Integrar en Citrix Gateway y Citrix ADC

Nota:

Puede obtener información sobre los cambios en los nombres de producto en Novedades.

Puede utilizar Citrix Gateway con StoreFront para ofrecer acceso remoto seguro a usuarios que se encuentren fuera de la red de la empresa. Asimismo, puede utilizar Citrix ADC para equilibrar la carga.

Planificar el uso de la puerta de enlace y el servidor de certificados

La integración de StoreFront en Citrix Gateway y Citrix ADC requiere un plan para el uso del servidor de certificados y la puerta de enlace. Tenga en cuenta qué componentes de Citrix van a requerir certificados de servidor dentro de la implementación:

  • Planifique la obtención de certificados para los servidores y puertas de enlace con conexión a Internet, de las entidades de certificación externas. Los dispositivos clientes podrían no confiar automáticamente en certificados de confianza firmados por una entidad interna.
  • Planifique los nombres de servidor externos e internos. Muchas organizaciones tienen espacios de nombres independientes para cada caso, interno y externo; como example.com (externo) y example.net (interno). Un mismo certificado puede contener ambos tipos de nombre si se usa la extensión de nombre alternativo de sujeto (SAN). Esta práctica no se recomienda normalmente. Una entidad de certificación pública solo emitirá un certificado si el dominio de nivel superior (Top Level Domain) está registrado en IANA. En este caso, algunos nombres de servidor internos comúnmente utilizados (por ejemplo, example.local) no se pueden usar, y se necesitarán certificados distintos para los nombres internos y externos de todos modos.
  • Use certificados independientes para los servidores externos y los servidores internos, siempre que sea posible. Una puerta de enlace puede dar respaldo a varios certificados, mediante el vínculo de un certificado distinto a cada interfaz.
  • Evite compartir certificados entre los servidores con conexión a Internet y los servidores sin conexión a Internet. Estos certificados serán probablemente diferentes, y tendrán distintos periodos de validez y distintas directivas de revocación que los certificados emitidos por entidades de certificación internas.
  • Comparta certificados “comodín” solamente entre servicios que sean equivalentes. Evite compartir un certificado entre los diferentes tipos de servidor (por ejemplo, entre servidores StoreFront y otros tipos de servidores). Evite el uso compartido de un certificado entre los servidores que están bajo un control administrativo diferente, o que tengan directivas de seguridad diferentes. Algunos ejemplos típicos de servidores que proporcionan servicios equivalentes son:
    • Un grupo de servidores StoreFront y el servidor que ejecuta el equilibrio de carga entre ellos.
    • Un grupo de puertas de enlace con conexión a Internet dentro del equilibrio de carga global (GSLB).
    • Un grupo de Controllers de Citrix Virtual Apps and Desktops, que proporcionan recursos equivalentes.
  • Planifique el almacenamiento de claves privadas protegidas por hardware. Las puertas de enlace y los servidores, incluidos algunos modelos de Citrix ADC, pueden guardar la clave privada de forma segura dentro de un módulo de seguridad de hardware (HSM) o el módulo de plataforma segura (TPM). Por razones de seguridad, estas configuraciones normalmente no están diseñadas para compartir certificados y sus claves privadas. Consulte la documentación del componente. Si implementa GSLB con Citrix Gateway, puede que cada puerta de enlace del grupo de equilibrio de carga GSLB deba tener un certificado idéntico, que contiene todos los nombres FQDN que quiera usar.

Para obtener más información sobre cómo proteger la implementación de Citrix, consulte el documento técnico End-To-End Encryption with Citrix Virtual Apps and Desktops y la sección Proteger de Citrix Virtual Apps and Desktops.

Configurar el inicio de sesión en StoreFront cuando la autenticación está inhabilitada en el servidor virtual de Citrix Gateway

Inicie sesión en StoreFront cuando la autenticación esté inhabilitada en el servidor virtual de Citrix Gateway. Este procedimiento funciona en dos casos: Redes internas. El inicio de aplicaciones falla desde ubicaciones remotas porque los STA no se pueden usar cuando la autenticación se inhabilita en Citrix Gateway si el encabezado X-Citrix-Gateway se está enviando a StoreFront. Citrix Receiver para Web. Los clientes de Receiver no se autentican si la autenticación no está habilitada en el servidor virtual de Citrix Gateway.

Cambios en el servidor StoreFront

  1. Inhabilite el campo Requerir coherencia de token:
    • StoreFront 3.0
      1. Modifique el archivo web.config referente al sitio web del almacén. Por ejemplo, si el nombre de un almacén de StoreFront es NoAuth, el campo web.config en el servidor StoreFront tendrá la ruta inetpub\wwwroot\Citrix\NoAuth.
    1. Busque la siguiente línea en el archivo web.config y cambie el valor de “True” a “False”. Antes <resourcesGateways requireTokenConsistency="true"> Después <resourcesGateways requireTokenConsistency="false">

      Nota:

      En StoreFront 3.x, el campo Requerir coherencia de token es una casilla en la interfaz gráfica de usuario. Para obtener más información, consulte Parámetros avanzados de almacenes.

    2. Guarde el archivo web.config y reinicie el servicio IIS.

  2. Abra la consola de administración de Citrix StoreFront.

  3. Haga clic en Administrar sitios de Receiver para Web para la web.

  4. Seleccione el sitio de Citrix Receiver para Web correspondiente, haga clic en Configurar y, a continuación, seleccione Métodos de autenticación.

  5. Compruebe que la casilla PassThrough desde Citrix Gateway no está marcada.

Nota:

Se presupone que Citrix Gateway y “Habilitar acceso remoto” están definidos en el servidor StoreFront.

Cambios en Citrix Gateway

  1. Abra el servidor virtual de Citrix Gateway.

  2. Haga clic en la ficha Authentication y compruebe que la casilla Enable Authentication no está marcada.

  3. Vincule la directiva de la sesión correspondiente al servidor virtual de Citrix Gateway.

  4. Pruebe la conexión.