Citrix Gateway

在双跃点 DMZ 部署中管理 SSL 证书

必须安装加密双跃点 DMZ 部署中组件之间的连接所需的 SSL 证书。

在双跃点 DMZ 部署中,部署中涉及的各个组件之间存在多种不同类型的连接。这些连接没有端到端 SSL 加密。但是,每个连接都可以单独加密。

加密连接需要您在连接中涉及的组件上安装适当的 SSL 证书(可信的根证书或服务器证书)。

下表显示了通过第一个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。必须通过第一个防火墙对连接进行加密,以确保通过 Internet 发送的流量的安全。

通过第一个防火墙进行连接 加密所需的证书
来自互联网的 Web 浏览器连接到第一个 DMZ 中的 Citrix Gateway。 第一个 DMZ 中的 Citrix Gateway 必须安装 SSL 服务器证书。Web 浏览器必须安装与 Citrix Gateway 上的服务器证书相同的证书颁发机构 (CA) 签名的根证书证书。
来自互联网的 Citrix Workspace 应用程序连接到第一个 DMZ 中的 Citrix Gateway。 此连接的证书管理与 Web 浏览器到 Citrix Gateway 连接相同。如果您安装了证书来加密 Web 浏览器连接,则此连接也会使用这些证书加密。

下表显示了通过第二个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。对这些连接进行加密可增强安全性,但不是强制性的。

通过第二个防火墙进行连接 加密所需的证书
第一个 DMZ 中的 Citrix Gateway 连接到第二个 DMZ 中的 Web Interface。 StoreFront 或 Web Interface 必须安装 SSL 服务器证书。第一个 DMZ 中的 Citrix Gateway 必须安装与 Web Interface 上的服务器证书相同的 CA 签名的根证书。
第一个 DMZ 中的 Citrix Gateway 连接到第二个 DMZ 中的 Citrix Gateway。 第二个 DMZ 中的 Citrix Gateway 必须安装 SSL 服务器证书。第一个 DMZ 中的 Citrix Gateway 必须安装与第二个 DMZ 中 Citrix Gateway 上的服务器证书相同的 CA 签名的根证书。

下表显示了通过第三个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。对这些连接进行加密可增强安全性,但不是强制性的。

通过第三个防火墙进行连接 加密所需的证书
StoreFront 或第二个 DMZ 中的 Web Interface 连接到内部网络中服务器上托管的 XML 服务。 如果 XML Service 在 Citrix Virtual Apps 服务器上的 Microsoft Internet Information Services (IIS) 服务器上运行,则必须在 IIS 服务器上安装 SSL 服务器证书。如果 XML Service 是标准 Windows 服务(不驻留在 IIS 中),则必须在服务器上的 SSL Relay 内安装 SSL 服务器证书。StoreFront 或 Web Interface 必须安装与 Microsoft IIS 服务器或 SSL Relay 上安装的服务器证书相同的 CA 签名的根证书。
StoreFront 或第二个 DMZ 中的 Web Interface 连接到内部网络中服务器上托管的 STA。 此连接的证书管理与 Web Interface 到 XML 服务连接相同。您可以使用相同的证书来加密此连接。(服务器证书必须驻留在 Microsoft IIS 服务器或 SSL Relay 上。必须在 Web Interface 上安装相应的根证书。)
第二个 DMZ 中的 Citrix Gateway 连接到内部网络中服务器上托管的 STA。 此连接中 STA 的 SSL 服务器证书管理与此表中讨论的前两个连接所描述的相同。(服务器证书必须驻留在 Microsoft IIS 服务器或 SSL Relay 上。) 第二个 DMZ 中的 Citrix Gateway 必须安装与 STA 和 XML Service 使用的服务器证书相同的 CA 签名的根证书。
第二个 DMZ 中的 Citrix Gateway 与内部网络中的服务器上的已发布应用程序建立 ICA 连接。 SSL 服务器证书必须安装在托管已发布应用程序的服务器上的 SSL Relay 中继中。第二个 DMZ 中的 Citrix Gateway 代理必须安装与 SSL Relay 中安装的服务器证书相同的 CA 签名的根证书。
在双跃点 DMZ 部署中管理 SSL 证书

在本文中