与 Citrix Gateway 和 Citrix ADC 集成

将 Citrix Gateway 与 StoreFront 结合使用可以为企业网络外部的用户提供安全的远程访问,并利用 Citrix ADC 提供负载平衡。

计划网关和服务器证书的使用

将 StoreFront 与 Citrix Gateway 和 Citrix ADC 相集成要求对网关和服务器证书的使用进行计划。应考虑您的部署中哪些 Citrix 组件将需要服务器证书:

  • 计划从外部证书颁发机构获取用于面向 Internet 的服务器和网关的证书。客户端设备可能不会自动信任由内部证书颁发机构签名的证书。
  • 准备外部和内部服务器名称。许多组织都有供内部和外部使用的单独命名空间,例如 example.com(外部)和 example.net(内部)。通过使用者备用名称 (SAN) 扩展,一个证书可以包含这两种名称。一般情况下,建议不要使用该选项。如果向 IANA 注册顶级域 (TLD),公共证书颁发机构只会颁发一个证书。在这种情况下,不能使用一些常用内部服务器名称(如 example.local),且外部名称和内部名称仍需要单独的证书。
  • 应尽可能为外部服务器和内部服务器使用单独的证书。网关可以支持多个证书,这需要将不同的证书绑定到每个接口。
  • 应避免在面向 Internet 的服务器与非面向 Internet 的服务器之间共享证书。这些证书很可能不同,即与您的内部证书颁发机构所颁发的证书有不同的有效期和不同吊销策略。
  • 只应在同等服务之间共享“通配符”证书。应避免在不同类型的服务器(例如 StoreFront 服务器和其他种类的服务器)之间共享证书。应避免在不同的管理控制下的服务器或具有不同的安全策略的服务器之间共享证书。下面是提供同等服务的服务器典型示例:
    • 一组 StoreFront 服务器和在它们之间执行负载平衡的服务器。
    • GSLB 中一组面向 Internet 的网关。
    • 一组 Citrix Virtual Apps and Desktops 控制器,它们提供同等的资源。
  • 准备硬件保护的私钥存储。网关和服务器(包括一些 Citrix ADC 型号)可以将私钥安全地存储在硬件安全模块 (HSM) 或受信任的平台模块 (TPM) 中。出于安全考虑,这些配置通常不用于支持共享证书及其私钥,请查阅组件相关文档。如果通过 Citrix Gateway 实施 GSLB,这可能要求 GSLB 中的每个网关具有相同的证书,并且证书中包含您要使用的所有 FQDN。

有关保护 Citrix 部署的详细信息,请参阅白皮书使用 Citrix Virtual Apps and Desktops 进行端到端加密以及 Citrix Virtual Apps and Desktops 的安全部分。

在 Citrix Gateway VIP 上禁用身份验证后,配置 StoreFront 登录

在 Citrix Gateway VIP 上禁用身份验证后,登录到 StoreFront。此过程适用于以下两种方案: 内部网络。应用程序从远处位置启动失败,因为如果将 X-Citrix-Gateway 标题传递到 StoreFront,则在 Citrix Gateway 上禁用身份验证时无法使用 STA。 Citrix Receiver for Web。如果未在 Citrix Gateway VIP 上启用身份验证,Receiver 客户端将不进行身份验证。

在 StoreFront 服务器上所做的更改

  1. 禁用要求令牌一致字段:
    • StoreFront 3.0
      1. 编辑应用商店 Web 站点的 web.config 文件。例如,如果 StoreFront 应用商店名称为 NoAuth,则 StoreFront 服务器中的 web.config 文件的路径为 inetpub\wwwroot\Citrix\NoAuth
    1. web.config 文件中找到以下行并将值从 True 更改为 False。 之前 <resourcesGateways requireTokenConsistency="true"> 之后 <resourcesGateways requireTokenConsistency="false">

      注意:

      在 StoreFront 3.x 上,要求令牌一致是 GUI 中的一个复选框。有关详细信息,请参阅高级应用商店设置

    2. 保存 web.config 文件,然后重新启动 IIS 服务。

  2. 打开 Citrix StoreFront 管理控制台

  3. 单击针对 Web 的管理 Receiver for Web 站点

  4. 选择相应的 Citrix Receiver for Web 站点,单击配置,然后选择身份验证方法

  5. 请务必取消选中从 Citrix Gateway 直通选项。

注意:

假定在 StoreFront 服务器上设置了 Citrix Gateway 和“启用远程访问”。

在 Citrix Gateway 上所做的更改

  1. 打开 Citrix Gateway 虚拟服务器。

  2. 单击身份验证选项卡并确保清除启用身份验证复选框。

  3. 将相应的会话策略绑定到 Citrix Gateway 虚拟服务器。

  4. 测试连接。