Créer un seul nom de domaine complet (FQDN) pour accéder à un magasin en interne et externe

Vous pouvez fournir un accès aux ressources depuis le réseau de votre entreprise et depuis Internet par le biais d’un Citrix Gateway et simplifier l’expérience utilisateur en créant un seul nom de domaine complet (FQDN) pour à la fois les clients externes itinérants et les clients internes.

La création d’un seul nom de domaine complet est utile pour les utilisateurs qui configurent l’un des logiciels Receiver natifs. Ils n’ont besoin de mémoriser qu’une seule adresse URL qu’ils soient connectés à un réseau interne ou public.

Remarque :

L’accès direct aux points de terminaison réseau privé à partir de sites Web publics est obsolète dans le cadre de la spécification PNA (Private Network Access). Par conséquent, des erreurs peuvent survenir lorsque vous passez d’un réseau externe à un réseau interne tout en utilisant un seul nom de domaine complet. Ces erreurs se produisent sur la dernière version de Chrome et Microsoft Edge version 98 et versions ultérieures.

Pour contourner le problème, nous vous recommandons d’ajouter les en-têtes de réponse HTTP suivantes dans IIS sur le serveur StoreFront :

• Access-Control-Allow-Headers : *
• Access-Control-Allow-Origin : URL du site FQDN
• Access-Control-Allow-Private-Network : true

Attention : vérifiez les en-têtes avec votre administrateur avant de les configurer sur le serveur StoreFront.

Balises StoreFront pour l’application Citrix Workspace

L’application Citrix Workspace tente de contacter des points balises et utilise les réponses pour déterminer si les utilisateurs sont connectés à des réseaux locaux ou publics. Lorsqu’un utilisateur accède à un bureau ou une application, les informations d’emplacement sont transmises au serveur fournissant les ressources afin que les détails de connexion appropriés puissent être renvoyés à l’application Citrix Workspace. Ceci garantit que les utilisateurs ne sont pas invités à rouvrir une session lorsqu’ils accèdent à un bureau ou une application. Pour plus d’informations sur la configuration des points balises, consultez la section Configurer des points balises.

Remarques :

• Dans cet article, les mentions de « Application Citrix Workspace » s’appliquent également aux versions prises en charge de Citrix Receiver, sauf indication contraire.
• L’application Citrix Workspace pour Linux ne prend pas en charge les scénarios de nom de domaine complet unique car elle ne peut pas détecter un point de balise interne dans un emplacement client distinct. Pour plus d’informations, consultez l’article CTX223989.

Configurer le serveur virtuel Citrix Gateway et le certificat SSL

Le nom de domaine complet (FQDN) partagé est résolu sur l’adresse IP de l’interface de routeur du pare-feu externe où sur l’adresse IP du serveur virtuel Citrix Gateway dans la zone démilitarisée (DMZ) lorsque les clients externes essayent d’accéder aux ressources en dehors du réseau d’entreprise. Assurez-vous que les champs Nom commun et Autre nom de l’objet du certificat SSL contiennent le nom de domaine complet partagé à utiliser pour accéder au magasin en externe. En utilisant une autorité de certification racine tierce telle que Verisign au lieu d’une autorité de certification d’entreprise pour signer le certificat de passerelle, tout client externe approuve automatiquement le certificat lié au vServer de passerelle. Si vous utilisez une autorité de certification racine tierce telle que Verisign, aucun certificat d’autorité de certification racine supplémentaire ne doit être importé sur des clients externes.

Pour déployer un seul certificat avec le nom commun du nom de domaine complet (FQDN) partagé sur le serveur Citrix Gateway et le serveur StoreFront, vous devez décider si vous souhaitez prendre en charge la découverte à distance. Si c’est le cas, vérifiez que le certificat est conforme à la spécification relative aux Autres noms de l’objet.

Exemple de certificat de serveur virtuel Citrix Gateway :storefront.example.com

1. Assurez-vous que le nom de domaine complet partagé, l’URL de rappel et l’URL d’alias des comptes sont inclus dans le champ DNS en tant qu’Autre nom de l’objet (SAN).

2. Vérifiez que la clé privée est exportable de façon à ce que le certificat et la clé puissent être importés dans Citrix Gateway.

3. Assurez-vous que Default Authorization est défini sur Allow.

4. Signez le certificat à l’aide d’une autorité de certification tierce telle que Verisign ou d’une autorité de certification racine d’entreprise pour votre organisation.

Exemples d’autre nom de l’objet pour groupe de serveurs à deux nœuds

storefront.example.com (obligatoire)

storefrontcb.example.com (obligatoire)

accounts.example.com (obligatoire)

storefrontserver1.example.com (facultatif)

storefrontserver2.example.com (facultatif)

Signer le certificat SSL du serveur virtuel Citrix Gateway à l’aide d’une autorité de certification (CA)

En fonction de vos besoins, vous disposez de deux options pour choisir le type de certificat signé par une autorité de certification.

• Option 1: certificat signé par une autorité de certification tierce. Si le certificat lié au serveur virtuel Citrix Gateway est signé par un tiers de confiance, les clients externes n’auront probablement PAS besoin de copier les certificats d’autorité de certification racine dans leurs magasins de certificats d’autorité de certification racine de confiance. Les clients Windows sont livrés avec les certificats d’autorité de certification racine des agences de signature les plus courantes. Les autorités de certification tierces commerciales pouvant être utilisées comprennent DigiCert, Thawte et Verisign. Notez que les appareils mobiles tels que iPad, iPhone et tablettes et téléphones Android peuvent encore nécessiter la copie de l’autorité de certification racine sur l’appareil pour faire confiance au serveur virtuel Citrix Gateway.

• Option 2 : certificat signé par une autorité de certification racine d’entreprise : si vous choisissez cette option, tous les clients externes nécessitent que le certificat d’autorité de certification racine d’entreprise soit copié sur leurs magasins d’autorité de certification racine de confiance. Si vous utilisez des appareils portables avec Receiver natif, tels que les iPhones et les iPad, créez un profil de sécurité sur ces appareils.

Importer le certificat racine sur des appareils mobiles

• Les appareils iOS peuvent importer des fichiers de certificat .CER x.509 par le biais de pièces jointes, car l’accès au stockage local des appareils iOS n’est généralement pas possible.
• Les appareils Android requièrent le même format .CER x.509. Le certificat peut être importé à partir du stockage local de l’appareil ou des pièces jointes.

DNS externe : storefront.exemple.com

Assurez-vous que la résolution DNS fournie par le fournisseur de services Internet de votre organisation est soit résolue sur l’adresse IP externe du routeur de pare-feu en périphérie extérieure de la zone démilitarisée (DMZ), soit sur l’adresse IP virtuelle du serveur virtuel Citrix Gateway.

Split-view DNS

• Lorsque la vue split-view DNS est correctement configurée, l’adresse source de la requête DNS doit envoyer le client vers l’enregistrement DNS A correct.
• Lorsque les clients accèdent à des réseaux publics et réseaux d’entreprise, leur adresse IP doit s’adapter. En fonction du réseau auquel ils sont actuellement connectés, ils doivent recevoir l’enregistrement A correct lorsqu’ils interrogent storefront.exemple.com.

Importer des certificats émis par une autorité de certification Windows sur Citrix Gateway

WinSCP est un outil tiers utile pour déplacer des fichiers d’un ordinateur Windows sur un système de fichiers Citrix Gateway. Copiez les certificats à importer sur le dossier /nsconfig/ssl/ dans le système de fichiers Citrix Gateway. Vous pouvez utiliser les outils OpenSSL de Citrix Gateway pour extraire le certificat et la clé depuis un fichier PKCS12/PFX afin de créer deux fichiers .CER et .KEY X.509 distincts au format PEM pouvant être utilisés par Citrix Gateway.

1. Copiez le fichier PFX dans /nsconfig/ssl sur l’appliance Citrix Gateway ou VPX.
2. Ouvrez l’interface de ligne de commande Citrix Gateway.
3. Pour basculer vers le shell FreeBSD, tapez Shell pour quitter l’interface de ligne de commande Citrix Gateway.
4. Pour changer de répertoire, utilisez cd /nsconfig/ssl.
5. Exécutez openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cer et entrez le mot de passe PFX à l’invite correspondante.
6. Exécutez openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key.
7. Entrez le mot de passe du fichier PFX lorsque vous y êtes invité, puis définissez une phrase secrète au format PEM pour la clé privée pour protéger le fichier .KEY.
8. Pour vous assurer que les fichiers .CER et .KEY ont été correctement créés dans /nsconfig/ssl/, exécutez ls –al.
9. Pour retourner à l’interface de ligne de commande Citrix Gateway, tapez sur Exit.

Stratégie de session Citrix Receiver pour Windows, Citrix Receiver pour Mac ou Citrix Gateway

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS

Stratégie de session de la passerelle Receiver pour Web

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS

Paramètres cVPN et Smart Access

Si vous utilisez SmartAccess, activez le mode Smart Access sur la page des propriétés du serveur virtuel Citrix Gateway. Des licences universelles sont requises pour chaque utilisateur simultané qui accède à des ressources distantes.

Profil Receiver

Configurez l’URL du service de comptes de profil de session sur https://accounts.example.com/Citrix/Roaming/Accounts et NON sur https://storefront.example.com/Citrix/Roaming/Accounts.

Ajoutez également cette URL en tant que <allowedAudiences> supplémentaire dans les fichiers de configuration d’authentification et d’itinérance web.config sur le serveur StoreFront. Pour de plus amples informations, consultez la section « Configurer l’URL de base de l’hôte serveur StoreFront, la passerelle et le certificat SSL » ci-dessous.

Profil Receiver pour Web

Paramètres ICA Proxy et du mode Basic

Si vous utilisez un serveur proxy ICA, activez le mode de base sur la page des propriétés du serveur virtuel Citrix Gateway. Seule une licence de plate-forme Citrix ADC est requise.

Profil Receiver

Profil Receiver pour Web

Configurer l’URL de base de l’hôte serveur StoreFront, la passerelle et le certificat SSL

Le même nom de domaine complet (FQDN) partagé résolu sur le serveur virtuel Citrix Gateway doit également être résolu directement sur l’équilibrage de la charge StoreFront, si un cluster StoreFront a été créé ou qu’une seule adresse IP StoreFront héberge le magasin.

DNS interne : créez trois enregistrements A DNS

• storefront.exemple.com doit être résolu sur l’équilibrage de charge StoreFront ou sur une adresse IP du serveur StoreFront.
• storefrontcb.exemple.com doit être résolu sur l’adresse IP virtuelle du vServer de la passerelle, par conséquent si un pare-feu est présent entre la DMZ et le réseau local d’entreprise, tenez-en compte.
• accounts.exemple.com : créez un alias DNS pour storefront.exemple.com. Cela permet également la résolution sur l’adresse IP d’équilibrage de charge pour le cluster StoreFront ou une adresse IP du serveur StoreFront.

Exemple de certificat de serveur StoreFront : storefront.exemple.com

1. Créez un certificat approprié pour le serveur StoreFront ou groupe de serveurs avant l’installation de StoreFront.

2. Ajoutez le nom de domaine complet partagé aux champs Nom commun et DNS. Assurez-vous qu’ils correspondent au nom de domaine complet (FQDN) utilisé dans le certificat SSL lié au serveur virtuel Citrix Gateway que vous avez créé précédemment ou utilisez le même certificat lié au serveur virtuel Citrix Gateway.

3. Ajoutez l’alias de compte (accounts.example.com) comme un autre SAN au certificat. Notez que l’alias de compte utilisé dans le SAN est celui utilisé dans le profil de session de Citrix Gateway dans la procédure précédente - Stratégie et profil de session de passerelle Receiver natifs.

   

4. Vérifiez que la clé privée est exportable de façon à ce que le certificat puisse être transféré vers un autre serveur ou vers de multiples nœuds de groupe de serveurs StoreFront.

   

5. Signez le certificat à l’aide d’une autorité de certification tierce telle que Verisign, l’autorité de certification racine de votre entreprise ou une autorité de certification intermédiaire.

6. Exportez le certificat au format PFX y compris la clé privée.

7. Importez le certificat et la clé privée sur le serveur StoreFront. Si vous déployez un cluster StoreFront NLB Windows, importez le certificat sur chaque nœud. Si vous utilisez un autre équilibreur de charge, tel qu’un serveur virtuel d’équilibrage de charge Citrix ADC, importez le certificat sur ce dernier.

8. Créez une liaison HTTPS dans IIS sur le serveur StoreFront et liez-y le certificat SSL importé.

   

9. Configurez l’adresse URL de l’hôte de base sur le serveur StoreFront pour correspondre au nom de domaine complet (FQDN) partagé déjà choisi.

   Remarque :

   StoreFront sélectionne toujours automatiquement le dernier Autre nom de l’objet dans la liste des SAN dans le certificat. Il s’agit simplement d’une suggestion d’adresse URL de base de l’hôte destinée à aider les administrateurs StoreFront Cette adresse est généralement correcte. Vous pouvez la définir manuellement sur toute adresse HTTPS://<FQDN> valide à condition qu’elle existe dans le certificat en tant que SAN. Exemple : https://storefront.example.com.

Modifier l’URL de base du serveur HTTP et la remplacer par HTTPS

L’option d’URL de base de l’hôte est disponible lors de la configuration du déploiement d’un serveur unique ou d’un groupe de serveurs sur Citrix StoreFront. Cette option s’applique aux clients qui ont installé et configuré Citrix StoreFront sans certificat de serveur. Après avoir installé le certificat, assurez-vous que StoreFront et ses services utilisent une connexion sécurisée.

Remarque :

L’administrateur informatique doit générer et installer un certificat de serveur sur le serveur Citrix StoreFront avant d’exécuter cette procédure. En outre, une liaison IIS doit être créée via HTTPS (443) pour sécuriser toute nouvelle connexion.

Procédez comme suit pour modifier l’URL de base sur StoreFront 3.x :

1. Dans StoreFront, cliquez sur Groupe de serveurs dans le panneau de gauche.
2. Cliquez sur Changer l’URL de base dans le panneau de droite.

3. Tapez l’URL de base et cliquez sur OK.

   

Configurez la passerelle sur le serveur StoreFront : storefront.example.com

1. Dans le nœud Magasins, cliquez sur Gérer Citrix Gateway dans le panneau Actions.

2. Sélectionnez la passerelle dans la liste Passerelle et cliquez sur Modifier.

   

3. Sur la page Paramètres généraux, indiquez le nom de domaine complet partagé dans le champ URL Citrix Gateway.

4. Sélectionnez l’onglet Paramètres d’authentification et entrez le nom de domaine complet (FQDN) de rappel dans le champ d’adresse URL de rappel.

   

5. Sélectionnez l’onglet Secure Ticket Authority et vérifiez que les serveurs Secure Ticket Authority (STA) correspondent à la liste des Delivery Controller déjà configurés dans le nœud Magasin.

6. Activez l’accès à distance pour le magasin.

7. Définissez manuellement la balise interne sur les alias de compte (comptes.exemple.com) et elle ne doit pas pouvoir être résolue en dehors de la passerelle. Ce nom de domaine complet (FQDN) doit être différent de la balise externe qui est partagée par l’adresse URL de base de l’hôte StoreFront et le serveur virtuel Citrix Gateway (storefront.exemple.com). N’utilisez PAS le nom de domaine complet (FQDN) partagé car cela crée une situation dans laquelle les balises internes et externes sont identiques.

   

Prise en charge de la découverte à l’aide de multiples noms de domaine complets

Pour permettre à l’application Citrix Workspace de découvrir un magasin à l’aide de plusieurs noms de domaine complets, procédez comme suit. Si la configuration du fichier de provisioning est insuffisante ou si vous utilisez uniquement Receiver pour Web, vous pouvez ignorer les étapes suivantes.

Ajoutez une entrée <allowedAudiences> supplémentaire dans C:\inetpub\wwwroot\Citrix\Authentication\web.config. Il y a deux entrées <allowedAudiences> dans ce fichier. Seule la première entrée dans le fichier pour Authentication Token Producer nécessite que vous ajoutiez une autre entrée <allowedAudience>.

1. Dans la section <service id>, trouvez la chaîne <allowedAudiences>. Ajoutez une ligne pour audience="https://accounts.example.com/" comme indiqué ici. Enregistrez et fermez le fichier web.config.

   <service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer">
   ...
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   <!--NeedCopy-->
   

2. Dans C:\inetpub\wwwroot\Citrix\Roaming\web.config, recherchez la section <tokenManager> et ajoutez une ligne pour audience="https://accounts.example.com/" comme indiqué ici. Enregistrez et fermez le fichier web.config.

   <tokenManager>
   <services>
   <clear />
   ...
   </trustedIssuers>
   <allowedAudiences>
   <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
   <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
   </allowedAudiences>
   </service>
   </services>
   </tokenManager>
   <!--NeedCopy-->
   

Vous pouvez également exporter le fichier de provisioning natif Receiver .CR pour le magasin. Cela élimine la nécessité de configurer la première utilisation de l’application Citrix Workspace. Distribuez ce fichier à tous les clients des applications Citrix Workspace pour Windows et Mac.

Si l’application Citrix Workspace est installée sur le client, le type de fichier .CR est reconnu et il suffit de double-cliquer sur le fichier de provisioning pour démarrer l’importation.