Intégrer avec Citrix Gateway et Citrix ADC

Utilisez Citrix Gateway avec StoreFront pour fournir un accès distant sécurisé aux utilisateurs en dehors du réseau d’entreprise et Citrix ADC pour fournir l’équilibrage de charge.

Planifier l’utilisation des certificats de serveur et des passerelles

L’intégration de StoreFront avec Citrix ADC et Citrix Gateway requiert de planifier l’utilisation des certificats de serveur et des passerelles. Déterminez quels composants Citrix vont nécessiter des certificats de serveur dans votre déploiement :

  • Planifiez d’obtenir des certificats auprès de serveurs connectés à Internet et des passerelles auprès d’autorités de certification externes. Il est possible que les machines clientes ne fassent pas automatiquement confiance aux certificats signés par une autorité de certification interne.
  • Planifiez pour des deux noms de serveurs externes et internes. De nombreuses organisations ont des espaces de noms séparés pour une utilisation interne et externe, tels que example.com (externe) et example.net (interne). Un seul certificat peut contenir ces deux types de noms à l’aide de l’extension Autre nom de l’objet (SAN). Cela n’est généralement pas recommandé. Une autorité de certification publique émettra uniquement un certificat si le domaine de niveau supérieur (TLD) est enregistré auprès de l’IANA. Dans ce cas, certains noms de serveurs internes communément utilisés (tels que exemple.local) ne peuvent pas être utilisés et des certificats distincts pour les noms internes et externes sont requis.
  • Utilisez des certificats distincts pour les serveurs externes et internes, lorsque cela est possible. Une passerelle peut prendre en charge plusieurs certificats en liant un certificat différent à chaque interface.
  • Évitez de partager des certificats entre des serveurs accessibles via Internet et non accessibles via Internet. Ces certificats seront probablement différents, avec des périodes de validité différentes et des stratégies de révocation différentes de celles des certificats émis par vos autorités de certification internes.
  • Partagez des certificats « génériques » uniquement entre des services équivalents. Évitez de partager un certificat entre des types de serveurs différents (par exemple les serveurs StoreFront et d’autres types de serveurs). Évitez de partager un certificat entre des serveurs se trouvant sous un contrôle administratif différent, ou qui ont des stratégies de sécurité différentes. Exemples typiques de serveurs qui fournissent un service équivalent :
    • Un groupe de serveurs StoreFront et le serveur chargé d’en équilibrer la charge.
    • Un groupe de passerelles accessibles via Internet au sein du répartiteur GSLB.
    • Un groupe de contrôleurs Citrix Virtual Apps and Desktops qui fournissent des ressources équivalentes.
  • Planifiez le stockage de la clé privée sur du matériel sécurisé. Les passerelles et les serveurs, y compris certains modèles de Citrix ADC, peuvent stocker la clé privée de manière sécurisée au sein d’un module de sécurité matériel (HSM) ou d’un module de plateforme sécurisée (TPM). Pour des raisons de sécurité, ces configurations ne sont généralement pas conçues pour prendre en charge le partage de certificats et de leurs clés privées ; consultez la documentation accompagnant le composant. Si vous mettez en place un répartiteur GSLB avec Citrix Gateway, cela peut nécessiter que chaque passerelle au sein du répartiteur GSLB dispose d’un certificat identique, contenant tous les noms de domaine complets que vous souhaitez utiliser.

Pour plus d’informations sur la sécurisation de votre déploiement Citrix, consultez l’article technique Chiffrement de bout en bout avec Citrix Virtual Apps and Desktops et la section Sécuriser dans la documentation Citrix Virtual Apps and Desktops.

Configurer la connexion à StoreFront lorsque l’authentification est désactivée sur Citrix Gateway VIP

Connectez-vous à StoreFront lorsque l’authentification est désactivée sur Citrix Gateway VIP. Cette procédure fonctionne dans deux scénarios : Réseaux internes. Le lancement d’application échoue depuis les emplacements distants car les STA ne peuvent pas être utilisées lorsque l’authentification est désactivée sur Citrix Gateway si l’en-tête X-Citrix-Gateway est transmis à StoreFront. Citrix Receiver pour Web. Les clients Receiver ne s’authentifient pas si l’authentification n’est pas activée sur Citrix Gateway VIP.

Changements sur le serveur StoreFront

  1. Désactivez le champ Exiger la cohérence des jetons :
    • StoreFront 3.0
      1. Modifiez le fichier web.config pour le site Web du magasin. Par exemple, si le nom d’un magasin StoreFront est NoAuth, le chemin d’accès au fichier web.config sur le serveur StoreFront est inetpub\wwwroot\Citrix\NoAuth.
    1. Recherchez la ligne suivante dans le fichier web.config et définissez la valeur sur true. Avant <resourcesGateways requireTokenConsistency="true"> Après <resourcesGateways requireTokenConsistency="false">

      Remarque :

      Sur StoreFront 3.x, l’option Exiger la cohérence des jetons est une case à cocher dans l’interface graphique. Pour de plus amples informations, consultez la section Paramètres de magasin avancés.

    2. Enregistrez le fichier web.config, puis redémarrez le service IIS.

  2. Ouvrez la console de gestion Citrix StoreFront.

  3. Cliquez sur Gérer les sites Receiver pour Web pour le Web.

  4. Sélectionnez le site Citrix Receiver pour Web correspondant, cliquez sur Configurer, puis sélectionnez Méthodes d’authentification.

  5. Assurez-vous que l’option Authentification pass-through via Citrix Gateway n’est pas sélectionnée.

Remarque :

Nous supposons que Citrix Gateway et l’accès à distance sont configurés sur le serveur StoreFront.

Changements sur Citrix Gateway

  1. Ouvrez le serveur virtuel Citrix Gateway.

  2. Cliquez sur l’onglet Authentification et assurez-vous que la case à cocher Activer l’authentification n’est pas sélectionnée.

  3. Liez la stratégie de session correspondante au serveur virtuel Citrix Gateway.

  4. Testez la connexion.