安全规划

规划 Citrix Gateway 部署时,应了解与证书以及身份验证和授权相关的基本安全问题。

配置安全证书管理

默认情况下,Citrix Gateway 包括一个自签名的安全套接字层 (SSL) 服务器证书,该证书允许设备完成 SSL 握手。自签名证书足以用于测试或示例部署,但 Citrix 不建议将其用于生产环境。在生产环境中部署 Citrix 网关之前,Citrix 建议您从已知证书颁发机构 (CA) 请求并接收签名 SSL 服务器证书,然后将其上传到 Citrix 网关。

如果在 Citrix 网关必须作为 SSL 握手中的客户端运行的任何环境中部署 Citrix 网关(启动与其他服务器的加密连接),则还必须在 Citrix 网关上安装受信任的根证书。例如,如果使用 Citrix 虚拟应用程序和 Web 界面部署 Citrix 网关,则可以使用 SSL 对从 Citrix 网关到 Web 界面的连接进行加密。在此配置中,必须在 Citrix 网关上安装受信任的根证书。

身份验证支持

您可以配置 Citrix Gateway 以对用户进行身份验证,并控制用户对内部网络上网络资源的访问(或授权)级别。

在部署 Citrix Gateway 之前,您的网络环境应具有目录和身份验证服务器,以支持以下身份验证类型之一:

  • LDAP
  • 半径
  • 战术 +
  • 具有审核和智能卡支持的客户端证书
  • 具有 RADIUS 配置的 RSA
  • SAML 身份验证

如果您的环境不支持上述列表中的任何身份验证类型,或者远程用户数量较少,则可以在 Citrix Gateway 上创建本地用户列表。然后,您可以配置 Citrix 网关以根据此本地列表对用户进行身份验证。使用此配置,您不需要在单独的外部目录中维护用户帐户。

安全规划