Citrix Gateway 13.0

Herstellen einer sicheren Verbindung zur Serverfarm

Das folgende Beispiel zeigt, wie Citrix Gateway in der DMZ mit dem Webinterface arbeitet, um einen sicheren, zentralen Zugriffspunkt für veröffentlichte Ressourcen bereitzustellen, die in einem sicheren Unternehmensnetzwerk verfügbar sind.

In diesem Beispiel sind alle folgenden Bedingungen vorhanden:

  • Benutzergeräte aus dem Internet stellen mithilfe der Citrix Workspace-App eine Verbindung mit Citrix Gateway her.
  • Das Webinterface befindet sich hinter Citrix Gateway im sicheren Netzwerk. Das Benutzergerät stellt die anfängliche Verbindung zu Citrix Gateway her, und die Verbindung wird an das Webinterface übergeben.
  • Das sichere Netzwerk enthält eine Serverfarm. Auf einem Server in dieser Serverfarm werden die Secure Ticket Authority (STA) und der Citrix XML-Dienst ausgeführt. Der STA und der XML-Dienst können in Citrix Virtual Apps and Desktops ausgeführt werden.

Prozessübersicht: Benutzerzugriff auf veröffentlichte Ressourcen in der Serverfarm

  1. Ein Remotebenutzer gibt die Adresse von Citrix Gateway ein https://www.ag.wxyco.com, z. B. im Adressfeld eines Webbrowsers. Das Benutzergerät versucht diese SSL-Verbindung an Port 443, der über die Firewall geöffnet sein muss, damit die Verbindung erfolgreich hergestellt werden kann.
  2. Citrix Gateway empfängt die Verbindungsanforderung, und Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben. Die Anmeldeinformationen werden über Citrix Gateway zurückgeleitet, Benutzer werden authentifiziert und die Verbindung wird an das Webinterface übergeben.
  3. Das Webinterface sendet die Benutzeranmeldeinformationen an den Citrix XML-Dienst, der in der Serverfarm ausgeführt wird.
  4. Der XML-Dienst authentifiziert die Benutzeranmeldeinformationen und sendet dem Webinterface eine Liste der veröffentlichten Anwendungen oder Desktops, auf die der Benutzer zugreifen darf.
  5. Das Webinterface füllt eine Webseite mit der Liste der veröffentlichten Ressourcen (Anwendungen oder Desktops) auf, auf die der Benutzer zugreifen darf, und sendet diese Webseite an das Benutzergerät.
  6. Der Benutzer klickt auf eine veröffentlichte Anwendung oder einen Desktop-Link. Eine HTTP-Anforderung wird an das Webinterface gesendet, die die veröffentlichte Ressource angibt, auf die der Benutzer geklickt hat.
  7. Das Webinterface interagiert mit dem XML-Dienst und erhält ein Ticket, das den Server angibt, auf dem die veröffentlichte Ressource ausgeführt wird.
  8. Das Webinterface sendet eine Sitzungsticket-Anfrage an die STA. Diese Anforderung gibt die IP-Adresse des Servers an, auf dem die veröffentlichte Ressource ausgeführt wird. Die STA speichert diese IP-Adresse und sendet das angeforderte Sitzungsticket an das Webinterface.
  9. Das Webinterface generiert eine ICA-Datei, die das Ticket enthält, das von der STA ausgestellt wurde, und sendet es an den Webbrowser auf dem Benutzergerät. Die vom Webinterface generierte ICA-Datei enthält den vollqualifizierten Domänennamen (FQDN) oder den DNS-Namen (Domain Name System) von Citrix Gateway. Beachten Sie, dass die IP-Adresse des Servers, auf dem die angeforderte Ressource ausgeführt wird, Benutzern nie offenbart wird.
  10. Die ICA-Datei enthält Daten, die den Webbrowser anweisen, die Citrix Workspace-App zu starten. Das Benutzergerät stellt mithilfe des Citrix Gateway-FQDN oder DNS-Namens in der ICA-Datei eine Verbindung mit Citrix Gateway her. Das anfängliche SSL/TLS -Handshaking erfolgt zum Festlegen der Identität von Citrix Gateway.
  11. Das Benutzergerät sendet das Sitzungsticket an Citrix Gateway, und Citrix Gateway kontaktiert die STA zur Ticketüberprüfung.
  12. Der STA gibt die IP-Adresse des Servers, auf dem sich die angeforderte Anwendung befindet, an Citrix Gateway zurück.
  13. Citrix Gateway stellt eine TCP-Verbindung zum Server her.
  14. Citrix Gateway schließt den Verbindungshandshake mit dem Benutzergerät ab und gibt dem Benutzergerät an, dass die Verbindung mit dem Server hergestellt wird. Der gesamte weitere Datenverkehr zwischen dem Benutzergerät und dem Server wird über Citrix Gateway weitergeleitet. Der Datenverkehr zwischen dem Benutzergerät und Citrix Gateway ist verschlüsselt. Der Datenverkehr zwischen Citrix Gateway und Server kann unabhängig verschlüsselt werden, wird jedoch standardmäßig nicht verschlüsselt.
Herstellen einer sicheren Verbindung zur Serverfarm