Citrix Gateway

使用经典策略在 Windows 登录之前配置始终在 VPN 上

必备条件

  • Citrix Gateway 和 VPN 插件必须是 12.0.51.24 及更高版本

  • 使用传统策略,您只能配置计算机级隧道。有关用户级隧道配置,请参阅[高级策略配置链接]

通过使用 GUI 中的经典策略在 Windows 登录之前配置 AlwaysOn VPN

Windows 登录之前 AlwaysOn VPN 支持以下两种配置:

  • 设备证书身份验证
  • 客户端证书身份验证

基于设备证书的身份验证

  1. 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器
  2. 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑
  3. 在 VPN 虚拟服务器页上的“基本设置”部分下,单击“编辑”。
  4. 清除“启用身份验证”框以禁用身份验证并通过选中“启用设备证 书”框启用设备证书启用设备证书
  5. 单击“添加”以将可用设备证书颁发者的 CA 证书名称添加到列表中。

  6. 要将 CA 证书绑定到虚拟服务器,请单击“证书”部分下的 CA书。 单击SSL 虚拟服务器 CA 证书绑定页面下的 **添加 绑定** 。

  7. 单击文本, 单击以选择选 择所需的证书。

    本地化后的图片

  8. 选择所需的 CA 证书。

    本地化后的图片

  9. 单击 Bind(绑定)。

  10. 单击“确定”以保存配置。

基于客户端证书的身份验证

  1. 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器
  2. 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑
  3. 在导航窗格的 身份验证下,单击 CERT
  4. 在详细信息窗格中,单击 Add(添加)。
  5. 名称字 段中,键入策略的名称。
  6. 单击服务器旁边的 新建
  7. 在“名称”中,键入配置文件的名称。
  8. 选择“双 因子”旁边的“关”。
  9. 在“用户名组名”中,选择值,然后单击“创建”。
  10. 在“创建身份验证策略”对话框的命名表达式旁边,选择表达式,单击“添加表达 式”,单击“创建”,然后单击“关闭”。
  11. 将表达式绑定到虚拟服务器。
  12. 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器
    1. 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑
    2. 在“配置 Citrix Gateway 虚拟服务器”对话框中,单击“身份验证”选项卡。
    3. 单击“主要”,然后在“详细信息”下单击“插入策略”。
    4. 在策略名称中,选择策略,然后单 击确定
    5. 在 VPN 虚拟服务器页面上,创建 SSL 配置文件。
    6. 在“拒绝 SSL 重新协商”中,仅针对非安全请求选择“非安全”。 SSL 配置文件
  13. 单击确定

客户端配置

AlwaysOn、locationDetection 和 suffixList 注册表是可选的,仅当需要位置检测功能时才需要。

注册表项 注册表类型 值和说明
AlwaysOnService REG_DWORD 1 => 在没有用户角色的情况下启用 AlwaysOn 服务; 2 => 对用户角色启用 AlwaysOn 服务
AlwayOnURL REG SZ Citrix Gateway 虚拟服务器用户要连接的 URL。示例:https://xyz.companyDomain.com
AlwaysOn REG_DWORD 1 => 在 VPN 故障时允许网络访问;2=> 在 VPN 故障时阻止网络访问
locationDetection REG_DWORD 1 => 启用位置检测; 0 => 禁用位置检测
suffixList REG SZ 以逗号分隔的内联网域列表。启用位置检测时使用。
使用经典策略在 Windows 登录之前配置始终在 VPN 上