Citrix Gateway

为 Citrix Endpoint Management 环境配置设置

适用于 Citrix Endpoint Management 的 Citrix ADC 向导将指导您完成 Citrix Endpoint Management 部署的 Citrix ADC 功能的配置。您可以使用向导执行以下操作:

  • 设置微型 VPN。在这种情况下,远程用户可以访问内部网络中的应用程序和桌面。

    • 对于 Citrix Endpoint Management 仅 MAM 模式,必须使用 Citrix Gateway 进行身份验证。

    • 对于 MDM 部署,Citrix 建议对移动设备 VPN 使用 Citrix Gateway。

    • 对于耳鼻喉科部署,如果用户选择退出 MDM 注册,则设备将在旧版 MAM 模式下运行,并使用 Citrix Gateway FQDN 进行注册。

  • 配置基于证书的身份验证。Citrix Endpoint Management 的默认配置是用户名和密码身份验证。要为 Citrix Endpoint Management 环境的注册和访问添加另一层安全性,请考虑使用基于证书的身份验证。
  • 负载平衡 Citrix Endpoint Management 服务器。如果您有多个 Citrix 端点管理服务器,或者 Citrix Endpoint Management 位于 DMZ 或内部网络内部(因此流量从设备流向 Citrix ADC 再到 Citrix 端点管理),则所有 Citrix 端点管理设备模式都需要 Citrix ADC 负载平衡。在这种情况下,Citrix ADC 设备驻留在用户设备和 Citrix 端点管理服务器之间的 DMZ 中,以对从移动设备到 Citrix Endpoint Management 服务器的加密已发送数据进行负载平衡。
  • 使用电子邮件筛选功能对微软 Exchange 服务器进在这种情况下,Citrix ADC 设备位于用户设备和 Citrix Endpoint Management ADC 连接器 (XNC) 之间,以及在用户设备和微软 Exchange CAS 服务器之间。来自用户设备的所有请求都将发送到 Citrix Gateway 设备,然后该设备与 XNC 通信以检索有关设备的信息。根据 XNC 的响应,Citrix ADC 设备会将请求从列入白名单的设备转发到内部网络中的服务器,或者从列入黑名单的设备中断连接。
  • 根据请求的内容类型对 ShareFile StorageZones 连接器进行负载平衡。此方案会提示您输入有关存储区域控制器环境的基本信息,然后生成执行以下操作的配置:
    • 跨存储区域控制器负载平衡流量。
    • 为 StorageZones 连接器提供用户身份验证。
    • 验证 ShareFile 上传和下载的 URI 签名。
    • 在 Citrix ADC 设备上终止 SSL 连接。

有关配置 ShareFile 的更多信息,请参阅 为存储区域控制器配置 Citrix ADC

重要

在使用 Citrix Endpoint Management 向导之前,请务必参阅以下 Citrix Endpoint Management 部署文章以获取设计和部署信息以及建议:

Citrix Endpoint Management 集成

与 Citrix Gateway 和 Citrix ADC 集成

MDX 应用程序的 SSO 和代理注意事项

身份验证

您只能使用适用于 Citrix Endpoint Management 的 Citrix ADC 向导一次。如果您想要多个 Citrix Endpoint Management 实例,例如用于测试、开发和生产环境,则必须为其他环境手动配置 Citrix ADC。以下支持文章列出了向导运行的命令,并提供了运行这些命令以创建 Citrix ADC 实例的说明:

Citrix ADC 上的 Citrix Endpoint Management 向导生成的命令-SSL 桥

Citrix ADC 上的 Citrix Endpoint Management 向导生成的命令-SSL 卸载

Citrix ADC 功能的许可证要求

您必须安装许可证才能启用以下 Citrix ADC 功能:

  • Citrix Endpoint Management MDM 负载平衡需要 Citrix ADC 标准许可证。
  • 使用 StorageZones 进行 ShareFile 负载平衡需要 Citrix ADC 标准许可证。
  • Exchange 负载平衡需要 Citrix ADC 许可证或高级许可证以及集成缓存许可证。

适用于 Citrix Endpoint Management 向导的 Citrix ADC

本节提供了使用适用于 Citrix Citrix Endpoint Management 的 Citrix ADC 向导执行以下操作的示例:

  • 设置微型 VPN 访问权限,以便远程用户连接到内部网络中 Citrix Endpoint Management 托管的资源
  • 配置基于证书的身份验证。有关获取和安装公共 SSL 证书的信息,请参阅 安装和管理证书
  • 为 Citrix Endpoint Management 服务器配置负载平衡。

要使用向导:

  1. 在配置实用程序中,单击 配置 选项卡,然后单击 Citrix Endpoint Management
  2. 选择 Citrix Endpoint Management 版本,然后单击 开始使用。
  3. 选中要配置的功能的复选框。请记住,此向导只能使用一次,因此必须手动执行后续配置。这些说明假定您选择以下设置: 通过 Citrix Gateway 进行访问 (适用于在 ENT 或 MAM 模式下运行的 Citrix Endpoint Management) 负载平衡 Citrix Endpoint Management 服务器

    选择功能

  4. Citrix Gateway 设置 页面上,输入面向外部的Citrix Gateway IP 地址端口虚拟服务器名称的值。

    网关配置

  5. Citrix Gateway 的服务器证书 页面上,从 证书文件 下拉菜单中,从 本地设备中选择证书文件。如果您的证书在本地计算机上:

    选择服务器证书

    如果您的证书在设备上:

    设备上的服务器证书

  6. 在 “ 身份验证设置 ” 页的 “ 主身份验证方法 ” 字段中,选择 “ 客户端证书

    这会在接下来的两个字段中自动选择 使用现有证书策略 和证书 份验证。以下各步骤假定您已配置证书策略。

    如果必须创建证书策略,请单击 创建证书策略 并完成设置。在Citrix Endpoint Management 证书 屏幕上,选择现有的服务器证书或安装新证书。如果您正在运行多个 Citrix Endpoint Management 服务器,请为每个服务器添加一个证书。对于 “ 服务器登录名属性”,请根据需要指定 userPrincipalName或 samAccountName

    身份验证配置

    • 选择 单击此处更改 CA 证书 ,然后在 浏览 列表中导航到所需的 CA 证书。

      搜索 CA 证书

    • 使用客户端证书作为主要身份验证类型,您可以选择将 LDPA(或 RADIUS)配置为辅助身份验证类型。

      要仅使用客户端证书身份验证,请将 第二种身份验证方法 保留为 ,然后单击

      要使用客户端证书 + 域 (LDAP) 身份验证,请将 第二种身份验证方法 更改为 LDAP 并配置身份验证服务器设置。

    • 在设 备证书 屏幕上,如果尚未安装证书,则必须从 Citrix Endpoint Management 控制台导出此证书:在控制台中,单击右上角的齿轮图标以打开 “ 设置 ” 屏幕。

    • 单击 Certificate(证书),然后从列表中选择 CA 证书。

    • 单击导出

    • 返回 Citrix ADC 向导,然后选择导出(下载)的证书进行安装。

    • 单击继续

    此时将显示您配置的 Citrix Endpoint Management IP 地址。

  7. 配置 Citrix Endpoint Management 应用程序管理设置

    Endpoint Management 设置

    • 输入 Citrix Endpoint Management FQDN。这是 MAM 的负载平衡 FQDN。
    • 负载平衡 Citrix Endpoint Management 服务器的虚拟服务器输入仅限 MAM 的内部负载平衡 IP 地址。Citrix Gateway 通过此 MAM 负载平衡虚拟 IP 与 Citrix Endpoint Management 进行通信。
    • 这是 SSL 卸载部署,因此请在与 Citrix Endpoint Management 服务器通信中选择 HTTP
    • MicroVPN 的拆分 DNS 模式字段会自动设置为两者

    如果您的部署需要拆分隧道,请选择 启用拆分隧道。接下来,如果启用拆分隧道,请配置 Intranet 应用程序绑定。

    默认情况下,安全 Web 访问通过隧道传输到内部网络,这意味着 Secure Web 使用每个应用程序的 VPN 隧道返回到内部网络进行所有网络访问,Citrix ADC 设备使用拆分隧道设置。

    CEM 设置

  8. 要在 Citrix Gateway 上为用户连接配置拦截规则,必须配置 Intranet 应用程序绑定。单击 + 添加绑定。

    添加 Intranet 应用程序绑定

  9. 填写允许网络访问的参数,然后单击 创建

    内联网应用程序详情

  10. 添加 Citrix Endpoint Management 证书。这用于 MAM 负载平衡虚拟服务器。

    添加 CEM 证书

  11. Citrix Endpoint Management 服务器下,单击 添加服务器 以添加要绑定到负载平衡虚拟 IP 的 Citrix Endpoint Management IP 地址

    选择虚拟服务器

  12. 在 Citrix ADC 仪表板上,确认 Citrix Gateway 和 Citrix Endpoint Management 负载平衡的配置如下。

    控制板

    如果在用户证书中使用 SamAccount 属性作为用户主体名称 (UPN) 的替代方法,请按照手动配置 Citrix Gateway 进行客户端证书身份验证中所述配置证书配置文件。

为 Citrix Endpoint Management 环境配置设置