在双跳 DMZ 部署中管理 SSL 证书

必须安装加密双跳 DMZ 部署中组件之间的连接所需的 SSL 证书。

在双跳 DMZ 部署中,部署中涉及的各个组件之间存在多种不同类型的连接。这些连接没有端到端 SSL 加密。但是,每个连接都可以单独加密。

加密连接需要您在连接中涉及的组件上安装适当的 SSL 证书(可信的根证书或服务器证书)。

下表显示了通过第一个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。必须通过第一个防火墙对连接进行加密,以确保通过 Internet 发送的流量的安全。

通过第一个防火墙进行连接 加密所需的证书
来自互联网的 Web 浏览器连接到第一个 DMZ 中的 Citrix 网关。 第一个 DMZ 中的 Citrix 网关必须安装 SSL 服务器证书。Web 浏览器必须安装与 Citrix 网关上的服务器证书相同的证书颁发机构 (CA) 签名的根证书证书。
从互联网的思杰接收器连接到思杰网关在第一个 DMZ. 此连接的证书管理与 Web 浏览器到 Citrix 网关连接相同。如果您安装了证书来加密 Web 浏览器连接,则此连接也会使用这些证书加密。

下表显示了通过第二个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。对这些连接进行加密可增强安全性,但不是强制性的。

通过第二个防火墙进行连接 加密所需的证书
第一个 DMZ 中的 Citrix 网关连接到第二个 DMZ 中的 Web 界面。 店面或 Web 界面必须安装 SSL 服务器证书。第一个 DMZ 中的 Citrix 网关必须安装与 Web 界面上的服务器证书相同的 CA 签名的根证书。
第一个 DMZ 中的 Citrix 网关连接到第二个 DMZ 中的 Citrix 网关。 第二个 DMZ 中的 Citrix 网关必须安装 SSL 服务器证书。第一个 DMZ 中的 Citrix 网关必须安装与第二个 DMZ 中 Citrix 网关上的服务器证书相同的 CA 签名的根证书。

下表显示了通过第三个防火墙发生的连接以及对其中每个连接进行加密所需的 SSL 证书。对这些连接进行加密可增强安全性,但不是强制性的。

通过第三个防火墙进行连接 加密所需的证书
StoreFront 或第二个 DMZ 中的 Web 界面连接到内部网络中服务器上托管的 XML 服务。 如果 XML 服务在 Citrix 虚拟应用程序服务器上的 Microsoft Internet 信息服务 (IIS) 服务器上运行,则必须在 IIS 服务器上安装 SSL 服务器证书。如果 XML 服务是标准 Windows 服务(不驻留在 IIS 中),则必须在服务器上的 SSL 中继内安装 SSL 服务器证书。StoreFront 或 Web 界面必须安装与 Microsoft IIS 服务器或 SSL 中继上安装的服务器证书相同的 CA 签名的根证书。
StoreFront 或第二个 DMZ 中的 Web 界面连接到内部网络中服务器上托管的 STA。 此连接的证书管理与 Web 界面到 XML 服务连接相同。您可以使用相同的证书来加密此连接。(服务器证书必须驻留在 Microsoft IIS 服务器或 SSL 中继上。必须在 Web 界面上安装相应的根证书。)
第二个 DMZ 中的 Citrix 网关连接到内部网络中服务器上托管的 STA。 此连接中 STA 的 SSL 服务器证书管理与此表中讨论的前两个连接所描述的相同。(服务器证书必须驻留在 Microsoft IIS 服务器或 SSL 中继上。) 第二个 DMZ 中的 Citrix 网关必须安装与 STA 和 XML 服务使用的服务器证书相同的 CA 签名的根证书。
第二个 DMZ 中的 Citrix 网关与内部网络中的服务器上的已发布应用程序建立 ICA 连接。 SSL 服务器证书必须安装在托管已发布应用程序的服务器上的 SSL Relay 中继中。第二个 DMZ 中的 Citrix 网关代理必须安装与 SSL 中继中安装的服务器证书相同的 CA 签名的根证书。

在双跳 DMZ 部署中管理 SSL 证书