Konfigurieren des virtuellen DTLS-VPN-Servers mithilfe des virtuellen SSL-VPN-Servers
Sie können einen virtuellen DTLS-VPN-Server für eine Citrix ADC Appliance mit derselben IP-Adresse und Portnummer eines konfigurierten virtuellen SSL-VPN-Servers konfigurieren. Durch die Konfiguration virtueller DTLS-VPN-Server können Sie erweiterte DTLS-Verschlüsselungen und Zertifikate für eine verbesserte Sicherheit an den DTLS-Datenverkehr binden. Darüber hinaus wird das DTLS 1.2-Protokoll zusätzlich zu dem früheren unterstützten DTLS 1.0-Protokoll unterstützt.
Hinweis: Standardmäßig ist die DTLS-Funktionalität für den vorhandenen virtuellen SSL-VPN-Server auf ON gesetzt. Sie müssen die Funktionalität für den Server deaktivieren, bevor Sie den virtuellen DTLS-VPN-Server erstellen.
Punkte zu beachten
-
Bevor Sie einen virtuellen DTLS-VPN-Server auf einer Citrix ADC Appliance konfigurieren, müssen Sie einen virtuellen SSL-VPN-Server auf der Appliance konfiguriert haben.
-
Der virtuelle DTLS-VPN-Server verwendet die IP-Adresse und die Portnummer des konfigurierten virtuellen SSL-VPN-Servers.
-
Standardmäßig ist die DTLS-Funktionalität für den vorhandenen virtuellen SSL-VPN-Server auf ON festgelegt. Sie müssen die Funktionalität für den Server deaktivieren, bevor Sie den virtuellen DTLS-VPN-Server erstellen.
-
SSL-Richtlinien und SSL-Profil werden auf einem virtuellen DTLS-VPN-Server nicht unterstützt. Außerdem wird die Bindung der VPN-Serverrichtlinie nicht unterstützt.
- Die folgenden Funktionen werden für den virtuellen DTLS-VPN-Server nicht unterstützt:
- Unified Gateway mit virtuellem CS-Server
- UDP MUX
- UDP-Audio
- PCOIP
- Der folgende Befehl, der für die Statistiken für den virtuellen DTLS-VPN-Server freigegeben wird, wird nicht unterstützt.
stat vpn vserver
Konfigurieren des virtuellen DTLS-VPN-Servers
So konfigurieren Sie einen virtuellen DTLS-VPN-Server mit der Citrix ADC GUI
- Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
- Wählen Sie auf der Seite Virtuelle Citrix Gateway -Server den vorhandenen virtuellen SSL-VPN-Server aus, und klicken Sie auf Bearbeiten.
-
Klicken Sie auf der Seite VPN Virtual Server auf das Symbol Bearbeiten, deaktivieren Sie das Kontrollkästchen DTLS, und klicken Sie auf OK.
-
Klicken Sie auf das Zurück-Pfeilsymbol auf dem virtuellen VPN-Server, um zur Seite Citrix Gateway Virtuelle Server zu navigieren, und klicken Sie auf Hinzufügen.
-
Geben Sie unter Grundeinstellungendie Werte für die folgenden Felder ein:
Name - Ein Name für den virtuellen DTLS-VPN-Server; Protokoll - Wählen Sie DTLS aus dem Dropdownmenü aus; IP-Adresse — Geben Sie die SSL VPN v-Server-IP-Adresse ein; Port — Geben Sie die SSL VPN-V-Server-Portnummer ein. Klicken Sie auf OK.
-
Klicken Sie auf der Seite Virtuelle VPN-Server unter Zertifikate auf den Pfeil, um den erforderlichen Zertifikatschlüssel auszuwählen. Sie können einen vorhandenen SSL-Zertifikatschlüssel verwenden oder einen neuen erstellen. Klicken Sie auf das Optionsfeld neben dem gewünschten Zertifikatschlüssel, und klicken Sie auf Auswählen.
-
Klicken Sie auf der Seite Serverzertifikatbindung auf Binden.
-
Um DTLS 1.2 zu verwenden, aktivieren Sie dasselbe. Klicken Sie auf der Seite Virtuelle VPN-Server unter SSL-Parameter auf Symbol bearbeiten. Aktivieren Sie das Kontrollkästchen DTLS 1.2, und klicken Sie auf OK.
Die Konfiguration des virtuellen DTLS-VPN-Servers ist nun abgeschlossen.
Um einen virtuellen DTLS-VPN-Server über die Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehlsgruppen ein:
set vpn vserver <ssl vpnvserver name> -dtls off
add vpn vserver <dtls vpnvserver name> dtls <ssl vpn vserver IP> <ssl vpn vserver port>
bind ssl vservser <dtls vpnvserver name> -certkeyName <existing ssl cert key or newly created cert key>
DTLS 1.0 funktioniert wie gewohnt, um DTLS 1.2 zu verwenden, geben Sie den folgenden Befehl ein:
set ssl vserver < dtls vpnvserver name > -dtls12 ENABLED
Beispiel
set vpn vserver vpnvserver -dtls off
add vpn vserver vpnvserver_dtls dtls 10.108.45.220 443
bind ssl vservser vpnvserver_dtls -certkeyName sslcertkey
set ssl vserver vpnvserver_dtls -dtls12 ENABLED
Die Liste der unterstützten virtuellen DTLS-VPN-Serverparameter lauten wie folgt:
- Ipaddress
- Port
- Status
- Doppel-Hop
- downstateflush
- Kommentar
- Appflowlog
- Icmpvsrresponse
So konfigurieren Sie den virtuellen DTLS-Server mit dem XA/XD-Assistenten
-
Wählen Sie im XA/XD-Setupassistenten StoreFront aus, und klicken Sie auf Weiter.
-
Aktivieren Sie auf der Seite Citrix Gateway Einstellungen das Kontrollkästchen DTLS-Listener für diesen VPN-vServer konfigurieren, und klicken Sie auf Weiter.
-
Beachten Sie, dass der DTLS-Listener jetzt konfiguriert ist. Klicken Sie auf Datei auswählen, um das Serverzertifikat auszuwählen, und klicken Sie auf Weiter.
-
Geben Sie die Zertifikatdatei und den Namen der Schlüsseldatei an, und klicken Sie auf Weiter.
-
Geben Sie im Abschnitt StoreFront die Werte für die erforderlichen Parameter ein, wie unten dargestellt, und klicken Sie auf Weiter.
-
Geben Sie die Werte für die erforderlichen Parameter ein, wie unten dargestellt, und klicken Sie auf Verbindung testen.
-
Stellen Sie sicher, dass der Server erreichbar ist, geben Sie Timeout-Wert und Serveranmeldenamen-Attribut an, und klicken Sie auf Continue.
-
Klicken Sie abschließend auf Fertig, um die Konfiguration abzuschließen.
