NetScaler Gateway

Web/SaaS 和 TCP/UDP 应用程序都支持 NetScaler Gateway 配置。 您可以为 Secure Private Access 创建 NetScaler Gateway 或更新现有 NetScaler Gateway 配置。 建议您在应用这些更改之前创建 NetScaler 快照或保存 NetScaler 配置。

重要提示:

有关 Web/SaaS 和 TCP/UDP 应用程序的 NetScaler Gateway 配置的详细信息,请参阅以下部分:

与 ICA 应用程序的兼容性

为支持 Secure Private Access 插件而创建或更新的 NetScaler Gateway 也可用于枚举和启动 ICA 应用程序。 在这种情况下,您必须配置 Secure Ticket Authority (STA) 并将其绑定到 NetScaler Gateway。

注意:

STA 服务器通常是 Citrix Virtual Apps and Desktops 部署的一部分。

有关详细信息,请参阅以下主题:

支持智能访问标签

注意:

  • 仅当您的 NetScaler Gateway 版本低于 14.1-25.56 时,本节中提供的信息才适用。
  • 如果您的 NetScaler Gateway 版本为 14.1—25.56 及更高版本,则可以使用 CLI 或 GUI 在 NetScaler Gateway 上启用 Secure Private Access 插件。 有关详细信息,请参阅 在 NetScaler Gateway上启用安全私有访问插件。

在以下版本中,NetScaler Gateway 会自动发送标记。 您不必使用网关回调地址来检索智能访问标签。

  • 13.1–48.47 及更高版本
  • 14.1–4.42 及更高版本

智能访问标签将作为标头添加到 Secure Private Access 插件请求中。

使用切换开关 ns_vpn_enable_spa_onpremns_vpn_disable_spa_onprem 以在这些 NetScaler 版本上启用/禁用此功能。

  • 您可以使用命令 (FreeBSD shell) 进行切换:

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

  • 通过运行以下命令 (FreeBSD shell) 为 HTTP callout 配置启用 SecureBrowse 客户端模式。

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

  • 如果访问被拒绝,则启用重定向到 “Access restricted” 页面。

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

  • 使用 CDN 上托管的 “Access restricted” 页面。

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  • 要禁用,请再次运行相同的命令。

  • 要验证切换开关是打开还是关闭,请运行 nsconmsg 命令。

  • 要在 NetScaler Gateway 上配置智能访问标签,请参阅 配置上下文标记.

在 NetScaler 上保留安全私有访问插件设置

要在 NetScaler 上保留 Secure Private Access 插件设置,请执行以下操作:

  1. 创建或更新文件 /nsconfig/rc.netscaler。
  2. 将以下命令添加到文件中。

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  3. 保存该文件。

重新启动 NetScaler 时,将自动应用 Secure Private Access 插件设置。

在 NetScaler Gateway 上启用安全私有访问插件

从 NetScaler Gateway 14.1–25.56 及更高版本开始,您可以使用 NetScaler Gateway CLI 或 GUI 在 NetScaler Gateway 上启用安全私有访问插件。 此配置将 nsapimgr_wr.sh -ys 调用 =ns_vpn_enable_spa_onprem 旋钮在 2407 之前的版本中使用。

CLI:

在命令提示符下,键入以下命令:

set vpn parameter -securePrivateAccess ENABLED

GUI:

  1. 导航到 NetScaler 网关 > 全局设置 > 更改 Global NetScaler Gateway 设置.
  2. 单击“安全”选项卡.
  3. Secure Private Access选择 启用。

启用 Secure Private Access

上传公共网关证书

如果无法从 Secure Private Access 计算机访问公有网关,则必须将公有网关证书上传到 Secure Private Access 数据库。

执行以下步骤以上传公有网关证书:

  1. 使用 admin 权限打开 PowerShell 或命令提示符窗口。
  2. 将目录更改为 Secure Private Access 安装文件夹下的 Admin\AdminConfigTool 文件夹(例如,cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
  3. 运行以下命令:

    \AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

已知限制

  • 现有的 NetScaler Gateway 可以使用脚本进行更新,但单个脚本无法涵盖无限数量的可能 NetScaler 配置。
  • 请勿在 NetScaler Gateway 上使用 ICA Proxy。 配置 NetScaler Gateway 时,此功能将被禁用。
  • 如果您使用部署在云中的 NetScaler,则必须在网络中进行更改。 例如,允许 NetScaler 与某些端口上的其他组件之间的通信。
  • 如果在 NetScaler Gateway 上启用 SSO,请确保 NetScaler 使用私有 IP 地址与 StoreFront 通信。 您可能必须使用 StoreFront 私有 IP 地址将 StoreFront DNS 记录添加到 NetScaler。
NetScaler Gateway