Administración de certificados SSL en una implementación DMZ de doble salto

Debe instalar los certificados SSL necesarios para cifrar las conexiones entre componentes en una implementación DMZ de doble salto.

En una implementación DMZ de doble salto, se producen varios tipos diferentes de conexiones entre los distintos componentes involucrados en la implementación. No hay cifrado SSL de extremo a extremo de estas conexiones. Sin embargo, cada conexión se puede cifrar individualmente.

El cifrado de una conexión requiere que instale el certificado SSL adecuado (ya sea una raíz de confianza o un certificado de servidor) en los componentes involucrados en la conexión.

En la tabla siguiente se muestran las conexiones que se producen a través del primer firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de las conexiones a través del primer firewall es obligatorio para proteger el tráfico enviado a través de Internet.

Conexiones a través del primer firewall Certificados necesarios para el cifrado
El explorador web de Internet se conecta a Citrix Gateway en la primera DMZ. Citrix Gateway en la primera DMZ debe tener instalado un certificado de servidor SSL. El explorador Web debe tener instalado un certificado raíz firmado por la misma entidad emisora de certificados (CA) que el certificado del servidor en Citrix Gateway.
Citrix Receiver desde Internet se conecta a Citrix Gateway en la primera DMZ. La administración de certificados para esta conexión es la misma que la del explorador web a la conexión de Citrix Gateway. Si ha instalado los certificados para cifrar la conexión del explorador Web, esta conexión también se cifra con esos certificados.

En la tabla siguiente se muestran las conexiones que se producen a través del segundo firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de estas conexiones mejora la seguridad, pero no es obligatorio.

Conexiones a través del segundo firewall Certificados necesarios para el cifrado
Citrix Gateway en la primera DMZ se conecta a la Interfaz Web en la segunda DMZ. StoreFront o la Interfaz Web deben tener instalado un certificado de servidor SSL. Citrix Gateway en la primera DMZ debe tener instalado un certificado raíz firmado por la misma CA que el certificado del servidor en la Interfaz Web.
Citrix Gateway en la primera DMZ se conecta a Citrix Gateway en la segunda DMZ. Citrix Gateway en la segunda DMZ debe tener instalado un certificado de servidor SSL. Citrix Gateway en la primera DMZ debe tener instalado un certificado raíz firmado por la misma CA que el certificado del servidor en Citrix Gateway en la segunda DMZ.

La siguiente tabla muestra las conexiones que se producen a través del tercer firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de estas conexiones mejora la seguridad, pero no es obligatorio.

Conexiones a través del tercer firewall Certificados necesarios para el cifrado
StoreFront o la Interfaz Web en la segunda DMZ se conecta al servicio XML alojado en un servidor de la red interna. Si el servicio XML se ejecuta en el servidor de Microsoft Internet Information Services (IIS) en el servidor Citrix Virtual Apps, se debe instalar un certificado de servidor SSL en el servidor IIS. Si el servicio XML es un servicio estándar de Windows (no reside en IIS), se debe instalar un certificado de servidor SSL en el servidor de retransmisión SSL. StoreFront o la Interfaz Web deben tener instalado un certificado raíz firmado por la misma CA que el certificado de servidor instalado en el servidor IIS de Microsoft o en la retransmisión SSL.
StoreFront o la Interfaz Web en la segunda DMZ se conecta al STA alojado en un servidor de la red interna. La administración de certificados para esta conexión es la misma que la conexión Interfaz Web a Servicio XML. Puede utilizar los mismos certificados para cifrar esta conexión. (El certificado de servidor debe residir en el servidor Microsoft IIS o en la retransmisión SSL. Se debe instalar un certificado raíz correspondiente en la Interfaz Web.)
Citrix Gateway en la segunda DMZ se conecta a la STA alojada en un servidor de la red interna. La administración de certificados del servidor SSL para el STA en esta conexión es la misma que se describe para las dos conexiones anteriores descritas en esta tabla. (El certificado de servidor debe residir en el servidor Microsoft IIS o en la retransmisión SSL.) Citrix Gateway en la segunda DMZ debe tener instalado un certificado raíz firmado por la misma CA que el certificado de servidor utilizado por el servicio STA y XML.
Citrix Gateway en la segunda DMZ realiza una conexión ICA a una aplicación publicada en un servidor de la red interna. Se debe instalar un certificado de servidor SSL dentro de la retransmisión SSL en el servidor que aloja la aplicación publicada. El proxy de Citrix Gateway en la segunda DMZ debe tener instalado un certificado raíz firmado por la misma CA que el certificado de servidor instalado en la retransmisión SSL.

Administración de certificados SSL en una implementación DMZ de doble salto