kann, die das Skript Enable-VDASSL.ps1 für ungültig hält (in diesem Fall war das ein eigenes Wildcard Zertifikat). Im Storefront ist zunächst der Citrix Receiver für Html 5 zu aktivieren.

image001

  

image002

Nach der Anmeldung an StorFront und einem Startversuch in einem Html5 fähigen Browser erscheint der Fehlercode „Ctx134123“ (http://support.citrix.com/article/CTX134123).

image003

Das bedeutet, dass keine verschlüsselte Verbindung zum VDA aufgebaut werden kann bzw. SSL nicht aktiviert wurde. Hierbei wird eine verschlüsselte Verbindung vom StoreFront Server zum VDA (Citrix Virtual Desktop Agent Terminalserver, Windows 10, 8.x, 7 Desktop) benötigt. Zunächst muss hierfür das Stammzertifikat in den „Vertrauenswürdigen Stammzertifikaten“ des Desktop Delivery Controllers, des VDA und des StoreFornt Servers installiert werden. In diesem Fall ist das „UranRootCA“.Eine Verteilung über eine Computerrichtlinie der Domäne ist auch möglich.

image004

Als nächstes muss unser Wildcard Zertifikat „*.uran.local“ im Persönlichen Zertifikatspeicher des VDA (also für den Computer) installiert werden. Hierbei auch den privaten Schlüssel importieren. Zur Kontrolle kann das Zertifikat anschließend auch wieder mit einem privaten Schlüssel exportiert werden.

image005

Mit einem Doppelklick wird die Gültigkeit des Zertifikates kontrolliert.

image006

 

Nun vom XenDeskop Datenträger das Skript „Support\Tools\SslSupport\Enable-VdaSSL.ps1“ nach lokal auf den VDA kopieren. Beispielsweise nach c:\temp\.

1. Powershell als „Administrator“ starten

2. Scriptausführung erlauben : Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

3. Die Installation kann nun mit & C:\temp\Enable-VdaSSL.ps1 -Enable

4. Bei einer Fehlermeldung, dass das Zertifikat nicht identifiziert werden kann, muss ein Trumprint des Zerifikates angegeben werden (Fehlermdelung „More than one certificates found in the certificate store“). Dieses findet sich in den Zertifikatseinstellungen.

image007

5. C:\Users\Administrator> & C:\temp\Enable-VdaSSL.ps1 -Enable -CertificateThumb Print "bd4cd1a095c9bef99ff1622a3729e0f9105486db"

6. Wenn das Zertifikat mit einer in der Domäne vorhandenen CA erstellt wurde, kann das jetzt schon funktioniert haben. Nur wir bekommen für unser „gültiges“ Wildcard Zertifikat die Fehlermeldung: „Verification of the certificate failed. Please install a valid certificate“. Daher ändern wir das Skript leicht ab und nehmen die Überprüfung des Zertifikates aus dem Skript „C:\temp\Enable-VdaSSL.ps1“ heraus.

image008

7. Nach einem weiteren Aufruf funktioniert der Import

image009

 

8. Abschließend muss die SSL Verbidung für die Delivery-Group mit Powershell auf dem DDC aktiviert werden

Add-PSSnapin Citrix.*

Für Gruppenname hier den Namen der Bereitstellungsgruppe eintragen. In diesem Beispiel ist das Apps

image010

 

Get-BrokerAccessPolicyRule –DesktopGroupName ‘GRUPPENNAME’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true

Set-BrokerSite –DnsResolutionEnabled $true

Der Html 5 Client und die SSL Verschlüsselte Verbindung dazu sind nun aktiv. Hier ein Beispiel für die Darstellung im Browser:

image011

Weiterführend dazu „XenApp and XenDesktop 7.6 Security: FIPS 140-2 and SSL to VDA“ 

 

Citrix XenDesktop 7.8 und App-V
Altlantis USX im Stretched Cluster

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Sonntag, 18. November 2018

Sicherheitscode (Captcha)

Kontakt

Nick Informationstechnik GmbH
WEB : http://www.nick-it.de
TEL : +49 511 165.810.190
MAIL: info(at)nick-it.de

@nickinformation Tweets

Most Popular Post

04. Mai 2015
NITCtxPatcher a patchmanager for Citrix XenApp and XenDesktop 7.xMay 2017 The NITCtxPatchManager is back, after some changes from Citrix on the websit...
02. April 2015
NIT-GPOSearch is a free tool to search in the Group Policy (admx, adml) definitions for a specific setting. New in Version 1.2 - search in the domain ...
14. März 2015
Attention: We have completed a new version 2.0. This version is not longer free (Version 1.4 is it). In DACH you can request a conversion with the con...
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen