Integration in Citrix Gateway und Citrix ADC

Durch Verwenden von Citrix Gateway mit StoreFront können Sie Benutzern außerhalb des Unternehmensnetzwerks einen sicheren Remotezugriff ermöglichen, während Citrix ADC für den Lastausgleich eingesetzt werden kann.

Planen des Einsatzes von Gateway- und Serverzertifikaten

Die Integration von Citrix Gateway und Citrix ADC in StoreFront erfordert einen Plan für den Einsatz von Gateways und Serverzertifikaten. Überlegen Sie, welche Citrix Komponenten Serverzertifikate in der Bereitstellung benötigen:

  • Planen Sie die Beschaffung von Zertifikaten für internetseitige Server und Gateways von externen Zertifizierungsstellen. Clientgeräte vertrauen von einer internen Zertifizierungsstelle signierten Zertifikaten möglicherweise nicht automatisch.
  • Planen Sie die Namen externer und interner Server. Viele Organisationen führen getrennte Namespaces für die interne und die externe Verwendung (z. B. “example.com” für extern und “example.net” für intern). Ein einzelnes Zertifikat kann bei Verwendung der SAN-Erweiterung (Subject Alternative Name) Namen beider Art enthalten. Hiervon wird in der Regel abgeraten. Eine öffentliche Zertifizierungsstelle stellt nur dann ein Zertifikat aus, wenn die Top-Level-Domäne (TLD) bei IANA registriert ist. In diesem Fall können einige häufig verwendete interne Namen (z. B. “example.local”) nicht verwendet werden und es sind separate Zertifikate für externe und interne Namen erforderlich.
  • Verwenden Sie nach Möglichkeit separate Zertifikate für externe und interne Server. Ein Gateway kann mehrere Zertifikate durch Binden eines eigenen Zertifikats an jede Schnittstelle unterstützen.
  • Verwenden Sie nicht dasselbe Zertifikat für internetseitige und nicht internetseitige Server. Solche Zertifikate unterscheiden sich in der Regel bezüglich Gültigkeitsdauer und Sperrrichtlinien von den Zertifikaten, die Ihre internen Zertifizierungsstellen ausstellen.
  • Verwenden Sie das gleiche Platzhalterzertifikat nur für äquivalente Dienste. Verwenden Sie nicht dasselbe Zertifikat für verschiedene Servertypen (z. B. StoreFront-Server und andere Servertypen). Verwenden Sie nicht dasselbe Zertifikat für Server, die verschiedenen Verwaltungsfunktionen unterstehen oder unterschiedliche Sicherheitsrichtlinien haben. Beispiele für Server mit äquivalenten Diensten:
    • StoreFront-Servergruppe und der für deren Lastenausgleich verwendete Server
    • Gruppe internetseitiger Gateways im GSLB
    • Gruppe von Citrix Virtual Apps and Desktops-Controller, die äquivalente Ressourcen bereitstellen
  • Planen Sie eine durch Hardware geschützte Speicherung privater Schlüssel. Bei Gateways und Servern, einschließlich einigen Citrix ADC-Modellen, ist die sichere Speicherung privater Schlüssel in einem Hardwaresicherheitsmodul (HSM) oder Trusted Platform Module (TPM) möglich. Aus Sicherheitsgründen sind diese Konfigurationen in der Regel nicht für die gemeinsame Nutzung von Zertifikaten und ihren privaten Schlüssel vorgesehen (siehe Dokumentation der einzelnen Komponenten). Wenn Sie GSLB mit Citrix Gateway implementieren, erfordert eventuell jedes Gateway in GSLB ein identisches Zertifikat, das alle verwendeten FQDNs enthält.

Weitere Informationen zum Schützen der Citrix Bereitstellung finden Sie in dem Whitepaper Ende-zu-Ende-Verschlüsselung mit Citrix Virtual Apps and Desktops und dem Citrix Virtual Apps and Desktops-Abschnitt Sicherheit.

Konfigurieren der StoreFront-Anmeldung, wenn die Authentifizierung auf Citrix Gateway-VIP deaktiviert ist

Melden Sie sich bei StoreFront an, wenn die Authentifizierung auf Citrix Gateway-VIP deaktiviert ist. Dieses Verfahren funktioniert in zwei Szenarios: Interne Netzwerke. App-Start von Remotestandorten schlägt fehl, da STAs nicht verwendet werden können, wenn die Authentifizierung für Citrix Gateway deaktiviert ist während der X-Citrix-Gateway-Header an StoreFront übergeben wird. Citrix Receiver für Web. Receiver-Clients authentifizieren sich nicht, wenn die Authentifizierung am Citrix Gateway-VIP nicht aktiviert ist.

Änderungen auf dem StoreFront-Server

  1. Deaktivieren Sie das Feld Tokenkonsistenz erforderlich:
    • StoreFront 3.0
      1. Bearbeiten Sie die Datei web.config für die Storewebsite. Beispielsweise ist für den StoreFront-Storenamen NoAuth der Pfad für die Datei web.config auf dem StoreFront-Server inetpub\wwwroot\Citrix\NoAuth.
    1. Suchen Sie die folgende Zeile in der Datei web.config und ändern Sie den Wert von “True” in “False”. Vorher <resourcesGateways requireTokenConsistency="true"> nacher <resourcesGateways requireTokenConsistency="false">

      Hinweis:

      In StoreFront 3.x ist Tokenkonsistenz erforderlich ein Kontrollkästchen in der GUI. Weitere Informationen finden Sie unter Erweiterte Storeeinstellungen.

    2. Speichern Sie die Datei web.config und starten Sie den IIS-Dienst neu.

  2. Öffnen Sie die Citrix StoreFront-Verwaltungskonsole.

  3. Klicken Sie auf Receiver für Web-Sites verwalten.

  4. Wählen Sie die Citrix Receiver für Web-Site aus, klicken Sie auf Konfigurieren und wählen Sie dann Authentifizierungsmethoden.

  5. Stellen Sie sicher, dass die Option Passthrough-Authentifizierung von Citrix Gateway deaktiviert ist.

Hinweis:

Es wird angenommen, dass Citrix Gateway und “Remotezugriff aktivieren” auf dem StoreFront-Server eingerichtet wurden.

Änderungen auf dem Citrix Gateway

  1. Öffnen Sie dem virtuellen Citrix Gateway-Server.

  2. Klicken Sie auf die Registerkarte Authentifizierung, und stellen Sie sicher, dass das Kontrollkästchen Authentifizierung aktivieren deaktiviert ist.

  3. Binden Sie die entsprechende Sitzungsrichtlinie an den virtuellen Citrix Gateway-Server.

  4. Testen Sie die Verbindung.