Citrix SD-WAN WANOP

Office 365-Beschleunigung

Citrix SD-WAN WANOP optimiert WAN, um eine konsistente Benutzererfahrung für Geschäftsanwendungen in Zweigstellen und Remote-Standorten zu bieten.

Microsoft Office 365 ist eine SaaS-Anwendung (Software-as-a-Service), die die Office-Suite von Microsoft für Unternehmensanwendungen bereitstellt. Diese Anwendung wird in der Cloud gehostet und wird bei Bedarf an Benutzer bereitgestellt.

Mit der Office 365-Beschleunigungsfunktion können die Zweigstellen die Optimierungsvorteile nutzen, die Citrix SD-WAN WANOP für Microsoft Office 365-Anwendungen bietet.

Anwendungsfall

Wenn das WAN-Segment deutlich langsamer ist als das Internet-Segment, und Microsoft Office 365-Server sind näher an der größeren Niederlassung als die Zweigstelle.

Topologie

Der Zweigstelle Office 365-Datenverkehr wird über das WAN an die Hauptniederlassung gesendet und dann über das Internet an Office 365-Server weitergeleitet. Das Segment zwischen Zweigstelle und Zentrale wird beschleunigt.

Hinweis

Das Segment zwischen dem Hauptbüro und den Microsoft Office 365-Servern wird nicht beschleunigt. Es wird empfohlen, dass das Hauptbüro eine Verbindung zum nächstgelegenen Office 365-Server herstellt.

lokalisiertes Bild

Wie funktioniert das?

Citrix SD-WAN WANOP SSL-Beschleunigung kann Office 365-Datenverkehr entschlüsseln und beschleunigen und komprimieren. Kurz gesagt, Office 365-Zweigstellenbeschleunigung kann als Sonderfall der RPC-über-HTTPS-Beschleunigung betrachtet werden.

Prozedur

  1. Erstellen Sie ein sicheres Peering zwischen den Citrix SD-WAN WANOP-Appliances der Zweigstelle und der Hauptverwaltung.

  2. Generieren Sie Proxyzertifikaten/privaten Schlüssel in der Zertifizierungsstelle (Domain Certification Authority, CA).

  3. Fügen Sie alle erforderlichen Zertifizierungsstellen in Citrix SD-WAN WANOP hinzu.

    1. Zertifizierungsstelle, Zwischenzertifizierungsstellen, Stammzertifizierungsstelle der Microsoft-Zertifikate.

    2. Proxy-Zertifikate/Private Schlüssel, die für Office 365-URLs generiert werden.

      Hinweis

      Um Sicherheitswarnungen in Ihren Browsern zu vermeiden, müssen die Proxyzertifikate vom Zertifizierungsstellenserver Ihrer Windows-Domäne signiert werden. Dies macht es für jeden Domänenbenutzer akzeptabel.

  4. Erstellen Sie ein SSL-geteiltes Proxy-Profil und binden Sie den geteilten Proxy an die Service-Klasse (Web (internetsicher)).

  5. Starten Sie die Office 365-Verbindung und überprüfen Sie die beschleunigten Verbindungen.

    Warnung

    Zweigstellengeräte, die nicht Teil der Domäne sind, zeigen Sicherheitswarnungen an, es sei denn, Sie installieren die Zertifikate manuell. Firefox-Benutzer müssen die Zertifikate auch manuell installieren, da Firefox den Zertifikatspeicher des Geräts nicht berücksichtigt.

Konfigurieren der Office 365-Beschleunigung

So konfigurieren Sie die Office 365-Beschleunigung:

  1. Richten Sie eine sichere Peering-Beziehung zwischen den beiden Citrix SD-WAN WANOP-Appliances ein, wie in Secure Peeringbeschrieben

  2. Erstellen Sie ein neues Zertifikat.

    Hinweis

    Die serverseitige Citrix SD-WAN WANOP-Appliance dient als Vermittler zwischen Office 365 und den Clients. Daher werden diese Zertifikate vom serverseitigen Domänencontroller signiert, verweist jedoch auf die Office 356-Domänen.

    1. Melden Sie sich beim Zertifizierungsstellenserver für Ihre Windows-Domäne an.

    2. Fügen Sie bei Bedarf die Snap-Ins für Zertifizierungsstelle, Zertifikatvorlage und Zertifikate hinzu.

    3. Navigieren Sie zu Zertifikatvorlagen > Webserver-Eigenschaften > Sicherheit, und wählen Sie alle Optionen aus.

    4. Navigieren Sie zu Zertifikate > Persönlich > Zertifikate (Computer) > Alle Aufgaben > Neues Zertifikat anfordern.

      lokalisiertes Bild

    5. Klicken Sie im Fenster „Zertifikatsregistrierung“auf Weiter.

    6. Wählen Sie im Fenster „Registrierungsrichtlinie für Zertifikatregistrierung auswählen“ die Option Active Directory-Registrierungsrichtlinieaus.

    7. Wählen Sie im Fenster Active Directory Registrierungsrichtlinie die Option Webserver > Details > Eigenschaften.

      lokalisiertes Bild

  3. Kopieren Sie Informationen aus Office365-Zertifikaten in Ihre neuen Zertifikate. Sie erhalten ein einzelnes Zertifikat aus drei Office365-Zertifikaten. Gehen Sie wie folgt vor:

    1. Geben Sie in einem Browser wie Chrome die URL ein: https://login.microsoftonline.com.

      Hinweis

      Melden Sie sich nicht an.

    2. Klicken Sie auf das Vorhängeschloss-Symbol in der URL-Leiste und wählen Sie Verbindung > Zertifikatinformationen > Details.

      Hinweis

      Diese Anweisungen gelten für den Chrome-Browser; das Verfahren ist auch für andere Browser identisch.

    3. Klicken Sie auf Subject Alternative Name. Dadurch wird eine Liste von DNS-Namen wie login.microsoftonline.com angezeigt. Kopieren Sie die Informationen in das Textfeld darunter.

      lokalisiertes Bild

    4. Kehren Sie zum Fenster Zertifikateigenschaften Ihres neuen Zertifikats zurück. Fügen Sie die alternativen Namen im Feld Wert mit Typ als DNS hinzu, damit sie mit jedem alternativen Namen im Microsoft-Zertifikat übereinstimmen.

      lokalisiertes Bild

    5. Wiederholen Sie den Vorgang zum Erkennen alternativer Antragstellernamen und fügen Sie sie Ihrem Zertifikat für, https://outlook.office365.com, https://portal.office.com, https://office.live.com und https://sharepoint.com hinzu (die SharePoint-URL ist kundenspezifisch).

    6. Erstellen Sie einen allgemeinen Namen für Ihr neues Zertifikat. Das obige Beispiel zeigt einen allgemeinen Namen als Office365-Proxy.

      lokalisiertes Bild

    7. Wählen Sie auf der Registerkarte Privater Schlüsseldie Option Privaten Schlüssel exportieren .

    8. Klicken Sie auf OK, Registrieren und Fertig stellen.

  4. Exportieren Sie das Zertifikat.

    1. Wählen Sie unter Zertifikate > Persönlich > Zertifikate das oben erstellte Proxy-Zertifikat aus, und wählen Sie dann Alle Aufgaben > Exportieren aus.

      lokalisiertes Bild

    2. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

    3. Wählen Sie unter Private Key exportierendie Option Ja, den privaten Schlüssel exportierenund klicken Sie auf Weiter.

      lokalisiertes Bild

    4. Behalten Sie die Standardwerte für das Exportdateiformat bei.

    5. Geben Sie das Kennwort ein und bestätigen Sie es, exportieren Sie den privaten Schlüssel, und speichern Sie das Zertifikat als loginportal.pfx.

  5. Exportieren Sie Ihre Zertifikate.

    1. Klicken Sie im Zertifikatexport-Assistentenauf Weiter. Wählen Sie unter Private Key exportierendie Option Nein, den privaten Schlüssel nicht exportieren. Klicken Sie auf Weiter.

      lokalisiertes Bild

    2. Behalten Sie die Standardwerte für das Exportdateiformat bei.

    3. Geben Sie das Kennwort ein und bestätigen Sie es, und exportieren Sie den privaten Schlüssel und das Zertifikat. Speichern Sie die Datei in eine Datei unter einem Dateinamen wie office365_keys.pfx.

  6. Laden Sie die öffentlichen Schlüssel der Stammzertifizierungsstelle und Zwischenzertifizierungsstellen der Microsoft-Zertifikate herunter.

    1. Navigieren Sie im Browser zu https://login.microsoftonline.com. Klicken Sie im Browser auf das Vorhängeschloss-Symbol. Navigieren Sie zu Verbindung > Zertifikatinformationen > Zertifizierungspfad.

    2. Wählen Sie das Stammzertifikat (das oben in der Liste) aus, und klicken Sie dann auf Zertifikat anzeigen > Details > In Datei kopieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.

      lokalisiertes Bild

    3. Geben Sie den Dateinamen ein und speichern Sie die Datei.

      Hinweis

      Alternativ können Sie Wireshark oder OpenSSL verwenden, um die Stamm- und Zwischenzertifizierungsstellennamen abrufen und die Zertifikate von der ‘AUTHENTIC’ Quelle abrufen (z. B. Windows SSL Store).

    4. Wiederholen Sie Schritt 6, um die Stamm- und Zwischenzertifizierungsstellen der folgenden Domänen zu speichern:

      1. login.microsoftonline.com

      2. portal.office.com

      3. outlook.office356.com

      4. *.sharepoint.com

      5. office.live.com

  7. Fügen Sie der serverseitigen Citrix SD-WAN WANOP-Appliance alle Office 365-Server-Zertifizierungsstellen, Proxy-Zertifikat/Schlüsselpaare und private Schlüssel hinzu. Die Zertifizierungsstellen werden über die Registerkarte Zertifizierungsstellenzertifikate auf der Seite Zertifikate und Schlüssel hinzugefügt. Zertifikate und Zertifikat/Schlüsselpaare werden auf der Registerkarte Zertifikat/Schlüsselpaare hinzugefügt.

    lokalisiertes Bild

    lokalisiertes Bild

  8. Erstellen Sie ein SSL-Teilproxy-Profil und binden Sie den geteilten Proxy an die Web-Service-Klasse (Internet-Secure).

    1. Navigieren Sie zu Konfiguration > Sichere Beschleunigung > SSL-Profil > Profil hinzufügen.

    2. Geben Sie den Profilnamen Ihrer Wahl ein. Wählen Sie Profil aktiviert, Alternative Namen des Antragstellers analysieren und Proxy teilen aus.

    3. Wählen Sie unter Serverseitige Proxykonfiguration > Verifizierungsspeicher die Option Alle konfigurierten Zertifizierungsstellenspeicher verwenden aus.

    4. Wählen Sie unter Clientseitige Proxy-Konfiguration > Zertifikat/Privatschlüssel das zuvor erstellte und exportierte Cert/Private Schlüsselpaar aus (das im Beispiel als loginportal.pfx gezeigt). Wählen Sie Zertifikatskette erstellen aus. Wählen Sie unter Zertifikatkettenspeicher die Zertifizierungsstelle aus, die dem Zertifikat/Schlüsselpaar zugeordnet ist.

      lokalisiertes Bild

  9. Binden Sie das erstellte SSL-Profil an die Dienstklasse Internet (Web-Secure). Navigieren Sie zu Konfigurieren > Optimierungsregeln > Service-Klassen, und fügen Sie das SSL-Profil zur SSL-Profilliste hinzu.

  10. Aktivieren Sie die Beschleunigung und die festplattenbasierte Komprimierung für die Internet-Serviceklasse (Web-Secure) .

  11. Starten Sie eine Office 365-Sitzung über Ihren Browser.

    Die Verbindung wird beschleunigt. Im Browser sollte das Zertifikat Ihre Stammzertifizierungsstelle, nicht das eigentliche Office 365-Zertifikat, als Zertifizierungsstellenzertifikat der serverseitigen Appliance anzeigen.

    lokalisiertes Bild

  12. Überprüfen Sie auf der Seite Appliance-Überwachung > Verbindungen, ob die Office 365-Verbindungen komprimiert sind und SSL-Beschleunigung erhalten.

    lokalisiertes Bild

    Hinweis

    Firefox akzeptiert die Zertifikate des Geräts standardmäßig nicht, verfügt aber über einen eigenen Zertifikatspeicher. Daher müssen Anmeldeinformationen, die im normalen Windows-Domänenverhalten von anderen Browsern und vom Gerät als Ganzes akzeptiert werden, manuell in Firefox installiert werden. Um Zertifikate in Firefox zu installieren, befolgen Sie das Verfahren im Abschnitt Installieren von Zertifikaten in Firefox.

Installieren Sie die Zertifikate in Firefox

So installieren Sie das Proxyzertifikat der serverseitigen Appliance im Firefox-Zertifikatspeicher:

  1. Navigieren Sie im Firefox-Browser zu Optionen > Erweitert > Zertifikat > Zertifikate anzeigen > Autoritäten > Importieren.

  2. Laden Sie das lokale Zertifizierungsstellen-Proxyzertifikat hoch, wählen Sie alle Optionen im Assistenten zum Herunterladen von Zertifikaten aus, und klicken Sie auf OK.

    lokalisiertes Bild

Office 365-Beschleunigung