Product Documentation

配置服务器和客户端之间的 SSL/TLS

Sep 14, 2015

为了使 XenApp 接受使用 SSL 或 TLS 加密的连接,您必须使用 SSL Relay 来配置对每一 XenApp 服务器的支持。

Citrix SSL Relay 可保护客户端以及运行 Web Interface 的服务器和使用 SSL 或 TLS 的 XenApp 服务器之间的通信。在两台计算机之间发送的数据使用 SSL Relay 进行解密,然后使用 SOCKSv5 重定向到 Citrix XML Service。

SSL Relay 相当于 Citrix Receiver 和运行于每台服务器上的 Citrix XML Service 之间的通信中介。每个 Receiver 通过对照可信证书颁发机构的列表检查中继的服务器证书来对 SSL Relay 进行身份验证。完成此身份验证后,Receiver 和 SSL Relay 将对加密形式的请求进行协商。SSL Relay 对请求进行解密,然后将其发送给服务器。

将信息返回给 Receiver 时,服务器将通过 SSL Relay 发送所有信息,SSL Relay 将对数据进行加密,然后转发给客户端进行解密。消息完整性检查用于验证各个通信是否被篡改。

一般来说,当您遇到下列情况时,请对 SSL/TLS 支持使用 SSL Relay:
  • 希望保护与托管 Citrix XML Service 的服务器之间的通信。
  • 要支持的服务器的数量较少(5 台或更少)。要使用 SSL/TLS 防止较大型场中的内部威胁,请考虑使用 Secure Gateway 配置 SSL/TLS 支持。
  • 不需要保护 DMZ 中的访问。
  • 不需要隐藏服务器 IP 地址或使用的是网络地址转换 (NAT)。
  • 需要对客户端和服务器之间的数据进行端到端加密。

在服务器场中的各个 XenApp 服务器上配置 SSL Relay 和相应的服务器证书。默认情况下,SSL Relay 随 XenApp 一起安装,其安装位置为 C:\Program Files (x86)\Citrix\SSLRelay,其中 C 是您安装 XenApp 的驱动器。

Citrix XML Service 提供了一个 HTTP 接口,用于枚举服务器上可用的应用程序。它使用的是 TCP(而不是 UDP)数据包,这样连接便可跨越大多数防火墙。Citrix XML Service 包含在服务器中。Citrix XML Service 的默认端口为 80。

安装和配置 SSL Relay 工具

如果在启用 Microsoft Windows 用户帐户控制 (UAC) 功能的情况下配置 SSL Relay 工具,系统可能会提示您输入管理员凭据。要运行 SSL Relay 工具,您必须具有下列特权及相关权限:
  • 域管理员
  • 委派的管理员
  • 安装此工具的本地计算机的管理员组

获取并安装服务器和根 SSL 证书

对于每一台要用于配置 SSL 或 TLS 的 XenApp 服务器来说,都另外需要一份服务器证书。服务器证书标识特定的计算机,因此您必须知道每台服务器的完全限定域名 (FQDN)。所有证书都必须由称为证书颁发机构 (CA) 的可信实体进行签发。除了在每台服务器上安装一份服务器证书之外,还必须在每台要使用 SSL Relay 进行通信的客户端设备上安装从同一 CA 获取的根证书。

根证书可从颁发服务器证书的同一 CA 获得。您可以安装来自以下 CA 的服务器证书和客户端证书:与您的操作系统捆绑的 CA,即企业 CA(组织授予您访问权限的 CA),或没有与您的操作系统捆绑的 CA。请咨询您组织的安全团队,了解他们需要使用以下哪种方法来获取证书。

在每台服务器上安装服务器证书。SSL Relay 与 IIS 使用相同的基于注册表的证书存储,因此您可以使用 IIS 或 Microsoft 管理控制台 (MMC) 证书管理单元安装证书。收到 CA 的证书后,可在 IIS 中重新启动 Web 服务器证书向导,然后此向导将安装该证书。您也可以在使用 MMC 并将证书作为独立的管理单元添加的计算机上,查看并导入证书。

选择 SSL 证书颁发机构

可以通过以下方法为服务器和客户端设备获取并安装证书:

  • 操作系统随附的 CA 证书。某些较新版本的 Windows 操作系统包含对许多 CA 的本机支持。如果您选择安装随附的 CA 证书,请双击该证书文件,Windows 证书存储向导就会将服务器证书安装在您的服务器上。有关哪些操作系统包含本机支持的信息,请参阅 Microsoft 文档。
  • 企业 CA 证书。如果您的组织允许您访问并使用某 CA,则该 CA 会出现在您的 CA 列表中。双击该证书文件,Windows 证书存储向导就会将服务器证书安装在您的服务器上。有关您的公司是否使用企业 CA 的详细信息,请咨询安全小组。
  • 非操作系统随附的 CA 证书。不管是非操作系统随附的 CA 证书,还是组织允许您访问的 CA 证书,都必须在运行 Citrix SSL Relay 的服务器和每台客户端设备上手动进行安装。有关安装外部 CA 证书的说明,请参阅配置中的服务器和客户端文档。或者,您可以使用 Active Directory 或 IIS 管理单元安装证书:
    • 如果您的计算机属于 Active Directory 服务器,则可使用 Active Directory 安装证书。有关如何使用 Active Directory 安装证书的相关说明,请参阅 Microsoft 文档。
    • 您可以使用 IIS 管理单元中的 Microsoft Web 服务器证书向导请求并导入证书。有关使用此向导的详细信息,请参阅 Microsoft 文档。

获取已签名 SSL 证书和密码

选择一个证书颁发机构 (CA) 后,应生成证书签名请求 (CSR),并使用与 CA 兼容的 Web 服务器软件将其发送给该 CA。例如,如果使用 IIS 管理单元获取证书,则可使用 Microsoft Enterprise Certificate Services 生成 CSR。CA 会处理此请求,并将签名的 SSL 证书和密码返回给您。有关可以使用哪种软件生成 CSR 的信息,请参阅所选 CA 的文档。
重要:证书的公用名必须与服务器的完全限定域名完全相同。

从 CA 获取签名的证书及密码后,请使用适当的方法在配置的每台服务器和客户端上安装此证书。

启用 SSL Relay 并选择中继凭据

  1. 在安装了 Citrix SSL Relay 的服务器上,依次单击所有程序 > Citrix > 管理工具 > Citrix SSL Relay 配置工具
  2. 单击中继凭据选项卡。
  3. 选中启用 SSL Relay 复选框以启用中继功能。
  4. 选中显示友好名称复选框以显示证书的友好名称(如果有)。 此复选框确定服务器证书列表中将显示证书的哪类信息。一些证书包含附加的友好名称字段。如果您选中此框,但不存在任何友好名称,则会使用证书的使用者公用名称(通常是服务器名称)。如果不选中显示友好名称,则使用整个使用者名称。
  5. 服务器证书下拉列表中选择服务器证书(用于识别 SSL Relay 身份)。