Parallels RAS 10 Administratorhandbuch - SSL/TLS-Verschlüsselung

Einführung
- Parallels RAS 19-Versionsverlauf
- Über Parallels RAS
- Über dieses Handbuch
- Neue Funktionen
- In diesem Handbuch verwendete Begriffe und Abkürzungen
Installation von Parallels RAS
- Systemanforderungen
- Parallels RAS installieren
- Anmelden und Aktivieren von Parallels RAS
Erste Schritte mit Parallels RAS
- Die Parallels RAS-Konsole
- Einrichten einer einfachen Parallels RAS-Serverfarm
Serverfarm und Sites
- Herstellung einer Verbindung zu einer Parallels RAS-Serverfarm
- Über Sites
- Sites in der RAS-Konsole
- Hinzufügen einer Site zur Serverfarm
- Replizieren von Site-Einstellungen
- Verwalten der Lizenzierungssite
- Verwalten der Administratorkonten
RAS Connection Broker
- Konfigurieren eines RAS Connection Brokers
- Sekundäre Connection Broker
- Sekundäre Connection Broker verwalten
- Verwenden der Tools zur Computerverwaltung
RAS Secure Gateway
- Überblick
- Hinzufügen eines RAS Secure Gateways
- Manuelles Hinzufügen eines RAS Secure Gateways
- Überprüfen des Status des RAS Secure Gateways
- Konfiguration eines RAS Secure Gateways
- Tunnelling-Richtlinien für Secure Gateways
- Konfigurieren der Protokollierung
- Anzeigen von Secure Gateway-Zusammenfassungen und -Metriken
- Verwenden der Tools zur Computerverwaltung
RD-Sitzungshosts
- RD-Sitzungshost-Typen
- RD-Sitzungshost hinzufügen
  - Manuelle Agent-Installation
- Vorlagenbasierten RD-Sitzungshost hinzufügen
- RD-Sitzungshosts verwalten
- Planung der Hochverfügbarkeit
- Verwalten von Anmeldungen
- Verwenden der Tools zur Computerverwaltung
- Veröffentlichen von einem RD-Sitzungshost
- Anzeigen der veröffentlichten Ressourcen
Virtuelle Desktopinfrastruktur (VDI)
- Unterstützte Anbieter
- Hinzufügen eines Anbieters
- VDI verwalten
- Konfigurieren der Protokollierung
- Aktivieren der Hochverfügbarkeit für VDI
- Standardeinstellungen der Site (VDI)
- Verwenden der Tools zur Computerverwaltung
- Anzeigen der Anbieter-Zusammenfassung
- Remote-PC-Pools
Azure Virtual Desktop
- Einführung
- Voraussetzungen
- Azure Virtual Desktop bereitstellen
- Azure Virtual Desktop verwalten
- Standortvorgaben (Azure Virtual Desktop)
  - Site-Standardeinstellungen für Single-Session-Hosts
  - Site-Standardeinstellungen für Multi-Session-Hosts
- Parallels Client mit Azure Virtual Desktop verwenden
- Verifizieren der Bereitstellung
PCs
- Überblick
- Hinzufügen eines Remote-PC zu einer Serverfarm
  - Vom Administrator initiierte Registrierung für Remote-PCs
  - Self-Service-Registrierung für Remote-PCs
- Konfigurieren eines PC
- Anzeigen des Remote PC-Überblicks
- Verwenden der Tools zur Computerverwaltung
Veröffentlichung
- Überblick
- Veröffentlichen eines Desktops
- Veröffentlichen einer Anwendung
- Veröffentlichen einer Anwendung mit MSIX App Attach
- Veröffentlichen einer Webanwendung
- Veröffentlichen eines Netzwerkordners
- Veröffentlichen eines Dokuments
- Allgemeine Verwaltungsaufgaben
- Verwalten veröffentlichter Anwendungen
- Verwalten veröffentlichter Desktops
- Verwalten veröffentlichter Dokumente
- Verwalten von Ordnern
- Standardeinstellungen der Site (Publishing)
- Verwenden von Filterregeln
- Bevorzugtes Routing konfigurieren
- Grundlegendes zum Sitzungsvorstart
- Prüfen des effektiven Zugriffs
- Festlegen von Client-Einstellungen
- Schnelltastatur
Sitzungsverwaltung
- Überblick
- Sitzungsinformationen
- Überwachungseinstellungen
- Verwalten von Sitzungen
- Die Registerkarte Ressourcen
SSL-Zertifikatsverwaltung
- Generieren eines selbstsignierten Zertifikats
- Generieren einer Zertifikatsignaturanforderung (CSR)
- Let's Encrypt-Zertifikate
  - Let's Encrypt-Zertifikat anfordern
  - Wie Parallels RAS Zertifikate von Let's Encrypt anfordert
- Importieren eines Zertifikats
- Exportieren eines Zertifikats
- Zuweisen eines Zertifikats zu Secure Gateways und HALBs
- Audit-Zertifikate
- Berechtigungen zur Verwaltung von Zertifikaten
- Upgrade von einer älteren RAS-Version
Verbindungs- und Authentifizierungseinstellungen
- Verbindungseinstellungen RAS Connection Broker
- Einstellungen für Remotesitzungen
- Einstellung der Anmeldezeiten
- Beschränken des Zugriffs nach Typ und Build-Nummer von Parallels Client
- Multifaktor-Authentifizierung
- Ändern des Domain-Passworts durch Benutzer zulassen
- Erkennen von RAS-Verbindungen über E-Mail-Adresse
Lastausgleich und HALB
- Lastverteilung auf Ressourcenbasis und mit Roundrobin
  - CPU-Optimierung konfigurieren
- High Availability Load Balancing (HALB)
Mandantenfähige Architektur des RAS
- Überblick
- Architekturbeschreibung
  - Überblick über die Implementierung
  - Ablauf der Benutzerverbindung
- Bereitstellung von Mandantenmakler und Mandanten
- Verwalten von Mandanten
- Gemeinsam genutzte Gateways
- Netzwerk-Load-Balancer von Drittanbietern
- Web Client und Designs
- Überwachung von Mandanten
- Kompatibilität und Updates des Mandantenmaklers
- Upgrade von einer älteren RAS-Version
- Konfigurieren von Benachrichtigungen
- Kommunikationsschnittstellen
SAML SSO-Authentifizierung
- Einführung
- Systemvoraussetzungen
- SAML-Grundlagen
- SAML-Konfiguration
- Konfiguration von Parallels Client
- Konfiguration der Parallels Client-Richtlinie
- Testen der SAML SSO-Bereitstellung
- Fehlermeldungen
Die Schemas werden im Kapitel über den Web Client und Nutzerportal von Parallels (S. ) ausführlich beschrieben.
- Konfigurieren von Web Client
- Schemas konfigurieren
- Parallels Web Client öffnen
- Hauptmenüoptionen
- Starten von Remote-Anwendungen und -Desktops
- Automatische Anmeldung
- Direkter App-Zugriff
- Verwenden der Symbolleiste
Universal Printing
- Verwalten von Universal Printing-Einstellungen
- Universelle Druckertreiber
- Verwalten von Schriftarten
Universal Scanning
- Verwalten von Universal Scanning
- Hinzufügen von Scan-Anwendungen
Verwaltung von Benutzergeräten und Client-Richtlinien
- Einladen von Benutzern, eine Verbindung zu Parallels RAS herzustellen
- Massenkonfiguration von Benutzergeräten
- Aktivieren der Helpdesk-Unterstützung
- Überwachen von Geräten
  - Abrufen zusätzlicher Geräteinformationen
- Windows-Gerätegruppen
- Verwalten von Windows-Geräten
  - Ersetzen des Windows-Desktops
- Planen von Zyklen für Windows-Geräte und Windows-Gruppen
- Client-Richtlinien
- Konfigurieren der Remote-Dateiübertragung
Berichterstellung
- Systemvoraussetzungen
- Microsoft SQL Server installieren
  - Installieren Sie Microsoft SQL Server 2016 oder früher
  - Microsoft SQL Server 2017 oder 2019 installieren
- Parallels RAS Reporting installieren
- Parallels RAS-Berichte erstellen
- Konformität mit der DSGVO
Performance Manager
- Überblick
- Installieren von RAS Performance Monitor
- Verwenden von Parallels RAS Performance Monitor
- Konfigurieren der Sicherheit für RAS Performance Monitor
- Aktualisieren von RAS Performance Monitor
Allgemeine Managementaufgaben
- Wiederherstellung – Hinzufügen eines Root-Administrators
- Hostnamensauflösung
- Tools zur Computerverwaltung
- Site-Informationen
- Site-Einstellungen
- MSIX-Anwendungspakete verwenden
- Verwendung von Vorlagenversionen
- Prüfung der Einstellungen
- Upgrade von RAS-Agents
- Lizenzierung
- Konfigurieren der HTTP-Proxy-Einstellungen
- Ereignisbenachrichtigungen des Systems
- RAS-Sitzungsvariablen
- Wartung und Backup
  - Exportieren und Importieren von Serverfarmeinstellungen über die Befehlszeile
- Berichterstellung und Fehlerbehebung
- Protokollierung
- Funktion vorschlagen
Parallels RAS-Verwaltungsportal
- Überblick
- Voraussetzungen
- Installation
- Anmelden beim RAS-Verwaltungsportal
- RAS Web-Administrationsdienst konfigurieren
- Benutzeroberfläche des RAS-Verwaltungsportals
Parallels RAS-APIs
- RAS PowerShell API
- RAS REST API
- RAS Web Client-API und Parallels Client URL-Schema
Anhang
- Microsoft-Lizenzanforderungen in Parallels RAS
- Port-Referenz
- RAS-Leistungsindikatoren

SSL/TLS-Verschlüsselung

Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Gateway kann verschlüsselt werden. Auf der Registerkarte SSL/TLS können Sie Datenverschlüsselungsoptionen konfigurieren.

Verwendung der Standardeinstellungen der Site

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter Standardeinstellungen der Site (Gateways).

Durchsetzung von HSTS

Mit der Schaltfläche Konfigurieren im HSTS-Abschnitt können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Gateway durchgesetzt wird, sind alle Webanforderungen an es gezwungen, HTTPS zu verwenden. Das betrifft insbesondere das RAS-Nutzerportal, das aus Sicherheitsgründen normalerweise nur HTTPS-Anfragen akzeptiert.

Wenn Sie auf die Schaltfläche Konfigurieren klicken, öffnet sich das Dialogfeld HSTS-Einstellungen, in dem Sie Folgendes festlegen können:

Strenge HTTP-Transportsicherheit (HSTS) durchsetzen: Aktiviert oder deaktiviert HSTS für das Secure Gateway.
Max. Alter: Gibt das maximale Alter für HSTS an, d. h. die Zeit (in unserem Fall in Monaten), in der der Webbrowser nur über HTTPS mit dem Secure Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.
Subdomains einbeziehen: Gibt an, ob Subdomains eingefügt werden sollen (falls vorhanden).
Vorab laden: Aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari, Internet Explorer 11 und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht einmal, eine Anforderung über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.

Hinweis: Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. Wichtig: Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.

Beachten Sie auch die folgenden Anforderungen:

Ihre Site muss über ein gültiges SSL-Zertifikat verfügen. Weitere Hinweise finden Sie unter SSL-Serverkonfiguration.
Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.

SSL wird konfiguriert

Standardmäßig wird einem RAS Secure Gateway bei der Installation des Gateways ein selbstsigniertes Zertifikat zugewiesen. Jedem RAS Secure Gateway muss ein Zertifikat zugewiesen werden und das Zertifikat sollte den vertrauenswürdigen Stammzertifizierungsstellen auf der Client-Seite hinzugefügt werden, um Sicherheitswarnungen zu vermeiden.

SSL-Zertifikate werden auf Site-Ebene unter Verwendung der Unterkategorie Farm > Site > Zertifikate in der RAS-Konsole erstellt. Sobald ein Zertifikat erstellt ist, kann es einem RAS Secure Gateway zugewiesen werden. Informationen zum Erstellen und Verwalten von Zertifikaten finden Sie im Kapitel SSL-Zertifikatsverwaltung.

So konfigurieren Sie SSL für einen Secure Gateway:

Wählen Sie die Option SSL aktivieren für Port und geben Sie eine Portnummer an (Standardeinstellung ist 443).
Wählen Sie in der Dropdownliste Akzeptierte SSL-Versionen die vom RAS Secure Gateway akzeptierte SSL-Version aus.
Wählen Sie im Feld Verschlüsselungsstärke eine gewünschte Verschlüsselungsstärke aus.
Geben Sie im Feld Verschlüsselung die Verschlüsselung an. Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.
Die Option Verschlüsselungen entsprechend Serverpräferenz verwenden ist standardmäßig aktiviert. Sie können Client-Einstellungen verwenden, indem Sie diese Option deaktivieren.
Wählen Sie in der Dropdownliste Zertifikate das gewünschte Zertifikat aus. Informationen darüber, wie Sie ein neues Zertifikat erstellen und es in dieser Liste erscheinen lassen können, finden Sie im Kapitel SSL-Zertifikatsverwaltung.
Die Option <Alle übereinstimmenden Verwendungen> verwendet jedes Zertifikat, das für die Verwendung durch einen Secure Gateway konfiguriert ist. Wenn Sie ein Zertifikat erstellen, geben Sie die Eigenschaft Verwendung“ an, in der Sie Gateway“, HALB“ oder beides auswählen können. Wenn bei dieser Eigenschaft die Option Gateway“ ausgewählt ist, kann sie mit einem Secure Gateway verwendet werden. Hinweis: Wenn Sie diese Option wählen, aber kein einziges passendes Zertifikat vorhanden ist, wird eine Warnung angezeigt und Sie zuerst ein Zertifikat erstellen müssen.

Verschlüsseln der Parallels Client-Verbindung

Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Secure Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Secure Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf Gateway SSL ein.

Um die Konfiguration des Parallels Clients zu vereinfachen, wird empfohlen, ein Zertifikat zu verwenden, das von einer bekannten vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgestellt wurde. Beachten Sie, dass der Windows-Zertifikatspeicher von einigen Webbrowsern (Chrome, Edge etc.) verwendet wird, wenn sie sich mit dem RAS-Nutzerportal verbinden.

Konfiguration von Parallels Clients

Wenn das Zertifikat selbstsigniert ist oder von einer Unternehmenszertifizierungsstelle ausgestellt wurde, müssen Parallels Clients wie folgt beschrieben konfiguriert werden.

Exportieren Sie das Zertifikat im Base-64 kodierten X.509 (.CER)-Format.
Öffnen Sie das exportierte Zertifikat in einem Texteditor, wie z. B. Notepad oder WordPad, und kopieren Sie den Inhalt in die Zwischenablage.

Fügen Sie das Zertifikat dann clientseitig der Liste der vertrauenswürdigen Zertifizierungsstellen hinzu und erlauben Sie Parallels Client, sich über SSL mit einem Zertifikat von einer Unternehmenszertifizierungsstelle zu verbinden.

Auf der Client-Seite sollte sich im Verzeichnis C:\Programmdateien\Parallels\Remote Application Server Client\“ eine Datei mit dem Namen trusted.pem befinden. Diese Datei enthält Zertifikate bekannter vertrauenswürdiger Stellen.
Fügen Sie den Inhalt des exportierten Zertifikats (im Anhang der Liste der anderen Zertifikate) ein.

Sichern von RDP-UDP-Verbindungen

Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.

So verwenden Sie DTLS auf einem RAS Secure Gateway:

Stellen Sie sicher, dass auf der Registerkarte SSL/TLS die Option SSL aktivieren für Port ausgewählt ist.
Stellen Sie sicher, dass auf der Registerkarte Netzwerk die Option RDP-UDP-Tunnelling aktivieren ausgewählt ist.

Die Parallels Clients müssen für die Verwendung des Modus SSL-Verbindung konfiguriert sein. Diese Option kann clientseitig unter Verbindungseinstellungen > Verbindungsmodus eingestellt werden.

Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.

In diesem AbschnittSSL-Serverkonfiguration

Was this topic helpful?

Yes No

Gateway-Netzwerkoptionen

SSL-Serverkonfiguration