创建单个完全限定的域名 (FQDN) 以在内部和外部访问应用商店
您可以通过 Citrix Gateway 提供对企业网络资源和 Internet 资源的访问权限,并通过为内部和外部漫游客户端创建单个 FQDN 来简化用户体验。
创建单个 FQDN 对配置任一本机 Receiver 的用户很有帮助。无论当前连接到的是内部网络还是公用网络,他们只需记住单个 URL 即可。
注意:
作为专用网络访问 (Private Network Access, PNA) 规范的一部分,从公共 Web 站点直接访问专用网络端点已弃用。因此,在使用单个 FQDN 时从外部网络切换到内部网络时可能会出错。这些错误发生在最新版本的 Chrome 和 Microsoft Edge 98 及更高版本中。
临时解决方法:我们建议在 StoreFront 服务器上的 IIS 中添加以下 HTTP 响应标头:
- Access-Control-Allow-Headers:*
- Access-Control-Allow-Origin:FQDN 站点 URL
- Access-Control-Allow-Private-Network:true
注意:在 StoreFront 服务器上设置标头之前,请与管理员一起检查这些标头。
Citrix Workspace 应用程序的 StoreFront 信标
Citrix Workspace 应用程序尝试联系信标点并根据响应来确定用户是连接到本地网络还是公用网络。用户访问桌面或应用程序时,位置信息将传递给提供资源的服务器,以便能够将相应的连接详细信息返回给 Citrix Workspace 应用程序。这样可以确保在用户访问桌面或应用程序时不会收到重新登录提示。有关配置信标点的信息,请参阅配置信标点。
备注:
- 在本文中,除非另行说明,否则“Citrix Workspace 应用程序”的提及也适用于受支持的 Citrix Receiver 版本。
- 适用于 Linux 的 Citrix Workspace 应用程序不支持单个 FQDN 方案,因为它无法检测指向单独客户端位置的内部信标。有关详细信息,请参阅 CTX223989。
配置 Citrix Gateway 虚拟服务器和 SSL 证书
外部客户端尝试从企业网络外部访问资源时,共享 FQDN 解析到 DMZ 中的外部防火墙路由器接口 IP 或 Citrix Gateway 虚拟服务器 IP。确保 SSL 证书的“Common Name”(公用名)和“Subject Alternative Name”(使用者可选名称)字段包含用于在外部访问应用商店的共享 FQDN。通过使用第三方根 CA(例如 Verisign)代替企业证书颁发机构 (CA) 对网关证书进行签名,任何外部客户端都将自动信任绑定到网关虚拟服务器的证书。如果您使用第三方根 CA(例如 Verisign),则无需将任何其他根 CA 证书导入到外部客户端上。
要将具有共享 FQDN 公用名的单个证书部署到 Citrix Gateway 和 StoreFront 服务器,请考虑您是否希望支持远程发现。如果是,请确保证书遵循使用者可选名称的规范。
Citrix Gateway 虚拟服务器示例证书:storefront.example.com
-
确保共享 FQDN、回调 URL 以及帐户别名 URL 包含在 DNS 字段中作为使用者可选名称 (SAN)。
-
确保私钥可导出,以便证书和密钥能够导入到 Citrix Gateway 中。
-
确保已将“默认授权”设置为“允许”。
-
使用第三方 CA(例如 Verisign)或组织的企业根 CA 对证书进行签名。
两节点服务器组示例 SAN
storefront.example.com(必选)
storefrontcb.example.com(必选)
accounts.example.com(必选)
storefrontserver1.example.com(可选)
storefrontserver2.example.com(可选)
使用证书颁发机构 (CA) 对 Citrix Gateway 虚拟服务器 SSL 证书进行签名
根据您的要求,有两个选项可用于选择 CA 签名证书的类型。
-
选项 1 - 第三方 CA 签名证书:如果绑定到 Citrix Gateway 虚拟服务器的证书由可信第三方签署,外部客户端可能无需将任何根 CA 证书复制到其可信根 CA 证书存储中。Windows 客户端附带最常见签署机构的根 CA 证书。可以使用的第三方商业 CA 的示例包括 DigiCert、Thawte 和 Verisign。请注意,诸如 iPad、iPhone 以及 Android 平板电脑和手机之类的移动设备可能仍需将根 CA 复制到设备上,这样才能信任 Citrix Gateway 虚拟服务器。
-
选项 2 - 企业根 CA 签名证书:如果选择此选项,每个外部客户端都需将企业根 CA 证书复制到其可信根 CA 存储中。如果使用安装了本机 Receiver 的便携式设备(例如 iPhone 和 iPad),请在这些设备上创建安全配置文件。
将根证书导入便携式设备
- iOS 设备可以使用电子邮件附件导入 .CER x.509 证书文件,因为通常无法访问 iOS 设备的本地存储。
- Android 设备也需要使用相同的 .CER x.509 格式。可从设备本地存储或电子邮件附件导入证书。
外部 DNS:storefront.example.com
确保贵组织的 Internet 服务提供商所提供的 DNS 解析解析到 DMZ 外边缘上防火墙路由器面向外部的 IP,或者解析到 Citrix Gateway 虚拟服务器 VIP。
拆分视图 DNS
- 如果正确配置了拆分视图 DNS,DNS 请求的源地址应将客户端发送到正确的 DNS A 记录。
- 客户端在公共网络与企业网络之间漫游时,其 IP 应发生变化。客户端查询 storefront.example.com 时应收到正确的 A 记录,具体取决于其当前连接到的网络。
将 Windows CA 颁发的证书导入 Citrix Gateway
WinSCP 是极其有用的第三方免费工具,可将文件从 Windows 计算机移动到 Citrix Gateway 文件系统。将要导入的证书复制到 Citrix Gateway 文件系统内的 /nsconfig/ssl/ 文件夹。可以在 Citrix Gateway 上使用 OpenSSL 工具从 PKCS12/PFX 文件提取证书和密码,以便以 Citrix Gateway 可以使用的 PEM 格式创建两个单独的 .CER 和 .KEY X.509 文件
- 将 PFX 文件复制到 Citrix Gateway 设备或 VPX 上的 /nsconfig/ssl 中。
- 打开 Citrix Gateway 命令行界面。
- 要切换到 FreeBSD shell,请键入 Shell 以退出 Citrix Gateway 命令行接口。
- 要更改目录,请使用
cd /nsconfig/ssl - 运行
openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cer,并在出现提示时输入 PFX 密码。 - 运行
openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key - 出现提示时输入 PFX 密码,然后设置私钥 PEM 暗码以保护 .KEY 文件。
- 要确保已在 /nsconfig/ssl/ 内成功创建 .CER 和 .KEY 文件,请运行
ls –al。 - 要返回 Citrix Gateway 命令行接口,请键入 Exit。
Citrix Receiver for Windows 或 Citrix Receiver for Mac、Citrix Gateway 会话策略
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
Receiver for Web 网关会话策略
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS
cVPN 和智能访问设置
如果使用 SmartAccess,请在 Citrix Gateway 虚拟服务器属性页面上启用智能访问模式。访问远程资源的每个并发用户都需要使用通用许可证。
Receiver 配置文件
将会话配置文件帐户服务 URL 配置为 https://accounts.example.com/Citrix/Roaming/Accounts,而不是 https://storefront.example.com/Citrix/Roaming/Accounts。
此外,请在 StoreFront 服务器上的身份验证和漫游 web.config 文件中添加此 URL 作为附加 <allowedAudiences>。有关详细信息,请参阅下面的“配置 StoreFront 服务器主机基本 URL、网关和 SSL 证书”部分。
Receiver for Web 配置文件
ICA 代理和基本模式设置
如果使用 ICA 代理,请在 Citrix Gateway 虚拟服务器属性页面上启用基本模式。只需使用 Citrix ADC 平台许可证。
Receiver 配置文件
Receiver for Web 配置文件
配置 StoreFront 服务器主机基本 URL、网关和 SSL 证书
解析到 Citrix Gateway 虚拟服务器的同一共享 FQDN 还应直接解析到 StoreFront 负载平衡器(如果已创建 StoreFront 群集)或托管应用商店的单个 StoreFront IP。
内部 DNS:创建三个 DNS A 记录
- storefront.example.com 应解析为 StoreFront 负载平衡器或单个 StoreFront 服务器 IP。
- 如果 DMZ 和企业本地网络之间存在防火墙,则 storefrontcb.example.com 应解析为网关虚拟服务器 VIP 以允许此情况。
- accounts.example.com — 作为 storefront.example.com 的 DNS 别名创建。它也解析到 StoreFront 群集的负载平衡器 IP 或单个 StoreFront 服务器 IP。
StoreFront 服务器示例证书:storefront.example.com
-
安装 StoreFront 之前,为 StoreFront 服务器或服务器组创建恰当的证书。
-
将共享 FQDN 添加到“Common name”(公用名)和 DNS 字段中。确保这与绑定到之前创建的 Citrix Gateway 虚拟服务器的 SSL 证书中所使用的 FQDN 相匹配,或使用绑定到 Citrix Gateway 虚拟服务器的相同证书。
-
将帐户的别名 (
accounts.example.com) 作为另一个 SAN 添加到证书中。请注意,SAN 中使用的帐户别名是在先前过程(本机 Receiver Gateway 会话策略和配置文件)的 Citrix Gateway 会话配置文件中使用的帐户别名。 -
确保私钥可导出,以便证书能够转移到其他服务器或多个 StoreFront 服务器组节点。
-
使用第三方 CA(例如 Verisign)、企业根 CA 或中间 CA 对证书进行签名。
-
以 PFX 格式导出证书(包括私钥)。
-
将证书和私钥导入到 StoreFront 服务器中。如果要部署 Windows NLB StoreFront 群集,请将证书导入到每个节点中。如果使用的是备用负载平衡器(例如 Citrix ADC 负载平衡虚拟服务器),请改为在其中导入证书。
-
在 StoreFront 服务器的 IIS 中创建 HTTPS 绑定,并将导入的 SSL 证书绑定到其上。
-
在 StoreFront 服务器上配置主机基本 URL,以匹配已经选择的共享 FQDN。
注意:
StoreFront 始终自动选择证书内 SAN 列表中的最后一个使用者可选名称。这只是对 StoreFront 管理员有所帮助的建议主机基本 URL,通常都是正确的。如果它作为 SAN 存在于证书内,则可手动将其设置为任何有效的
HTTPS://<FQDN>。示例:https://storefront.example.com。
将服务器基本 URL 从 HTTP 更改为 HTTPS
在 Citrix StoreFront 上配置单服务器部署或服务器组部署时,主机基本 URL 选项可用。此选项适用于在没有服务器证书的情况下已安装和配置 Citrix StoreFront 的客户。安装该证书后,请确保 StoreFront 及其服务使用安全连接继续操作。
注意:
IT 管理员必须先在 Citrix StoreFront 服务器上生成服务器证书并进行安装,然后再运行此过程。此外,还需要通过 HTTPS (443) 创建 IIS 绑定以确保任何新连接的安全。
完成以下步骤以在 StoreFront 3.x 上更改基本 URL:
- 在 StoreFront 中,单击左侧面板中的服务器组。
- 在右侧面板中单击更改基本 URL 。
-
键入基本 URL 并单击确定。
在 StoreFront 服务器上配置网关:storefront.example.com
-
在应用商店节点中,单击操作窗格中的管理 Citrix Gateway。
-
从列表中选择网关,然后单击编辑。
-
在常规设置页面上的 Citrix Gateway URL 字段中键入共享 FQDN。
-
选择身份验证设置选项卡,然后在回调 URL 字段中键入回调 FQDN。
-
选择 Secure Ticket Authority 选项卡,确保 Secure Ticket Authority (STA) 服务器与已在应用商店节点中配置的 Delivery Controller 列表匹配。
-
为应用商店启用远程访问。
-
手动将内部信标设置为帐户别名 (accounts.example.com),不得从网关外部对其进行解析。此 FQDN 必须有别于 StoreFront 主机基本 URL 和 Citrix Gateway 虚拟服务器共享的外部信标 (storefront.example.com)。请勿使用共享 FQDN,因为这会导致内部和外部信标相同。
支持使用多个不同的 FQDN 进行发现
要允许 Citrix Workspace 应用程序使用多个 FQDN 发现应用商店,请执行以下步骤。如果预配文件配置足够,或者仅使用 Receiver for Web,则可跳过以下步骤。
将附加 <allowedAudiences> 条目添加到 C:\inetpub\wwwroot\Citrix\Authentication\web.config 中。此文件中有两个 <allowedAudiences> 条目。仅身份验证令牌生成器文件中的第一个条目需要添加附加 <allowedAudience> 条目。
-
在 <service id> 部分中,找到 <allowedAudiences> 字符串。为
audience="https://accounts.example.com/"添加一行,如下所示。保存,然后关闭 web.config 文件。<service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer"> ... <allowedAudiences> <add name="https-storefront.example.com" audience="https://storefront.example.com/" /> <add name="https-accounts.example.com" audience="https://accounts.example.com/" /> </allowedAudiences> <!--NeedCopy--> -
在 C:\inetpub\wwwroot\Citrix\Roaming\web.config 中,找到 <tokenManager> 部分并为
audience="https://accounts.example.com/"添加一行,如下所示。保存,然后关闭 web.config 文件。<tokenManager> <services> <clear /> ... </trustedIssuers> <allowedAudiences> <add name="https-storefront.example.com" audience="https://storefront.example.com/" /> <add name="https-accounts.example.com" audience="https://accounts.example.com/" /> </allowedAudiences> </service> </services> </tokenManager> <!--NeedCopy-->
或者,可以导出应用商店的本机 Receiver .CR 预配文件。这样,您在首次使用 Citrix Workspace 应用程序时便不必进行配置。请将此文件分发给所有 Windows 和 MAC Citrix Workspace 应用程序客户端。
如果客户端上已安装 Citrix Workspace 应用程序,则会识别 .CR 文件类型,双击预配文件将开始导入。
在本文中
- Citrix Workspace 应用程序的 StoreFront 信标
- 配置 Citrix Gateway 虚拟服务器和 SSL 证书
- 使用证书颁发机构 (CA) 对 Citrix Gateway 虚拟服务器 SSL 证书进行签名
- 将根证书导入便携式设备
- 外部 DNS:storefront.example.com
- 拆分视图 DNS
- 将 Windows CA 颁发的证书导入 Citrix Gateway
- Citrix Receiver for Windows 或 Citrix Receiver for Mac、Citrix Gateway 会话策略
- Receiver for Web 网关会话策略
- cVPN 和智能访问设置
- ICA 代理和基本模式设置
- 配置 StoreFront 服务器主机基本 URL、网关和 SSL 证书
- 在 StoreFront 服务器上配置网关:storefront.example.com