Product Documentation

Integración con NetScaler Gateway y NetScaler

Jun 29, 2017

Puede utilizar NetScaler Gateway con StoreFront para ofrecer acceso remoto seguro a usuarios que se encuentren fuera de la red de la empresa. Asimismo, puede utilizar NetScaler para equilibrar la carga. 

Planificación de uso de la puerta de enlace y el servidor de certificados

La integración de StoreFront con NetScaler y NetScaler Gateway requiere un plan para el uso del servidor de certificados y la puerta de enlace. Tenga en cuenta qué componentes de Citrix van a requerir certificados de servidor dentro de la implementación:

  • Planifique la obtención de certificados para los servidores y puertas de enlace con conexión a Internet, de las entidades de certificación externas. Los dispositivos clientes podrían no confiar automáticamente en certificados de confianza firmados por una entidad interna.
  • Planifique los nombres de servidor externos e internos. Muchas organizaciones tienen espacios de nombres independientes para cada caso, interno y externo - como ejemplo.com (externo) y ejemplo.net (interno). Un mismo certificado puede contener ambos tipos de nombre si se usa la extensión de nombre alternativo de sujeto (SAN). Esta práctica no se recomienda normalmente. Una entidad de certificación pública solo emitirá e un certificado si el dominio de nivel superior (Top Level Domain) está registrado en IANA. En este caso, algunos nombres de servidor internos comúnmente utilizados (por ejemplo, example.local) no se pueden usar, y se necesitarán certificados distintos para los nombres internos y externos de todos modos.
  • Use certificados independientes para los servidores externos y los servidores internos, siempre que sea posible. Una puerta de enlace puede dar respaldo a varios certificados, mediante el vínculo de un certificado distinto a cada interfaz.
  • Evite compartir certificados entre los servidores con conexión a Internet y los servidores sin conexión a Internet. Estos certificados serán probablemente diferentes, y tendrán distintos periodos de validez y distintas directivas de revocación que los certificados emitidos por entidades de certificación internas.
  • Comparta certificados "comodín" solamente entre servicios que sean equivalentes. Evite compartir un certificado entre los diferentes tipos de servidor (por ejemplo, entre servidores StoreFront y otros tipos de servidores). Evite el uso compartido de un certificado entre los servidores que están bajo un control administrativo diferente, o que tengan directivas de seguridad diferentes.  Algunos ejemplos típicos de servidores que proporcionan servicios equivalentes son:
    • Un grupo de servidores StoreFront y el servidor que ejecuta el equilibrio de carga entre ellos.
    • Un grupo de puertas de enlace con conexión a Internet dentro del equilibrio de carga global (GSLB).
    • Un grupo de Controllers de XenApp y XenDesktop 7.x, que proporcionan recursos equivalentes.
  • Planifique el almacenamiento de claves privadas protegidas por hardware. Las puertas de enlace y los servidores, incluidos algunos modelos de NetScaler, pueden guardar la clave privada de forma segura dentro de un módulo de seguridad de hardware (HSM) o el módulo de plataforma segura (TPM). Por razones de seguridad, estas configuraciones normalmente no están diseñadas para compartir certificados y sus claves privadas. Consulte la documentación del componente.  Si la implementa GSLB con NetScaler Gateway, esto puede requerir que cada puerta de enlace dentro del grupo de equilibrio de carga GSLB tenga un certificado idéntico, que contiene todos los nombres FQDN que desee usar.

Para obtener más información sobre cómo proteger la implementación de Citrix, consulte el documento técnico End-To-End Encryption with XenApp and XenDesktop y la sección Seguridad de XenApp y XenDesktop.