Citrix SD-WAN WANOP

Aceleración de Office 365

Citrix SD-WAN WANOP optimiza la WAN para proporcionar una experiencia de usuario coherente para aplicaciones empresariales en sucursales y sitios remotos.

Microsoft Office 365 es una aplicación de software como servicio (SaaS), que proporciona el conjunto de aplicaciones de productividad de nivel empresarial de Office de Microsoft. Esta aplicación está alojada en la nube y se entrega bajo demanda a los usuarios.

La función de aceleración de Office 365 permite a las sucursales obtener los beneficios de optimización que Citrix SD-WAN WANOP proporciona para la aplicación Microsoft Office 365.

Caso de uso

Cuando el segmento WAN es considerablemente más lento que el segmento de Internet, y los servidores de Microsoft Office 365 están más cerca de la oficina más grande que la sucursal.

Topología

El tráfico de Office 365 de sucursales se envía a través de la WAN a la oficina principal y, a continuación, se reenvía a los servidores de Office 365 a través de Internet. El segmento entre la sucursal y la oficina principal se acelera.

Nota

El segmento entre la oficina principal y los servidores de Microsoft Office 365 no se acelera. Se recomienda que la oficina principal se conecte al servidor de Office 365 más cercano.

Imagen localizada

¿Cómo funciona?

La aceleración SSL de Citrix SD-WAN WANOP puede descifrar y acelerar el tráfico de Office 365, proporcionando compresión. En resumen, la aceleración de sucursales de Office 365 se puede considerar como un caso especial de aceleración RPC-sobre HTTPS.

Procedimiento

  1. Cree un peering seguro entre la sucursal y la oficina principal de Citrix SD-WAN WANOP.

  2. Generar certificados proxy/clave privada en la entidad emisora de certificados de dominio (CA).

  3. Agregue todas las CA necesarias en Citrix SD-WAN WANOP.

    1. CA, CA intermedias, CA raíz de los certificados de Microsoft.

    2. Certificados de proxy y claves privadas generadas para URL de Office 365.

      Nota

      Para evitar alertas de seguridad en los exploradores, los certificados proxy deben estar firmados por el servidor de CA de su dominio de Windows, lo que lo hace aceptable para cualquier usuario de dominio.

  4. Crear perfil proxy dividido SSL y enlazar el proxy dividido a la clase de servicio (web (seguro de Internet)).

  5. Inicie la conexión de Office 365 y compruebe las conexiones aceleradas.

    Advertencia

    Los dispositivos de sucursales que no forman parte del dominio mostrarán advertencias de seguridad a menos que instale los certificados manualmente. Los usuarios de Firefox también tienen que instalar los certificados manualmente, ya que Firefox no respeta el almacén de certificados del dispositivo.

Configurar la aceleración de Office 365

Para configurar la aceleración de Office 365:

  1. Configure una relación de pares segura entre los dos dispositivos Citrix SD-WAN WANOP, como se describe en Secure Peering

  2. Cree un nuevo certificado.

    Nota

    El dispositivo Citrix SD-WAN WANOP del lado del servidor sirve como intermediario entre Office 365 y los clientes, por lo que estos certificados serán firmados por el Controller de dominio del lado del servidor, pero hace referencia a los dominios de Office 356.

    1. Inicie sesión en el servidor de la entidad de certificación del dominio de Windows.

    2. Si es necesario, agregue los complementos para Entidad de certificación, Plantilla de certificado y Certificados.

    3. Vaya a Plantillas de certificado > Propiedades del servidor web > Seguridad y seleccione todas las opciones.

    4. Desplácese a Certificados > Personal > Certificados (Equipo) > Todas las tareas > Solicitar nuevo certificado.

      Imagen localizada

    5. En la ventana Registro de certificados, haga clic en Siguiente.

    6. En la ventana Seleccionar directiva de inscripción de certificados, seleccione Directiva de inscripción de Active Directory.

    7. En la ventana Directiva de inscripción de Active Directory, seleccione Servidor web > Detalles > Propiedades.

      Imagen localizada

  3. Copie la información de los certificados de Office365 en los certificados nuevos. Terminará con un solo certificado de tres certificados de Office365. Lleve a cabo lo siguiente:

    1. En un explorador web, como Chrome, introduzca la URL - https://login.microsoftonline.com.

      Nota

      No iniciar sesión.

    2. Haga clic en el icono de candado de la barra de direcciones URL y seleccione Conexión > Información del certificado > Detalles.

      Nota

      Estas instrucciones son para el explorador Chrome; el procedimiento es el mismo para otros exploradores web también.

    3. Haga clic en Nombre alternativo del asunto, esto mostrará una lista de nombres DNS como login.microsoftonline.com. Copie la información en el cuadro de texto debajo.

      Imagen localizada

    4. Vuelva a la ventana Propiedades de certificados del nuevo certificado. Agregue los nombres alternativos en el campo Valor con Tipo como DNS para que coincidan con cada nombre alternativo en el certificado de Microsoft.

      Imagen localizada

    5. Repita el proceso de descubrir nombres alternativos del sujeto y agregarlos a su certificado para https://outlook.office365.com, https://portal.office.com, https://office.live.com y https://sharepoint.com (la URL de SharePoint es específica del cliente).

    6. Cree un nombre común para el nuevo certificado. El ejemplo anterior muestra un nombre común como Proxy de Office365.

      Imagen localizada

    7. En la ficha Clave privada, seleccione Hacer que la clave privada sea exportable.

    8. Haga clic en Aceptar, Inscribir y Finalizar.

  4. Exporte el certificado.

    1. En Certificados > Personal > Certificados, seleccione el certificado proxy creado anteriormente y, a continuación, seleccione Todas las tareas > Exportar.

      Imagen localizada

    2. Aparecerá el Asistente para exportación de certificados. Haga clic en Siguiente.

    3. En Exportar clave privada, seleccione la opción Sí, exporte la clave privada y haga clic en Siguiente.

      Imagen localizada

    4. Conservar los valores predeterminados para el formato de archivo de exportación.

    5. Escriba y confirme la contraseña, exporte la clave privada y guarde el certificado como loginportal.pfx.

  5. Exporte sus certificados.

    1. En el Asistente para exportación de certificados, haga clic en Siguiente. En Exportar clave privada, seleccione la opción No, no exporte la clave privada. Haga clic en Siguiente.

      Imagen localizada

    2. Conservar los valores predeterminados para el formato de archivo de exportación.

    3. Escriba y confirme la contraseña y exporte la clave privada y el certificado, guardando el archivo en un archivo en un nombre de archivo como office365_keys.pfx.

  6. Descargue las claves públicas de la CA raíz y las CA intermedias de los certificados de Microsoft.

    1. Desde el explorador web, vaya a https://login.microsoftonline.com. Haga clic en el icono de candado en el explorador web. Desplácese a Conexión > Información del certificado > Ruta de certificación.

    2. Seleccione el certificado raíz (el que se encuentra en la parte superior de la lista) y, a continuación, haga clic en Ver certificado > Detalles > Copiar en archivo. Aparecerá el Asistente para exportación de certificados. Haga clic en Siguiente.

      Imagen localizada

    3. Introduzca el nombre del archivo y guarde el archivo.

      Nota

      Alternativamente, puede usar Wireshark o OpenSSL para obtener los nombres de CA raíz e intermedia y obtener los certificados de origen ‘AUTHENTIC’ (por ejemplo, almacén SSL de Windows).

    4. Repita el paso 6 para guardar las CA raíz e intermedias de los siguientes dominios:

      1. login.microsoftonline.com

      2. portal.office.com

      3. outlook.office356.com

      4. *.sharepoint.com

      5. office.live.com

  7. Agregue todas las CA del servidor de Office 365, los pares de certificados y claves de proxy y las claves privadas al dispositivo Citrix SD-WAN WANOP del servidor. Las CA se agregan mediante la ficha Certificados de CA de la página Certificados y claves. Los certificados y los pares de certificados y claves se agregan en la ficha Pares de certificados y claves.

    Imagen localizada

    Imagen localizada

  8. Cree un perfil de proxy dividido SSL y vincule el proxy dividido a la clase de servicio web (Internet Secure).

    1. Vaya a Configuración > Aceleración segura > Perfil SSL > Agregar perfil.

    2. Introduzca el nombre de perfil de su elección. Seleccione Perfil habilitado, Analizar nombres alternativos de sujeto y Dividir proxy.

    3. En Configuración de proxy del lado del servidor > Almacén de verificación, seleccione Usar todos los almacenes de CA configurados.

    4. En Configuración de proxy del lado del cliente > Clave certificada/privada, seleccione el par de claves cert/privada que ha creado y exportado previamente (el que se muestra en el ejemplo como loginportal.pfx). Seleccione Crear cadena de certificados. Seleccione la entidad emisora de certificados asociada al par de certificados y claves en Almacén de cadena de certificados.

      Imagen localizada

  9. Enlace el perfil SSL creado a la clase de servicio Internet (Web-Secure). Desplácese hasta Configurar > Reglas de optimización > Clases de servicio y agregue el perfil SSL a la lista de perfiles SSL.

  10. Habilite la aceleración y la compresión basada en disco para la clase de servicio Internet (Web-Secure).

  11. Inicie una sesión de Office 365 desde el explorador.

    La conexión se acelera. En el explorador, el certificado debe mostrar la CA raíz, no el certificado real de Office 365, como certificado de CA del dispositivo del servidor.

    Imagen localizada

  12. En la página Supervisión del dispositivo > Conexiones, compruebe que las conexiones de Office 365 estén comprimidas y estén recibiendo aceleración SSL.

    Imagen localizada

    Nota

    Firefox no acepta los certificados del dispositivo de forma predeterminada, pero tiene su propio almacén de certificados. Por lo tanto, las credenciales aceptadas en el comportamiento normal del dominio de Windows por otros exploradores web, y por el dispositivo en su conjunto, deben instalarse manualmente en Firefox. Para instalar certificados en Firefox, siga el procedimiento en la sección Instalar certificados en Firefox.

Instalar los certificados en Firefox

Para instalar el certificado proxy del dispositivo del servidor en el almacén de certificados de Firefox:

  1. En el explorador web Firefox, vaya a Opciones > Avanzadas > Certificado > Ver Certificados > Autoridades > Importar.

  2. Cargue el certificado proxy de CA local, seleccione todas las opciones en el Asistente de descarga de certificados y haga clic en Aceptar.

    Imagen localizada

Aceleración de Office 365