Citrix Gateway

为 Citrix Endpoint Management 环境配置设置

适用于 Citrix Endpoint Management 的 Citrix ADC 向导将指导您完成适用于 Citrix Endpoint Management 部署的 Citrix ADC 功能的配置。您可以使用向导执行以下操作:

  • 设置一个微型 VPN。在这种情况下,远程用户可以访问内部网络中的应用程序和桌面。

    • 对于 Citrix Endpoint Management 模式,必须使用 Citrix Gateway 进行身份验证。

    • 对于 MDM 部署,Citrix 推荐用于移动设备 VPN 的 Citrix Gateway。

    • 对于 ENT 部署,如果用户选择退出 MDM 注册,则设备将在旧版 MAM 模式下运行,并使用 Citrix Gateway FQDN 进行注册。

  • 配置基于证书的身份验证。Citrix Endpoint Management 的默认配置为用户名和密码身份验证。要为 Citrix Endpoint Management 环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。
  • 对 Citrix Endpoint Management 服务器进行负载平衡。如果您有多个 Citrix Endpoint Management 服务器,或者 Citrix Endpoint Management 位于 DMZ 或内部网络中(因此流量从设备流向 Citrix ADC,再流向 Citrix Endpoint Management),则所有 Citrix Endpoint Management 设备模式都需要 Citrix ADC 负载平衡。在这种情况下,Citrix ADC 设备位于用户设备与 Citrix Endpoint Management 服务器之间的 DMZ 中,以便对从移动设备发送到 Citrix Endpoint Management 服务器的加密数据进行负载平衡。
  • 通过电子邮件筛选功能对 Microsoft Exchange Server 进行负载平衡。在这种情况下,Citrix ADC 设备位于用户设备与 Citrix Endpoint Management Citrix ADC Connector (XNC) 之间,以及用户设备与 Microsoft Exchange CAS 服务器之间。来自用户设备的所有请求都会转到 Citrix Gateway 设备,然后该设备与 XNC 通信以检索有关设备的信息。根据来自 XNC 的响应,Citrix ADC 设备将请求从列入白名单的设备转发到内部网络中的服务器,或从列入黑名单的设备中断连接。
  • 根据请求的内容类型对 ShareFile StorageZones Connector 进行 负载平衡。此方案提示您输入有关 StorageZones Controller 环境的基本信息,然后生成执行以下操作的配置:
    • 在 StorageZones Controller 对流量进行负载平衡。
    • 为存储区域连接器提供用户身份验证。
    • 验证 ShareFile 上载和下载的 URI 签名。
    • 终止 Citrix ADC 设备上的 SSL 连接。

有关配置 ShareFile 的更多信息,请参阅为 StorageZones Controller 配置 Citrix ADC

重要

在使用 Citrix Endpoint Management 向导之前,请务必参阅以下 Citrix Endpoint Management 部署文章,了解设计和部署信息及建议:

Citrix Endpoint Management 集成

将 Citrix Gateway 与 Citrix ADC 相集成

MDX 应用程序的 SSO 和代理注意事项

身份验证

只能使用适用于 Citrix Endpoint Management 的 Citrix ADC 向导一次。如果需要多个 Citrix Endpoint Management 实例(例如,用于测试、开发和生产环境),必须手动为其他环境配置 Citrix ADC。以下支持文章列出了向导运行的命令,并提供了运行这些命令以创建新 Citrix ADC 实例的说明:

Citrix ADC 上的 Citrix Endpoint Management 向导生成的命令 - SSL 桥接

Citrix ADC 上的 Citrix Endpoint Management 向导生成的命令 - SSL 卸载

Citrix ADC 功能的许可证要求

您必须安装许可证才能启用以下 Citrix ADC 功能:

  • Citrix Endpoint Management MDM 负载平衡需要 Citrix ADC 标准许可证。
  • 使用 StorageZones 进行 ShareFile 负载平衡需要 Citrix ADC 标准许可证。
  • Exchange 负载平衡需要 Citrix ADC 许可证或高级许可证,并添加了集成缓存许可证。

适用于 Citrix Endpoint Management 的 Citrix ADC 向导

本部分提供了使用适用于 Citrix Endpoint Management 的 Citrix ADC 向导的示例:

  • 为远程用户与您的内部网络中的 Citrix Endpoint Management 托管的资源设置 Micro VPN 访问权限
  • 配置基于证书的身份验证。有关获取和安装公用 SSL 证书的信息,请参阅安装和管理证书
  • 为 Citrix Endpoint Management 服务器配置负载平衡。

要使用向导,请执行以下操作:

  1. 在配置实用程序中,单击配置选项卡,然后单击 Citrix Endpoint Management

    本地化后的图片

  2. 选择 Citrix Endpoint Management 版本,然后单击开始
  3. 选中要配置的功能的复选框。请记住,您只能使用一次此向导,因此您需要手动执行后续配置。这些说明假定您选择了以下设置: 通过 Citrix Gateway 访问(适用于在 ENT 或 MAM 模式下运行的 Citrix Endpoint Management) 对 Citrix Endpoint Management 服务器进行负载平衡

    本地化后的图片

  4. Citrix Gateway 设置页面上,输入面向外部的 Citrix Gateway IP 地址端口虚拟服务器名称的值。

    本地化后的图片

  5. Citrix Gateway 的服务器证书 页上,从“证书文件”下拉菜单中,从“本地”或“设备”中选择证书文件。如果您的证书位于本地计算机上:

    本地化后的图片

    如果您的证书位于设备上:

    本地化后的图片

  6. 在“身份验证设置”页的“主身份验证方法”字段中,选择“客户端证书”。

    这将在接下来的两个字段中自动选择“使用现有证书策略”和“证书 身份验 证”。以下步骤假定您已经有证书策略。

    如果需要创建证书策略,请单击“创建证书策略”并完成设置。在 Citrix Endpoint Management 证书屏幕上,选择现有服务器证书或安装新证书。如果您正在运行多个 Citrix Endpoint Management 服务器,则将为每个服务器添加一个证书。对于服务器登录名称属性,请根据您的要求指定 userPrincipalNamesamAccountName

    本地化后的图片

    • a. 选择“单击此处”以更改 CA 证书 ,然后在“浏览”列表中导航到所需的 CA 证书。

      本地化后的图片

    • b. 将客户端证书作为主身份验证类型,您可以选择将 LDPA(或 RADIUS)配置为辅助身份验证类型。

      若要仅使用客户端证书身份验证,请将 第二个身份验证方法 保留为 ,然后单击 继续

      要使用客户端证书 + 域 (LDAP) 身份验证,请将 第二个身份验证方法 更改为 LDAP 并配置身份验证服务器设置。

    • c. 在设备证书屏幕上,如果尚未安装证书,则必须从 Citrix Endpoint Management 控制台导出此证书:在控制台中,单击右上角的齿轮图标以打开设置屏幕。

    • d. 单击 证书 ,然后从列表中选择 CA 证书。

    • e. 单击导出

    • f. 返回到 Citrix ADC 向导,然后选择导出(下载)的证书以进行安装。

    • g. 单击继续

    此时将显示您配置的 Citrix Endpoint Management IP 地址。

  7. 配置 Citrix Endpoint Management 应用程序管理设置

    本地化后的图片

    • 输入 Citrix Endpoint Management FQDN。这是适用于 MAM 的负载平衡 FQDN。
    • 为对 Citrix Endpoint Management 服务器进行负载平衡的虚拟服务器输入仅 MAM 内部负载平衡 IP 地址。Citrix Gateway 通过此 MAM 负载平衡虚拟 IP 与 Citrix Endpoint Management 进行通信。
    • 这是 SSL 卸载部署,因此,请在与 Citrix Endpoint Management 的通信中选择 HTTP
    • MicroVPN 字段的拆分 DNS 模式 自动设置为 两者

    如果您的部署需要拆分隧道,请选择“启用拆分隧道”。接下来,如果启用拆分隧道,则必须配置 Intranet 应用程序绑定。

    默认情况下,Secure Web 访问通道到内部网络,这意味着 Secure Web 使用每个应用程序的 VPN 通道返回到内部网络进行所有网络访问,Citrix ADC 设备使用拆分通道设置。

    本地化后的图片

  8. 要为 Citrix Gateway 上的用户连接配置拦截规则,必须配置 Intranet 应用程序绑定。单击 + 以 添加绑定。

    本地化后的图片

  9. 完成允许网络访问的参数,然后单击 创建

    本地化后的图片

  10. 添加 Citrix Endpoint Management 证书。这将用于 MAM 负载平衡虚拟服务器。

    本地化后的图片

  11. Citrix Endpoint Management 服务器下,单击添加服务器以添加 Citrix Endpoint Management IP 地址以绑定到负载平衡虚拟 IP。

    本地化后的图片

  12. 在 Citrix ADC 控制板上,确认 Citrix Gateway 和 Citrix Endpoint Management 是否按如下所示进行配置。

    本地化后的图片

    如果您将使用用户证书中的 sAMAccount 属性作为用户主体名称 (UPN) 的替代品,请按照中所述配置证书配置文件手动配置 Citrix Gateway 以进行客户端证书身份验证

为 Citrix Endpoint Management 环境配置设置