NetScaler Gateway

Die NetScaler Gateway-Konfiguration wird sowohl für Web-/SaaS- als auch für TCP/UDP-Anwendungen unterstützt. Sie können ein NetScaler Gateway erstellen oder eine vorhandene NetScaler Gateway-Konfiguration für Secure Private Access aktualisieren. Es wird empfohlen, dass Sie NetScaler-Snapshots erstellen oder die NetScaler-Konfiguration speichern, bevor Sie diese Änderungen anwenden.

Wichtig:

Einzelheiten zu NetScaler Gateway-Konfigurationen für Web-/SaaS- und TCP/UDP-Anwendungen finden Sie in den folgenden Abschnitten:

Kompatibilität mit den ICA-Apps

Zur Unterstützung des Secure Private Access-Plug-Ins erstelltes oder aktualisiertes NetScaler Gateway kann auch zum Aufzählen und Starten von ICA-Apps verwendet werden. In diesem Fall müssen Sie Secure Ticket Authority (STA) konfigurieren und an das NetScaler Gateway binden.

Hinweis:

Der STA-Server ist normalerweise Teil der Bereitstellung von Citrix Virtual Apps and Desktops.

Ausführliche Informationen finden Sie in den folgenden Themen:

Unterstützung für Smart Access-Tags

Hinweis:

  • Die in diesem Abschnitt bereitgestellten Informationen sind nur anwendbar, wenn Ihre NetScaler Gateway-Version vor 14.1-25.56 liegt.
  • Wenn Ihre NetScaler Gateway-Version 14.1–25.56 oder höher ist, können Sie das Secure Private Access-Plug-In auf NetScaler Gateway mithilfe der CLI oder GUI aktivieren. Weitere Einzelheiten finden Sie unter Secure Private Access-Plug-in auf NetScaler Gateway aktivieren.

In den folgenden Versionen sendet NetScaler Gateway die Tags automatisch. Sie müssen die Gateway-Rückrufadresse nicht verwenden, um die Smart Access-Tags abzurufen.

  • 13.1–48.47 und höher
  • 14.1–4.42 und höher

Smart-Access-Tags werden als Header in der Secure Private Access-Plugin-Anforderung hinzugefügt.

Verwenden Sie den Schalter ns_vpn_enable_spa_onprem oder ns_vpn_disable_spa_onprem , um diese Funktion in diesen NetScaler-Versionen zu aktivieren/deaktivieren.

  • Sie können mit dem Befehl (FreeBSD-Shell) umschalten:

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

  • Aktivieren Sie den SecureBrowse-Clientmodus für die HTTP-Callout-Konfiguration, indem Sie den folgenden Befehl ausführen (FreeBSD-Shell).

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

  • Aktivieren Sie die Umleitung auf die Seite „Zugriff eingeschränkt“, wenn der Zugriff verweigert wird.

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

  • Verwenden Sie die auf CDN gehostete Seite „Zugriff eingeschränkt“.

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  • Zum Deaktivieren führen Sie denselben Befehl erneut aus.

  • Um zu überprüfen, ob der Schalter ein- oder ausgeschaltet ist, führen Sie den Befehl nsconmsg aus.

  • Informationen zum Konfigurieren von Smart Access-Tags auf NetScaler Gateway finden Sie unter Kontextbezogene Tags konfigurieren.

Einstellungen des Secure Private Access-Plugins auf NetScaler beibehalten

Gehen Sie wie folgt vor, um die Einstellungen des Secure Workspace Access-Plugins auf NetScaler beizubehalten:

  1. Erstellen oder aktualisieren Sie die Datei /nsconfig/rc.netscaler.
  2. Fügen Sie der Datei die folgenden Befehle hinzu.

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  3. Speichern Sie die Datei.

Die Einstellungen des Secure Private Access-Plugins werden beim Neustart von NetScaler automatisch angewendet.

Aktivieren Sie das Secure Private Access-Plugin auf NetScaler Gateway

Ab NetScaler Gateway 14.1–25.56 und höher können Sie das Secure Private Access-Plug-In auf NetScaler Gateway mithilfe der NetScaler Gateway-CLI oder der GUI aktivieren. Diese Konfiguration ersetzt den Knopf nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem , der in Versionen vor 2407 verwendet wurde.

CLI:

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set vpn parameter -securePrivateAccess ENABLED

Benutzeroberfläche (GUI):

  1. Navigieren Sie zu NetScaler Gateway > Globale Einstellungen > Globale NetScaler Gateway-Einstellungen ändern.
  2. Klicken Sie auf die Registerkarte Sicherheit .
  3. Wählen Sie unter Sicherer privater Zugriffdie Option AKTIVIERT aus.

Aktivieren Sie den sicheren privaten Zugriff

Öffentliches Gateway-Zertifikat hochladen

Wenn das öffentliche Gateway vom Secure Private Access-Computer aus nicht erreichbar ist, müssen Sie ein öffentliches Gateway-Zertifikat in die Secure Private Access-Datenbank hochladen.

Führen Sie die folgenden Schritte aus, um ein öffentliches Gateway-Zertifikat hochzuladen:

  1. Öffnen Sie PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
  2. Ändern Sie das Verzeichnis in den Ordner Admin\AdminConfigTool im Installationsordner von Secure Private Access (z. B. cd “C:\Programme\Citrix\Citrix Access Security\Admin\AdminConfigTool”).
  3. Führen Sie den folgenden Befehl aus:

    \AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

Bekannte Einschränkungen

  • Vorhandene NetScaler Gateways können per Skript aktualisiert werden, es kann jedoch eine unendliche Zahl möglicher NetScaler-Konfigurationen geben, die nicht durch ein einzelnes Skript abgedeckt werden können.
  • Verwenden Sie keinen ICA-Proxy auf dem NetScaler Gateway. Diese Funktion ist deaktiviert, wenn NetScaler Gateway konfiguriert ist.
  • Wenn Sie in der Cloud bereitgestellten NetScaler verwenden, müssen Sie Änderungen im Netzwerk vornehmen. Erlauben Sie beispielsweise die Kommunikation zwischen NetScaler und anderen Komponenten auf bestimmten Ports.
  • Wenn Sie SSO auf NetScaler Gateway aktivieren, stellen Sie sicher, dass NetScaler über eine private IP-Adresse mit StoreFront kommuniziert. Möglicherweise müssen Sie NetScaler einen StoreFront-DNS-Eintrag mit einer privaten StoreFront-IP-Adresse hinzufügen.