Crear un nombre de dominio completo (FQDN) para acceder a un almacén de forma interna y externa

Puede proporcionar acceso a los recursos desde la red corporativa o desde Internet a través de Citrix Gateway y simplificar la experiencia de los usuarios mediante la creación de un único nombre de dominio completo para clientes internos y clientes externos itinerantes.

La creación de un único nombre de dominio completo es útil para los usuarios que configuren cualquiera de los Receiver nativos. Solo necesitan recordar una sola dirección URL y si se han conectado a una red interna o a una red pública.

Nota:

El acceso directo a dispositivos de punto final de redes privadas desde sitios web públicos se ha retirado como parte de la especificación de acceso a redes privadas (PNA). Como resultado, es posible que reciba errores al cambiar de una red externa a una red interna mientras usa un único FQDN. Estos errores se producen en la versión más reciente de Chrome y a partir de la versión 98 de Microsoft Edge.

Como solución temporal, se recomienda agregar estos encabezados de respuesta HTTP en IIS en el servidor de StoreFront:

• Access-Control-Allow-Headers: *
• Access-Control-Allow-Origin: URL del sitio del FQDN
• Access-Control-Allow-Private-Network: true

Precaución: Revise los encabezados con el administrador antes de configurarlos en el servidor de StoreFront.

Balizas de StoreFront para la aplicación Citrix Workspace

La aplicación Citrix Workspace intenta comunicarse con las balizas y usa las respuestas para determinar si los usuarios están conectados a redes locales o públicas. Cuando un usuario accede a un escritorio o a una aplicación, la información de ubicación se transfiere al servidor que proporciona el recurso para que se puedan devolver los correspondientes datos de conexión a la aplicación Citrix Workspace. Esto garantiza que no se pida a los usuarios que vuelvan a iniciar sesión al acceder a un escritorio o a una aplicación. Para obtener información sobre la configuración de balizas, consulte Configurar balizas.

Notas:

• En este artículo, las menciones de “aplicación Citrix Workspace” también se aplican a las versiones compatibles de Citrix Receiver, a menos que se indique lo contrario.
• La aplicación Citrix Workspace para Linux no permite casos con nombres FQDN individuales porque no puede detectar puntos de balizas internas en ubicaciones de cliente separadas. Para obtener más información, consulte CTX223989.

Configurar el certificado SSL y del servidor virtual de Citrix Gateway

El nombre de dominio completo compartido recurre a la dirección IP de la interfaz del enrutador de un firewall externo, o bien a la dirección IP del servidor virtual de Citrix Gateway de la zona desmilitarizada (DMZ) cuando los clientes externos intentan acceder a recursos desde fuera de la red corporativa. Compruebe que los campos Nombre común y Nombre alternativo del firmante del certificado SSL contengan el nombre de dominio completo compartido que se utilizará para acceder al almacén de forma externa. Al utilizar una entidad de certificación (CA) raíz de terceros como Verisign en lugar de una Entidad de certificación (CA) de la empresa para firmar el certificado de la puerta de enlace, cualquier cliente externo confía automáticamente en el certificado vinculado al servidor virtual de la puerta de enlace. Si utiliza una CA raíz de terceros como Verisign, no es necesario importar certificados de CA raíz adicionales a clientes externos.

Para implementar un único certificado con el nombre común del nombre de dominio completo compartido en Citrix Gateway y en el servidor de StoreFront, tenga en cuenta si quiere que dispongan de detección remota. Si es que sí, compruebe que el certificado cumple con las especificaciones de los nombres alternativos del firmante.

Certificado de ejemplo del servidor virtual de Citrix Gateway:storefront.example.com

1. Compruebe que el nombre de dominio completo compartido, la URL de respuesta y la URL de alias de cuenta se incluyen en el campo DNS como nombre alternativo del sujeto (SAN o Subject Alternative Name).

2. Compruebe también que la clave privada se puede exportar para que el certificado y la clave se puedan importar en Citrix Gateway.

3. Asegúrese de que Autorización predeterminada tenga el valor Permitir.

4. Firme el certificado con una entidad de certificación de terceros, como Verisign o una CA raíz de la empresa para su organización.

Ejemplos de nombres SAN de grupos de servidores de dos nodos

storefront.example.com (obligatorio)

storefrontcb.example.com (obligatorio)

accounts.example.com (obligatorio)

storefrontserver1.example.com (optativo)

storefrontserver2.example.com (optativo)

Firmar el certificado SSL del servidor virtual de Citrix Gateway con una entidad de certificación (CA)

Según sus requisitos, tiene dos opciones para elegir el tipo de certificado de CA.

• Opción 1: Certificado firmado por una entidad de certificación externa. Si el certificado enlazado al servidor virtual de Citrix Gateway está firmado por una entidad externa de confianza, es muy posible que los clientes externos NO necesiten copiar certificados de CA raíz a sus almacenes de certificados de CA raíz de confianza. Los clientes de Windows se incluyen en los certificados de CA raíz de las agencias de firma más comunes. Se pueden emplear entidades externas y comerciales de certificación como DigiCert, Thawte y Verisign. Tenga en cuenta que los dispositivos móviles como iPhones, iPads y los teléfonos y las tabletas Android aún podrían requerir que la entidad de certificación raíz se copie al dispositivo para confiar en el servidor virtual de Citrix Gateway.

• Opción 2: Certificado firmado por una CA raíz empresarial. Si elige esta opción, todos los clientes externos requieren que el certificado de CA raíz empresarial se copie en sus almacenes de certificados de CA raíz de confianza. Si utiliza dispositivos portátiles con que tengan un Receiver nativo instalado, como iPhones y iPads, cree un perfil de seguridad en estos dispositivos.

Importar el certificado raíz en dispositivos portátiles

• Los dispositivos iOS pueden importar archivos de certificado .CER x.509 mediante archivos adjuntos de correo electrónico, ya que, por lo general, no es posible acceder al almacenamiento local de los dispositivos iOS.
• Los dispositivos Android requieren el mismo formato .CER x.509. El certificado se puede importar desde el almacenamiento local del dispositivo o desde los datos adjuntos de un correo electrónico.

DNS externo: storefront.ejemplo.com

Compruebe que la resolución de DNS proporcionada por el proveedor de servicios de Internet de la organización recurre a la dirección IP del enrutador del firewall que apunta al exterior en el borde exterior de la DMZ o en la dirección IP virtual del servidor virtual de Citrix Gateway.

DNS dividido

• Cuando el DNS dividido (Split-view DNS) se configura correctamente, la dirección de origen de la solicitud DNS debe enviar el cliente al registro A de DNS correcto.
• Cuando los clientes se mueven entre redes públicas y empresariales, sus direcciones IP deben cambiar. Dependiendo de la red a la que estén conectados en ese momento, deben recibir el registro A correcto cuando hacen una consulta a storefront.ejemplo.com.

Importar certificados emitidos por una entidad de certificación Windows en Citrix Gateway

WinSCP es una útil herramienta externa y gratuita para trasladar archivos de una máquina con Windows a un sistema de archivos de Citrix Gateway. Copie los certificados que quiere importar en la carpeta /nsconfig/ssl/ del sistema de archivos de Citrix Gateway. Puede usar las herramientas de OpenSSL en Citrix Gateway para extraer el certificado y la clave de un archivo PKCS12 / PFX y así crear dos archivos X.509 separados (.CER y .KEY) en formato PEM que Citrix Gateway puede utilizar.

1. Copie el archivo PFX a /nsconfig/ssl, en el dispositivo Citrix Gateway o en VPX.
2. Abra la interfaz de línea de comandos de Citrix Gateway.
3. Para pasarse al shell de FreeBSD, escriba Shell para salir de la interfaz de línea de comandos de Citrix Gateway.
4. Para cambiar el directorio, use cd /nsconfig/ssl.
5. Ejecute openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cer e introduzca la contraseña de PFX cuando se le pida.
6. Ejecute openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key
7. Escriba la contraseña del archivo PFX cuando se le solicite y, a continuación, establezca una frase de contraseña con formato PEM de clave privada para proteger el archivo KEY.
8. Para comprobar que los archivos CER y KEY se han creado correctamente en /nsconfig/ssl/, ejecute ls –al.
9. Para volver a la interfaz de línea de comandos de Citrix Gateway, escriba Exit.

Directiva de sesión para Citrix Gateway, Citrix Receivers para Windows o Citrix Receivers para Mac

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS

Directiva de sesiones de puerta de enlace de Receiver para Web

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS

Parámetros de cVPN y SmartAccess

Si usa el modo de acceso inteligente (SmartAccess), habilítelo en la página de propiedades del servidor virtual de Citrix Gateway. Se necesitan licencias universales para cada usuario concurrente o simultáneo que accede a recursos remotos.

Perfil de Receiver

Establezca la URL del servicio de cuentas de perfil de sesión en https://accounts.example.com/Citrix/Roaming/AccountsNOhttps://storefront.example.com/Citrix/Roaming/Accounts.

Agregue también esta URL como una entrada de <allowedAudiences> en los archivos web.config de autenticación e itinerancia en el servidor de StoreFront. Para obtener más información, consulte “Configurar la URL base del host, la puerta de enlace y el certificado SSL de un servidor de StoreFront” en el apartado siguiente.

Perfil de Receiver para Web

Parámetros de proxy ICA y modo Básico

Si utiliza el proxy ICA, habilite el modo básico en la página de propiedades del servidor virtual de Citrix Gateway. Solo se necesita una licencia de plataforma de Citrix ADC.

Perfil de Receiver

Perfil de Receiver para Web

Configurar la URL base del host, la puerta de enlace y el certificado SSL de un servidor de StoreFront

El mismo nombre de dominio completo compartido que recurre al servidor virtual de Citrix Gateway también debe recurrir directamente al equilibrador de carga de StoreFront si se ha creado un clúster de StoreFront o si hay una única dirección IP de StoreFront que aloje el almacén.

DNS interno: Cree tres registros A de DNS

• storefront.example.com debe recurrir al equilibrador de carga de StoreFront o a la dirección IP única del servidor de StoreFront.
• storefrontcb.example.com debe recurrir a la dirección IP virtual del servidor virtual de Gateway, de modo que, si existe un firewall entre la DMZ y la red local de la empresa, permita esto.
• accounts.example.com: Cree un alias de DNS para storefront.example.com. También recurre a la dirección IP del equilibrador de carga para el clúster de StoreFront o a la dirección IP única del servidor de StoreFront.

Certificado de ejemplo de un servidor de StoreFront: storefront.example.com

1. Cree un certificado adecuado para el servidor o grupo de servidores de StoreFront antes de instalar StoreFront.

2. Agregue el nombre de dominio completo compartido a los campos Nombre común y DNS. Compruebe que coincide con el nombre de dominio completo utilizado en el certificado SSL enlazado al servidor virtual de Citrix Gateway que ha creado anteriormente o, si no, utilice el mismo certificado enlazado al servidor virtual de Citrix Gateway.

3. Agregue el alias de la cuenta (accounts.example.com) al certificado como otro nombre SAN. Tenga en cuenta que el alias de cuentas que se usa en SAN es el que se usa en el perfil de sesión de Citrix Gateway en el procedimiento anterior: Perfil y directiva de sesiones de puerta de enlace de Receiver nativo.

   

4. Compruebe que la clave privada se puede exportar para que el certificado se pueda transferir a otro servidor de StoreFront o a varios nodos de un grupo de servidores de StoreFront.

   

5. Firme el certificado con una entidad de certificación de terceros, como VeriSign, una CA raíz de la empresa o un certificado CA de intermedios.

6. Exporte el certificado en formato PFX e incluya la clave privada.

7. Importe el certificado y la clave privada en el servidor de StoreFront. Si va a implementar un clúster de StoreFront de Windows sin equilibrio de carga, importe el certificado en todos los nodos. Si utiliza otro equilibrador de carga, como, por ejemplo, un servidor virtual de Citrix ADC con equilibrio de carga, importe el certificado ahí en su lugar.

8. Cree un enlace HTTPS de IIS en el servidor de StoreFront y enlácele el certificado SSL importado.

   

9. Configure la URL base del host en el servidor de StoreFront para que coincida con el nombre de dominio completo compartido que ya ha elegido.

   Nota:

   StoreFront siempre selecciona automáticamente el último nombre alternativo de firmante (SAN) en la lista de nombres alternativos de firmante del certificado. Esto es una sugerencia de URL base del host para ayudar a los administradores de StoreFront y normalmente es correcta. Puede configurarla manualmente con cualquier HTTPS://<FQDN> válido, siempre que exista en el certificado como un nombre SAN. Ejemplo: https://storefront.example.com.

Cambiar la dirección URL base del servidor de HTTP a HTTPS

La opción URL base de host está disponible al configurar la implementación de servidor único o la implementación de un grupo de servidores en Citrix StoreFront. Esto se aplica a los clientes que hayan instalado y configurado Citrix StoreFront sin un certificado de servidor. Después de instalar el certificado, asegúrese de que StoreFront y sus servicios utilicen una conexión segura para continuar.

Nota:

El administrador de TI debe generar e instalar un certificado de servidor en el servidor Citrix StoreFront antes de ejecutar este procedimiento. Además, se debe crear un vínculo IIS a través de HTTPS (443) para proteger cualquier conexión nueva.

Complete los siguientes pasos para cambiar la URL base en StoreFront 3.x:

1. En StoreFront, haga clic en Grupo de servidores en el panel izquierdo.
2. Haga clic en Cambiar URL base en el panel derecho.

3. Escriba la dirección URL base y haga clic en Aceptar.

   

Configurar Gateway en el servidor de StoreFront: storefront.example.com

1. En el nodo Almacenes, haga clic en Administrar dispositivos Citrix Gateway en el panel Acciones.

2. Seleccione Gateway en la lista y haga clic en Modificar.

   

3. En la página Parámetros generales, introduzca el nombre de dominio completo compartido en el campo URL de Citrix Gateway.

4. Seleccione la ficha Parámetros de autenticación e introduzca el nombre FQDN de respuesta en el campo URL de respuesta.

   

5. Seleccione la ficha Secure Ticket Authority y asegúrese de que los servidores Secure Ticket Authority (STA) coinciden con la lista de Delivery Controllers ya configurados en el nodo Almacén.

6. Habilite el acceso remoto al almacén.

7. Establezca manualmente la baliza interna para el alias de la cuenta (accounts.example.com) y configúrela de modo que no se pueda resolver desde fuera de la puerta de enlace. El nombre de dominio completo debe ser distinto de la baliza externa que comparten la URL base del host de StoreFront y el servidor virtual de Citrix Gateway (storefront.example.com). NO utilice el nombre de dominio completo compartido, ya que crea una situación en la que la baliza interna y la baliza externa son idénticas.

   

Habilitar la detección mediante diferentes nombres de dominio completo

Para que la aplicación Citrix Workspace pueda detectar un almacén con varios nombres de dominio completo (FQDN), siga los pasos que se indican a continuación. Si la configuración del archivo de aprovisionamiento es suficiente o si solo está utilizando Receiver para Web, puede omitir los pasos siguientes.

Agregue una entrada <allowedAudiences> adicional en C:\inetpub\wwwroot\Citrix\Authentication\web.config. Hay dos entradas <allowedAudiences> en este archivo. Solo la primera entrada del archivo requiere agregar una entrada <allowedAudience> más para el productor de tokens de autenticación.

1. En la sección <service id>, busque la cadena <allowedAudiences>. Agregue una línea para audience="https://accounts.example.com/", como se muestra aquí. guardar y cerrar el archivo web.config.

   <service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer">
   ...
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   <!--NeedCopy-->
   

2. En C:\inetpub\wwwroot\Citrix\Roaming\web.config, busque la sección <tokenManager> y agregue una línea para audience="https://accounts.example.com/", como se muestra aquí. guardar y cerrar el archivo web.config.

   <tokenManager>
   <services>
   <clear />
   ...
   </trustedIssuers>
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   </service>
   </services>
   </tokenManager>
   <!--NeedCopy-->
   

También puede exportar el archivo CR de aprovisionamiento del Receiver nativo para el almacén. Así, ya no es necesario configurar el primer uso de la aplicación Citrix Workspace. Distribuya este archivo a todos los clientes con aplicaciones Citrix Workspace en Windows y Mac.

Si ya hay una aplicación Citrix Workspace instalada en el cliente, el tipo de archivo CR se reconoce y, al hacer doble clic en el archivo de aprovisionamiento, se inicia la importación.