产品文档
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
查看 PDF

配置 Citrix Gateway

March 9, 2026
投稿者: 
C C

使用 Citrix Gateway 为 StoreFront 和您的 Virtual Delivery Agent (VDA) 提供身份验证和远程访问。Citrix Gateway 在硬件或软件 NetScaler ADC 上运行。Citrix Gateway Service 由 Citrix 管理,可用于 HDX 路由,但不能用于 StoreFront 的身份验证或远程访问。

有关配置 Gateway 的更多信息,请参阅将 NetScaler Gateway 与 StoreFront 集成

您必须在 StoreFront 中配置您的网关,然后 StoreFront 才能允许通过该网关进行访问。

查看网关

要查看 StoreFront 中配置的网关,请在 Citrix StoreFront 管理控制台的左窗格中选择“Store”节点,然后单击管理 Citrix Gateway。此时将显示管理 Citrix Gateway 窗口。

管理 Citrix Gateway 屏幕截图

PowerShell

要获取网关及其配置的列表,请调用 Get-STFRoamingGateway

添加 Citrix Gateway 设备

  1. 管理 Citrix Gateway 窗口中,单击添加

  2. 在“常规设置”选项卡上输入设置,然后按下一步

    • 为 Citrix Gateway 部署指定一个显示名称,以帮助用户识别它。

      用户将在 Citrix Workspace 应用程序中看到您指定的显示名称,因此请在名称中包含相关信息,以帮助用户决定是否使用该部署。例如,您可以在 Citrix Gateway 部署的显示名称中包含地理位置,以便用户可以轻松识别对其位置最方便的部署。

    • 网关类型设置为 Citrix Gateway 设备

    • 输入网关的 URL。

      StoreFront 部署的完全限定域名 (FQDN) 必须是唯一的,并且不同于 Citrix Gateway 虚拟服务器 FQDN。不支持将相同的 FQDN 用于 StoreFront 和 Citrix Gateway 虚拟服务器。网关将 URL 添加到 X-Citrix-Via HTTP 标头。StoreFront 使用此标头来确定正在使用哪个网关。

      使用 GUI 只能添加单个网关 URL。如果可以通过多个 URL 访问网关,则需要添加两次相同的网关,除了 URL 之外,配置完全相同。为了简化配置,您可以配置用于访问网关的辅助 URL。此选项无法通过 GUI 使用,因此您必须使用 PowerShell 进行配置。在运行任何 PowerShell 命令之前,您应该关闭管理控制台。例如,如果您在全球服务器负载平衡器后面有多个网关,通常添加 GSLB URL 和可用于访问每个特定区域网关的 URL(例如用于测试或故障排除目的)会很有用。创建网关后,您可以使用 Set-STFRoamingGateway 添加一个额外的 URL,使用 -GSLBurl 参数作为辅助 URL。尽管该参数名为 GSLBurl,但它可用于您希望添加第二个 URL 的任何情况。例如:

       Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com"
<!--NeedCopy-->

      备注:

      在此示例中,GSLBurl 参数包含区域 URL,而 GatewayUrl 参数包含 GSLB URL,这与直觉相反。对于大多数用途,这些 URL 被视为相同,如果商店仅通过 Web 浏览器访问,则可以以任何一种方式配置它们。但是,当通过 Citrix Workspace 应用程序访问 StoreFront 时,它会从 StoreFront 读取 GatewayUrl,然后将其用于远程访问,并且最好将其配置为始终连接到 GSLB URL。

      如果您需要两个以上的 URL,则需要将其配置为单独的网关。

    • 选择“用途或角色”:

      用途或角色 描述
      身份验证和 HDX 路由 使用网关提供对 StoreFront 的远程访问以及访问 VDA。
      仅身份验证 如果网关仅用于对 StoreFront 的远程访问,请选择此项。此选项会阻止 Citrix Workspace 启动器工作。因此,如果您需要使用混合启动,即使网关仅用于身份验证,也请选择身份验证和 HDX 路由
      仅 HDX 路由 如果网关仅用于提供对 VDA 的 HDX 访问,例如在没有 StoreFront 实例的站点,请选择此项。

    添加网关设备屏幕常规设置选项卡截图

  3. 填写安全票据颁发机构选项卡上的设置。

    安全票据颁发机构响应连接请求颁发会话票据。这些会话票据构成了 Citrix Workspace 应用程序检测和访问 VDA 的身份验证和授权基础。

    • 输入一个或多个安全票据颁发机构服务器 URL。

      • 如果您使用的是 Citrix Virtual Apps and Desktops™,则可以将交付控制器用作 STA 服务器。
      • 如果您使用的是 Citrix Desktop as a Service,则可以将您的云连接器用作 STA 服务器。这些服务器要么将请求代理到 Citrix Cloud™ 票据颁发机构,要么在 LHC 模式下生成自己的票据。将来,这将发生变化,它们将始终生成自己的票据以提高弹性。
      • 建议您至少使用 2 个 STA 服务器以实现冗余。
      • 当使用云连接器作为 STA 服务器时,建议您在至少一个资源位置中包含所有云连接器。首先,在资源位置内,Citrix Cloud 确保一次只升级一个云连接器,因此包含所有连接器可确保始终至少有一个连接器未被升级。其次,如果资源位置进入 LHC 模式,则只有指定为“选举代理”的单个云连接器才能颁发 STA 票据。由于您无法提前知道哪个连接器将是此连接器,因此请在资源位置中包含所有云连接器。
      • 确保 StoreFront 中列出的所有 STA 服务器也作为 STA 服务器列在 Citrix Gateway 虚拟服务器中。如果 Citrix Gateway 中缺少任何服务器,这可能会导致启动失败。目前,当使用云连接器作为 STA 时,这在正常使用中可能不明显,因为任何连接器都可以用于从 Citrix Cloud 票据颁发机构兑换票据。但是,本地主机缓存模式下,连接器会生成自己的票据,将来这将成为默认行为。
      • 交付控制器或云连接器可能已配置为 StoreFront 必须包含安全密钥。无法使用 GUI 添加安全密钥;请参阅后面使用 PowerShell 添加它们的步骤。

    • 选择负载平衡多个 STA 服务器以在 STA 服务器之间分配请求。如果清除此选项,则 StoreFront 将按列出的顺序尝试服务器。

    • 如果 StoreFront 无法访问 STA 服务器,则它会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。

    • 如果您希望 Citrix Virtual Apps and Desktops 在 Citrix Workspace 应用程序尝试自动重新连接时保持断开连接的会话打开,请选择启用会话可靠性

    • 如果您配置了多个 STA,可以选择从两个 STA 请求票据(如果可用)

      当选择从两个 STA 请求票据(如果可用)时,StoreFront 会从两个不同的 STA 获取会话票据,这样即使一个 STA 在会话期间变得不可用,用户会话也不会中断。如果由于任何原因 StoreFront 无法联系两个 STA,它将回退到使用单个 STA。

    添加网关设备屏幕安全票据颁发机构选项卡截图

    完成填写设置后,按下一步

  4. 填写身份验证设置选项卡上的设置。

    • 选择 NetScaler® 版本。

    • 如果存在具有相同 URL 的多个网关(通常在使用全局服务器负载平衡器时),并且您已输入回调 URL,则必须输入网关的 VIP。这允许 StoreFront 确定请求来自哪个网关,从而确定使用回调 URL 联系哪个服务器。否则,您可以将其留空。

    • 登录类型列表中选择您在设备上为 Citrix Workspace 应用程序用户配置的身份验证方法。

    您提供的有关 Citrix Gateway 设备配置的信息将添加到商店的预配文件中。这使 Citrix Workspace 应用程序能够在首次联系设备时发送适当的连接请求。

    • 对于 LDAP 身份验证,选择
    • 对于本机 OTP 身份验证,选择安全令牌
    • 对于 LDAP 加 OTP 身份验证,选择域和安全令牌
    • 对于通过短信的 OTP 身份验证,选择短信身份验证
    • 对于证书身份验证,选择智能卡
    • 对于 SAML 身份验证,选择
    • 对于 OIDC 身份验证,选择

    如果您配置了智能卡身份验证以及辅助身份验证方法,以便用户在智能卡出现任何问题时可以回退,请从“智能卡回退”列表中选择辅助身份验证方法。

    • (可选)在“回调 URL”框中输入网关的内部可访问 URL。这允许 StoreFront 联系 Citrix Gateway 身份验证服务,以验证从 Citrix Gateway 接收的请求是否源自该设备。智能访问和无密码身份验证场景(例如智能卡或 SAML)需要此项,否则您可以将其留空。如果您有多个具有相同 URL 的 Citrix Gateway,则此 URL 必须用于特定的网关服务器。

    添加网关设备屏幕身份验证设置选项卡截图

    完成填写设置后,按下一步

  5. 单击创建以应用配置。

    添加网关设备摘要屏幕截图

  6. 部署应用后,单击完成

  7. 如果您已配置安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 进行配置。例如:

    $gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

  8. 要使用户能够通过 Gateway 访问您的商店,请配置远程用户访问

  9. 默认情况下,StoreFront 使用对用户进行身份验证的网关进行 HDX 路由以访问其资源。您可以选择配置 StoreFront 在使用最佳 HDX 路由访问特定资源时使用网关。

PowerShell

要使用 PowerShell 添加网关,请运行 cmdlet New-STFRoamingGateway

添加 Citrix Gateway Service

如果您已在 Citrix Cloud 中为 StoreFront 启用了 Citrix Gateway Service,则必须将其配置为 StoreFront 中的网关。

  1. 管理 Citrix Gateway 窗口中,单击添加

  2. 在“常规设置”选项卡上输入设置,然后按下一步

    • 为 Citrix Gateway 部署指定一个显示名称,以帮助用户识别它。

      用户将在 Citrix Workspace 应用程序中看到您指定的显示名称,因此请在名称中包含相关信息,以帮助用户决定是否使用该部署。例如,您可以在 Citrix Gateway 部署的显示名称中包含地理位置,以便用户可以轻松识别对其位置最方便的部署。

    • 网关类型设置为 Citrix Gateway Service。这将导致用途或角色设置为仅 HDX™ 路由并禁用 Citrix Gateway URL

    • (可选)输入 Citrix Gateway Service URL。如果 URL 留空,则使用默认的商业 URL https://global.g.nssvc.net,该 URL 会为用户位置选择最佳接入点。如果您希望使用特定的网关区域,例如特定区域,则可以在此处输入其 URL。有关可用网关服务 URL 的列表,请参阅 Citrix Gateway Service 文档

    • 如果您已输入 Citrix Gateway Service URL,则还必须输入相应的 Citrix Gateway Service URL (STA 连接器模式)。这指定了当云连接器无法访问 Citrix Cloud 时使用的网关服务 URL,因此它会颁发自己的 STA 票据。如果 URL 留空,则使用默认 URL https://global-s.g.nssvc.net

    添加网关设备屏幕常规设置选项卡截图

  3. 填写云连接器选项卡上的设置。

    云连接器允许 StoreFront 访问 Citrix Cloud 以查找 Gateway 配置,并访问云票据颁发机构以请求会话票据。

    • 输入至少一个云连接器服务器 URL。

      StoreFront 调用这些云连接器以检索 STA 票据,Citrix Workspace 应用程序可以使用这些票据通过 验证请求。在正常操作中,云连接器将请求代理到 Citrix Cloud 票据颁发机构,或者在 LHC 模式下生成自己的票据。将来,这将发生变化,它们将始终生成自己的票据以提高弹性。

      • 建议您在同一资源位置中包含多个云连接器,因为每个资源位置一次只升级一个云连接器,从而确保始终至少有一个云连接器可用。为了进一步提高冗余性,请在多个资源位置中添加云连接器。
      • 确保 StoreFront 中列出的所有云连接器也作为 STA 服务器列在 Citrix Gateway 虚拟服务器中。如果 Citrix Gateway 中缺少任何服务器,这可能会导致启动失败。目前,这在正常使用中可能不明显,因为任何连接器都可以用于从 Citrix Cloud 票据颁发机构兑换票据。但是,本地主机缓存模式下,连接器会生成自己的票据,将来这将成为默认行为。
      • 云连接器可能已配置为 StoreFront 必须包含安全密钥。无法使用 GUI 添加安全密钥;请参阅后面使用 PowerShell 添加它们的步骤。

    • 选择负载平衡多个服务器以在服务器之间分配请求。如果清除此选项,则 StoreFront 将按列出的顺序尝试服务器。

    • 如果 StoreFront 无法访问服务器,则它会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。

    • (可选)选择启用会话可靠性

    • (可选)选择从两个云连接器请求票据(如果可用)

    添加网关设备屏幕云连接器选项卡截图

    完成填写设置后,选择下一步

  4. 选择创建以应用配置。

    添加网关设备摘要屏幕截图

  5. 部署应用后,选择完成

  6. 如果您已配置安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 进行配置。例如:

    $gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

  7. 默认情况下,StoreFront 使用相同的网关访问资源,就像用于身份验证一样,因此从不使用 Citrix Gateway Service。您必须使用最佳 HDX 路由来配置 StoreFront 何时应使用 Citrix Gateway Service。

PowerShell

要使用 PowerShell 添加网关,请运行 cmdlet New-STFRoamingGateway,并将 -IsCloudGateway 设置为 $true

编辑 Citrix Gateway

  1. 管理 Citrix Gateway 窗口中,单击您希望更改的网关,然后按编辑

    有关参数的说明,请参阅添加 Citrix Gateway 设备

  2. 保存以保存您的更改。

PowerShell

要使用 PowerShell 修改网关配置,请运行 cmdlet Set-STFRoamingGateway

删除 Citrix Gateway

  1. 管理 Citrix Gateway 窗口中,单击您希望更改的网关,然后按删除

  2. 在确认窗口中,按

PowerShell

要使用 PowerShell 删除网关,请运行 cmdlet Remove-STFRoamingGateway

配置 Citrix Gateway
March 9, 2026
投稿者: 
C C
March 9, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.