Erstellen eines einzelnen vollqualifizierten Domänennamens (FQDN) für den internen und externen Zugriff auf einen Store

Sie können Zugriff auf Ressourcen aus dem Unternehmensnetzwerk und aus dem Internet durch ein Citrix Gateway ermöglichen und die Benutzererfahrung durch Erstellen eines einzelnen FQDN für interne und externen Roamingclients vereinfachen.

Ein einzelner FQDN ist nützlich für Benutzer, die eine systemeigene Receiver-Version verwenden. Sie müssen sich nur eine URL merken, unabhängig davon, ob sie mit einem internen oder öffentlichen Netzwerk verbunden sind.

Hinweis:

Der direkte Zugriff auf private Netzwerkendpunkte von öffentlichen Websites ist als Teil der Private Network Access (PNA)-Spezifikation veraltet. Daher können Fehler auftreten, wenn Sie von einem externen Netzwerk zu einem internen Netzwerk wechseln, während Sie einen einzelnen FQDN verwenden. Diese Fehler treten bei der neuesten Version von Chrome und Microsoft Edge Version 98 und höher auf.

Als temporäres Workaround empfehlen wir, die folgenden HTTP-Response-Header in IIS auf dem StoreFront-Server hinzuzufügen:

• Access-Control-Allow-Headers: *
• Access-Control-Allow-Origin: FQDN site URL
• Access-Control-Allow-Private-Network: true

Vorsicht: Besprechen Sie die Header mit Ihrem Administrator, bevor Sie sie auf dem StoreFront-Server einrichten.

StoreFront-Beacons für die Citrix Workspace-App

Die Citrix Workspace-App versucht eine Kontaktaufnahme mit den Beacons und ermittelt anhand der Antworten, ob Benutzer mit lokalen oder öffentlichen Netzwerken verbunden sind. Wenn ein Benutzer auf einen Desktop oder eine Anwendung zugreift, werden die Standortinformationen an den Server mit der Ressource weitergegeben, sodass die entsprechenden Verbindungsinformationen an die Citrix Workspace-App zurückgegeben werden können. Dadurch wird sichergestellt, dass die Benutzer nicht aufgefordert werden, sich neu anzumelden, wenn sie auf einen Desktop oder eine Anwendung zugreifen. Weitere Informationen zur Konfiguration von Beacons finden Sie unter Konfigurieren von Beacons.

Hinweise:

• In diesem Artikel gelten die Erläuterungen zur Citrix Workspace-App, sofern nicht anders angegeben, auch für die unterstützten Versionen von Citrix Receiver.
• Die Citrix Workspace-App für Linux unterstützt keine Szenarios mit Einzel-FQDN, da sie keinen internen Beaconpunkt zu einem separaten Clientstandort erkennen kann. Weitere Informationen finden Sie unter CTX223989.

Konfigurieren des virtuellen Citrix Gateway-Servers und SSL-Zertifikats

Der gemeinsame FQDN wird entweder in die IP des Routers für die externe Firewall aufgelöst oder in die IP eines virtuellen Citrix Gateway-Servers in der DMZ, wenn Clients versuchen, auf Ressourcen von außerhalb des Unternehmensnetzwerks zuzugreifen. Stellen Sie sicher, dass die Felder Common Name und Subject Alternative Name des SSL-Zertifikats den freigegebenen FQDN für den externen Zugriff auf den Store enthalten. Wenn Sie eine Stammzertifizierungsstelle von Drittanbietern wie Verisign anstelle einer Unternehmenszertifizierungsstelle zum Signieren des Gatewayzertifikats verwenden, vertraut jeder externe Client automatisch dem an den Gateway vServer gebundenen Zertifikat. Wenn Sie eine Stammzertifizierungsstelle eines Drittanbieters wie Verisign verwenden, müssen keine zusätzlichen Stammzertifizierungsstellenzertifikate auf externen Clients importiert werden.

Überlegen Sie beim Bereitstellen eines einzelnen Zertifikats mit dem Common Name des gemeinsamen FQDN für Citrix Gateway und den StoreFront-Server, ob Sie Remoteerkennung unterstützen möchten. Falls ja, muss das Zertifikat der Spezifikation für alternative Antragstellernamen entsprechen.

Beispielzertifikat eines virtuellen Citrix Gateway-Servers: storefront.example.com

1. Stellen Sie sicher, dass der gemeinsame FQDN, die Callback-URL und die Kontenalias-URL im DNS-Feld des Zertifikats als alternativer Antragstellername (Subject Alternative Name, SAN) enthalten ist.

2. Stellen Sie sicher, dass der private Schlüssel exportierbar ist, sodass Zertifikat und Schlüssel in Citrix Gateway importiert werden können.

3. Stellen Sie sicher, dass “Default Authorization” auf “Allow” festgelegt ist.

4. Unterzeichnen Sie das Zertifikat mit einer Drittanbieterzertifizierungsstelle, z. B. Verisign, oder einer Unternehmensstammzertifizierungsstelle für Ihre Organisation.

Beispiel-SANs für Servergruppen mit zwei Knoten

storefront.example.com (erforderlich)

storefrontcb.example.com (erforderlich)

accounts.example.com (erforderlich)

storefrontserver1.example.com (optional)

storefrontserver2.example.com (optional)

Signieren Sie das SSL-Zertifikat des virtuellen Citrix Gateway-Servers durch eine Zertifizierungsstelle

Je nach Anforderungen haben Sie für den Typ des von einer Zertifizierungsstelle signierten Zertifikats zwei Möglichkeiten zur Auswahl.

• 1. Von einer Drittanbieter-Zertifizierungsstelle signiertes Zertifikat: Wenn das an den virtuellen Citrix Gateway-Server gebundene Zertifikat von einem vertrauenswürdigen Drittanbieter signiert wurde, muss auf externen Clients wahrscheinlich KEIN Stammzertifizierungsstellenzertifikat in den Speicher vertrauenswürdiger Stammzertifizierungsstellen kopiert werden. Auf Windows-Clients sind die Zertifikate der gängigen Stammzertifizierungsstellen vorinstalliert. Beispiele kommerzieller Drittanbieter-Zertifizierungsstellen, die verwendet werden können, sind DigiCert, Thawte und Verisign. Auf mobile Geräte wie iPads, iPhones und Android-Tablets/-Telefone müssen Stammzertifizierungsstellenzertifikate jedoch möglicherweise kopiert werden, damit diese Geräte dem virtuellen Citrix Gateway-Server vertrauen.

• 2. Von einer Unternehmens-Stammzertifizierungsstelle signiertes Zertifikat: Wenn Sie diese Option wählen, muss das Zertifikat auf allen externen Clients in den Speicher vertrauenswürdiger Stammzertifizierungsstellen kopiert werden. Wenn Sie tragbare Geräte mit nativem Receiver wie z. B. iPhones und iPads verwenden, erstellen Sie auf diesen Geräten ein Sicherheitsprofil.

Importieren des Stammzertifikats auf mobilen Geräten

• iOS-Geräte können .CER x.509-Zertifikatsdateien über E-Mail-Anhänge importieren. Der Zugriff auf den lokalen Speicher von iOS-Geräten ist anders normalerweise nicht möglich.
• Android-Geräte benötigen dasselbe .CER x.509-Format. Das Zertifikat kann aus dem lokalen Speicher des Geräts oder als E-Mail-Anlage importiert werden.

Externes DNS: storefront.example.com

Stellen Sie sicher, dass die DNS-Auflösung Ihres Internetdienstanbieters in die externe IP des Firewallrouters am äußeren Rand der DMZ bzw. in die virtuelle IP-Adresse des virtuellen Citrix Gateway-Servers auflöst.

Split-View DNS

• Wenn Split-View DNS richtig konfiguriert ist, sendet die Quelladresse der DNS-Anfrage den Client zum richtigen DNS Alias-Datensatz.
• Wenn Clients zwischen öffentlichen Netzwerken und Unternehmensnetzwerken wechseln, sollte sich ihre IP ändern. Abhängig von dem Netzwerk, mit dem sie verbunden sind, sollten sie bei der Anfrage bei storefront.example.com den richtigen Alias-Datensatz erhalten.

Importieren von Zertifikaten von einer Windows-Zertifizierungsstelle in Citrix Gateway

WinSCP ist ein nützliches und kostenloses Drittanbietertool zum Verschieben von Dateien von einer Windows-Maschine in ein Citrix Gateway-Dateisystem. Kopieren Sie Zertifikate für den Import in den Ordner /nsconfig/ssl/ im Citrix Gateway-Dateisystem. Sie können OpenSSL-Tools auf dem Citrix Gateway-Gerät verwenden, um das Zertifikat und den Schlüssel aus einer PKCS12/PFX-Datei zu extrahieren, um zwei separate CER- und KEY X.509-Dateien im PEM-Format zu erstellen, die Citrix Gateway verwenden kann.

1. Kopieren Sie die PFX-Datei in den Ordner /nsconfig/ssl auf dem Citrix Gateway-Gerät in VPX.
2. Öffnen Sie die Citrix Gateway-Befehlszeilenschnittstelle.
3. Zum Wechseln in die FreeBSD-Shell geben Sie Shell ein, um die Citrix Gateway-Befehlszeilenschnittstelle zu verlassen.
4. Verwenden Sie cd /nsconfig/ssl, um das Verzeichnis zu wechseln.
5. Führen Sie openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cer aus und geben Sie auf Aufforderung das PFX-Kennwort ein.
6. Führen Sie openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key aus.
7. Geben Sie bei Aufforderung das PFX-Kennwort ein und legen Sie eine PEM- Passphrase für den privaten Schlüssel zum Schutz der KEY-Datei fest.
8. Um sicherzustellen, dass die CER- und die KEY-Datei erfolgreich erstellt wurden, führen Sie in /nsconfig/ssl/ den Befehl ls ls –al aus.
9. Geben Sie Exit ein, um zur Citrix Gateway-Befehlszeilenschnittstelle zurückzukehren.

Citrix Gateway-Sitzungsrichtlinie für Citrix Receiver für Windows oder Citrix Receiver für Mac

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS

Sitzungsrichtlinie für Receiver für Web

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS

CVPN- und SmartAccess-Einstellungen

Wenn Sie SmartAccess verwenden, aktivieren Sie den SmartAccess-Modus auf der Eigenschaftenseite des virtuellen Citrix Gateway-Servers. Für jeden gleichzeitigen Benutzer, der auf Remoteressourcen zugreift, ist eine universelle Lizenz erforderlich.

Receiver-Profil

Konfigurieren Sie die Kontodienst-URL für das Sitzungsprofil so, dass sie https://accounts.example.com/Citrix/Roaming/Accounts lautet und NICHT https://storefront.example.com/Citrix/Roaming/Accounts.

Fügen Sie diese URL zusätzlich auch für <allowedAudiences> in den web.config-Dateien für Authentifizierung und Roaming auf dem StoreFront-Server hinzu. Weitere Informationen finden Sie unten im Abschnitt “Konfigurieren der Host-Basis-URL des StoreFront-Servers, des Gateways und des SSL-Zertifikats”.

Receiver für Web-Profil

ICA-Proxy-Einstellung und Moduseinstellung “Basic”

Wenn Sie den ICA-Proxy verwenden, aktivieren Sie den Modus “Basic” auf der Eigenschaftenseite des virtuellen Citrix Gateway-Servers. Es ist nur eine Citrix ADC-Plattformlizenz erforderlich.

Receiver-Profil

Receiver für Web-Profil

Konfigurieren der Hostbasis-URL des StoreFront-Servers, des Gateways und des SSL-Zertifikats

Wenn ein StoreFront-Cluster oder eine einzelne StoreFront-IP zum Hosten des Stores erstellt wurde, muss der gemeinsame FQDN, der in den virtuellen Citrix Gateway-Server aufgelöst wird, auch direkt in den StoreFront-Load Balancer aufgelöst werden.

Internes DNS: Erstellen Sie drei DNS Alias-Datensätze

• storefront.example.com muss in den StoreFront-Load Balancer bzw. die IP des einzelnen StoreFront-Servers aufgelöst werden.
• storefrontcb.example.com muss in die virtuelle IP-Adresse des virtuellen Gatewayservers aufgelöst werden. Treffen Sie daher entsprechende Vorkehrungen, wenn zwischen DMZ und lokalem Unternehmensnetzwerk eine Firewall sitzt.
• accounts.example.com – erstellen Sie ein DNS-Alias für storefront.example.com. Dieses wird außerdem in die IP des Load Balancers für das StoreFront-Cluster bzw. die IP eines einzelnen StoreFront-Servers aufgelöst.

Beispielzertifikat für den StoreFront-Server: storefront.example.com

1. Erstellen Sie ein geeignetes Zertifikat für den StoreFront-Server bzw. die StoreFront-Servergruppe, bevor Sie StoreFront installieren.

2. Tragen Sie den gemeinsamen FQDN in die Felder “Common Name” und “DNS” ein. Dieser muss mit dem FQDN in dem zuvor erstellten, an den virtuellen Citrix Gateway-Server gebundenen SSL-Zertifikat übereinstimmen oder verwenden Sie das gleiche an den virtuellen Citrix Gateway-Server gebundene Zertifikat.

3. Fügen Sie das Alias des Kontos (accounts.example.com) als weiteres SAN dem Zertifikat hinzu. Beachten Sie, dass das im SAN verwendete Kontenalias das Alias ist, das im Citrix Gateway-Sitzungsprofil in den früheren Anweisungen verwendet wird - Native Receiver-Gatewaysitzungsrichtlinie und -profil.

   

4. Stellen Sie sicher, dass der private Schlüssel exportierbar ist, damit das Zertifikat auf einen anderen Server oder auf StoreFront-Servergruppenknoten übertragen werden kann.

   

5. Unterzeichnen Sie das Zertifikat mit einer Drittanbieterzertifizierungsstelle, z. B. VeriSign, dem Unternehmensstammzertifizierungsstelle für Ihre Organisation oder einer Zwischenzertifizierungsstelle.

6. Exportieren Sie das Zertifikat im PFX-Format einschließlich des privaten Schlüssels.

7. Importieren Sie das Zertifikat und den privaten Schlüssel auf den StoreFront-Server. Wenn Sie ein Windows-NLB-StoreFront-Cluster bereitstellen, importieren Sie das Zertifikat auf jeden Knoten. Wenn Sie einen anderen Load Balancer verwenden, z. B. einen virtuellen Lastausgleichserver von Citrix ADC, importieren Sie das Zertifikat auf diesen.

8. Erstellen Sie auf dem StoreFront-Server eine HTTPS-Bindung in IIS und binden Sie das importierte SSL-Zertifikat an diese.

   

9. Konfigurieren Sie die Host-Basis-URL auf dem StoreFront-Server entsprechend dem bereits gewählten gemeinsamen FQDN.

   Hinweis:

   StoreFront wählt immer automatisch den letzten alternativen Antragstellernamen in der SAN-Liste in dem Zertifikat. Dies ist lediglich eine empfohlene Host-Basis-URL zur Unterstützung von StoreFront-Administratoren und i. d. R. korrekt. Sie können sie manuell auf einen beliebigen HTTPS://<FQDN> festlegen, vorausgesetzt, er ist im Zertifikat als SAN eingetragen. Beispiel: https://storefront.example.com.

Ändern der Basis-URL des Servers von HTTP in HTTPS

Die Host-Basis-URL kann in Citrix StoreFront für Bereitstellungen mit einem Einzelserver oder mit einer Servergruppe festgelegt werden. Die Option steht Kunden zur Verfügung, die Citrix StoreFront ohne Serverzertifikat installiert und konfiguriert haben. Stellen Sie nach der Zertifikatsinstallation sicher, dass StoreFront und die zugehörigen Dienste eine sichere Verbindung verwenden.

Hinweis:

Vor dem Ausführen des Verfahrens muss vom IT-Administrator ein Serverzertifikat auf dem Citrix StoreFront-Server erstellt und installiert werden. Darüber hinaus muss eine IIS-Bindung über HTTPS (443) erstellt werden, um jede neue Verbindung zu sichern.

Führen Sie die folgenden Schritte aus, um die Basis-URL in StoreFront 3.x zu ändern:

1. Klicken Sie in StoreFront im linken Bereich auf Servergruppe.
2. Klicken Sie im rechten Bereich auf Basis-URL ändern.

3. Geben Sie die Basis-URL ein und klicken Sie auf OK.

   

Konfigurieren Sie das Gateway auf dem StoreFront-Server: storefront.example.com

1. Klicken Sie im Knoten Stores im Bereich Aktionen auf Citrix Gateways verwalten.

2. Wählen Sie das Gateway aus der Liste aus und klicken Sie auf Weiter.

   

3. Geben Sie auf der Seite Allgemeine Einstellungen den gemeinsamen FQDN in das Feld Citrix Gateway-URL ein.

4. Wählen Sie die Registerkarte Authentifizierungseinstellungen und geben Sie den Callback-FQDN in das Feld Callback-URL ein.

   

5. Wählen Sie die Registerkarte Secure Ticket Authority und stellen Sie sicher, dass die Liste der Secure Ticket Authority-Server (STA-Server) der Liste der bereits im Knoten Store konfigurierten Delivery Controller entspricht.

6. Aktivieren Sie den Remotezugriff für den Store.

7. Legen Sie den internen Beacon manuell auf das Kontenalias (accounts.example.com) fest. Er darf nicht von außerhalb des Gateways auflösbar sein. Dieser FQDN muss sich von dem externen Beacon unterscheiden, der von der StoreFront-Host-Basis-URL und dem virtuellen Citrix Gateway-Server (storefront.example.com) gemeinsam verwendet wird. Verwenden Sie NICHT den gemeinsam verwendeten FQDN, da hierdurch der interne und der externe Beacon identisch werden.

   

Unterstützung der Discovery mit mehreren verschiedenen FQDNs

Führen Sie die folgenden Schritte aus, um der Citrix Workspace-App die Discovery eines Stores mit mehreren FQDNS zu ermöglichen. Wenn die Provisioningdateikonfiguration genügt oder Sie nur Receiver für Web verwenden, überspringen Sie die folgenden Schritte.

Fügen Sie in C:\inetpub\wwwroot\Citrix\Authentication\web.config einen zusätzlichen <allowedAudiences>-Eintrag ein. Es gibt zwei <allowedAudiences>-Einträge in dieser Datei. Nur der erste “Authentication Token Producer”-Eintrag in der Datei erfordert einen zusätzlichen <allowedAudience>-Eintrag.

1. Suchen Sie im Abschnitt <service id> die Zeichenfolge <allowedAudiences>. Fügen Sie eine Zeile für audience="https://accounts.example.com/" ein (siehe Abbildung). Speichern und schließen Sie die Datei web.config.

   <service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer">
   ...
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   <!--NeedCopy-->
   

2. Suchen Sie in C:\inetpub\wwwroot\Citrix\Roaming\web.config den Abschnitt “<tokenManager>” und fügen Sie eine Zeile für audience="https://accounts.example.com/" ein (siehe Abbildung). Speichern und schließen Sie die Datei web.config.

   <tokenManager>
   <services>
   <clear />
   ...
   </trustedIssuers>
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   </service>
   </services>
   </tokenManager>
   <!--NeedCopy-->
   

Alternativ können Sie die native Empfänger.CR-Bereitstellungsdatei für den Speicher exportieren. Dadurch wird die Erstverwendungs-Konfiguration der Citrix Workspace-App überflüssig. Verteilen Sie diese Datei an alle Windows- und MAC-Clients der Citrix Workspace-App.

Wenn die Citrix Workspace-App auf einem Client installiert wird, wird der CR-Dateityp erkannt und der Import der Provisioningdatei durch einen Doppelklick gestartet.