Citrix Cloud: Connector-Kommunikation absichern
Mit Citrix Cloud ist auch Citrix in das “as a Service”-Business eingestiegen und bietet damit einen wirklich mächtigen Cloud-Dienst mit vielen Produkten im Portfolio an.
App- und Desktopvirtualisierung mit dem Virtual Apps & Desktops, MDM mittels Endpoint Management oder File-Sharing via Content Collaboration sind nur einige der zur Verfügung stehenden Services.
In diesem Beitrag möchte ich auf eine Komponente des Virtual Apps & Desktops Service eingehen – den Citrix Cloud Connector.
Citrix Cloud Connector(en) verbinden das Active Directory sowie den lokalen oder in der Cloud befindlichen Hypervisor mit den Management-Komponenten in der Citrix Cloud.
Durch den Einsatz des VA/VD-Service wird Administratoren viel Arbeit und Zeit im Betrieb, Wartung und Erneuerung einer Vielzahl an Komponenten (Lizenz-Server, Delivery-Controller, Datenbank-Cluster,…) erspart.
Trotz all des neu gewonnenen Komforts sollte die Sicherheit dennoch nicht in den Hintergrund rücken. Deswegen ist es auch bei der Connector-Komponente zu empfehlen die Kommunikation mit den VDAs abzusichern.
Was wird dazu benötigt?
- ein Server-Zertifikat
- administrative Berechtigungen auf dem Server
Der Befehl zum Binden eines Zertifikats an einen Port sieht wie folgt aus:
::add SSL-Binding to Citrix Broker Service netsh http add sslcert ipport=<IP address>:<Port Number> certhash=<Certificate Hash Number> appid={<Citrix Broker Service GUID>}
Die Platzhalter müssen noch durch die korrekten Werten ersetzt werden:
<IP address> = IP-Adresse des Servers
<Port Number> = Port an den das Zertifikat gebunden werden soll
<Certificate Hash Number> = Hash des installierten Serverzertifikats
<Citrix Broker Service GUID> = GUID des Citrix Broker Dienstes
Die GUID ist in der Windows Registry unter HKEY_CLASSES_ROOT\Installer\Products zu finden. Der Key stellt dabei die GUID dar und muss wie folgt aufgeschlüsselt werden: 8-4-4-4-12
→ Beispiel: 6B6FE0CF-3124-E654-C8C6-D40734B302EF
Sobald das Binding aktiviert wurde können die VDAs so konfiguriert werden, das über Port 443 mit den Cloud Connectoren kommuniziert wird.