完成连接

完成连接是双跳 DMZ 部署中用户连接过程的第四个也是最后一个阶段。

在连接完成阶段,会发生以下基本过程:

  • 用户在 Web 界面中单击指向已发布应用程序的链接。
  • Web 浏览器接收由 Web 界面生成的 ICA 文件并启动 Citrix Receiver。 注意:ICA 文件包含指示 Web 浏览器启动 Receiver 的代码。
  • 接收器在第一个 DMZ 中启动与 Citrix 网关的 ICA 连接。
  • 第一个 DMZ 中的 Citrix 网关与内部网络中的安全票证颁发机构 (STA) 通信,以便将会话票证中的别名地址解析为运行 Citrix 虚拟应用程序或 StoreFront 的计算机的真实 IP 地址。此通信由 Citrix 网关代理通过第二个 DMZ 进行代理。
  • 第一个 DMZ 中的 Citrix 网关完成与 Recever 的 ICA 连接。
  • Receiver 现在可以通过两个 Citrix 网关设备与内部网络上运行 Citrix 虚拟应用程序的计算机进行通信。

完成用户连接过程的详细步骤如下:

  1. Receiver 将已发布应用程序的 STA 票证发送到第一个 DMZ 中的 Citrix 网关。
  2. 第一个 DMZ 中的 Citrix 网关与内部网络中的 STA 联系以进行票证验证。若要与 STA 联系,Citrix 网关会在第二个 DMZ 中建立一个 SOCKS 或 SOCKS 与 Citrix 网关代理的 SSL 连接。
  3. 第二个 DMZ 中的 Citrix 网关代理将票证验证请求传递给内部网络中的 STA。STA 验证票证并将其映射到运行承载已发布应用程序的 Citrix 虚拟应用程序的计算机。
  4. STA 向第二个 DMZ 中的 Citrix 网关代理发送响应,该响应将传递给第一个 DMZ 中的 Citrix 网关。此响应完成票证验证,并包括承载已发布应用程序的计算机的 IP 地址。
  5. 第一个 DMZ 中的 Citrix 网关将 Citrix 虚拟应用程序服务器的地址合并到用户连接数据包中,并将此数据包发送到第二个 DMZ 中的 Citrix 网关代理。
  6. 第二个 DMZ 中的 Citrix 网关代理向连接数据包中指定的服务器发出连接请求。
  7. 服务器响应第二个 DMZ 中的 Citrix 网关代理。第二个 DMZ 中的 Citrix 网关代理将此响应传递给第一个 DMZ 中的 Citrix 网关,以完成第一个 DMZ 中的服务器与 Citrix 网关之间的连接。
  8. 第一个 DMZ 中的 Citrix 网关通过将最终连接数据包传递给用户设备来完成 SSL/TLS 握手。建立从用户设备到服务器的连接。
  9. ICA 流量通过第一个 DMZ 中的 Citrix 网关和第二个 DMZ 中的 Citrix 网关代理在用户设备和服务器之间流动。

完成连接