与Citrix网关和Citrix ADC集成
使用Citrix Gateway和StoreFront为公司网络之外的用户提供安全的远程访问,并使用Citrix ADC提供负载平衡。
计划网关和服务器证书的使用
将店面与Citrix网关和Citrix ADC集成需要网关和服务器证书使用计划。考虑哪些Citrix组件在部署过程中需要服务器证书(S):
- 规划从外部证书颁发机构获取面向internet的服务器和网关的证书。客户端设备可能不会自动信任由内部证书颁发机构签署的证书。
- 计划外部和内部服务器名称。许多组织都有单独的名称空间供内部和外部使用,例如
example.com(外部)和示例.net(内部)。通过使用Subject Alternative name(SAN)扩展,单个证书可以同时包含这两种名称。通常不建议这样做。只有在顶级域(TLD)已向IANA注册的情况下,公共证书颁发机构才会颁发证书。在这种情况下,一些常用的内部服务器名称(例如example.local)无法使用,并且外部和内部名称仍然需要单独的证书。 - 尽可能对外部和内部服务器使用单独的证书。网关可以通过将不同的证书绑定到每个接口来支持多个证书。
- 避免在面向Internet和非面向Internet的服务器之间共享证书。这些证书可能与您的内部证书颁发机构颁发的证书不同,具有不同的有效期和不同的吊销策略。
- 仅在等效服务之间共享“通配符”证书。避免在不同类型的服务器(例如店面服务器和其他类型的服务器)之间共享证书。避免在受不同管理控制或具有不同安全策略的服务器之间共享证书。提供同等服务的服务器的典型示例如下:
- 一组StoreFront服务器和在它们之间执行负载平衡的服务器。
- GSLB中一组面向Internet的网关。
- 一组Citrix虚拟应用程序和台式机控制器,提供同等资源。
- 硬件安全私钥存储计划。网关和服务器(包括某些Citrix ADC型号)可以将私钥安全地存储在硬件安全模块(HSM)或可信平台模块(TPM)中。出于安全原因,这些配置通常不支持证书及其私钥的共享,请参阅组件的文档。如果使用Citrix网关实现GSLB,这可能要求GSLB中的每个网关具有相同的证书,其中包含您希望使用的所有FQDN。
有关保护Citrix部署的更多信息,请参阅白皮书使用Citrix虚拟应用程序和台式机进行端到端加密以及Citrix虚拟应用程序和桌面电脑保护部分
在Citrix网关VIP上禁用身份验证时配置店面登录
在Citrix网关VIP上禁用身份验证时登录到StoreFront。此过程适用于两种情况:内部网络. 从远程位置启动应用程序失败,因为如果X-Citrix-Gateway标头传递到StoreFront,则在Citrix网关上禁用身份验证时无法使用STA。Citrix Receiver for Web. 如果Citrix网关VIP未启用身份验证,则接收方客户端不会进行身份验证。
店面服务器上的更改
- 禁用需要令牌一致性字段:
- 店面3.0
- 编辑
web.config商店网站的文件。例如,如果店面商店名称为诺亚斯这个web.configStoreFront服务器中的文件具有路径inetpub \ wwwroot \ Citrix \ NoAuth.
- 编辑
在。中找到以下行
web.config文件,将值从True更改为False。之前注:
在店面3.x上,需要令牌一致性是GUI中的复选框。有关详细信息,请参阅高级存储设置.
拯救
web.config文件,然后重新启动IIS服务。
- 店面3.0
打开Citrix店面管理安慰
点击管理网站的接收器对于网络。
选择“Web站点”对应的“Citrix Receiver”,单击配置然后选择认证方法.
- 确保通过Citrix网关选择是清除。
注:
Citrix网关和启用远程访问假定设置在店面服务器上。
Citrix网关上的更改
打开Citrix网关虚拟服务器。
点击认证选项卡并确保启用身份验证复选框已清除。
将相应的会话策略绑定到Citrix网关虚拟服务器。
测试连接。
与Citrix网关和Citrix ADC集成
复制!
失败!