Product Documentation

配置中继端口和服务器连接设置

May 13, 2016

2016 年 4 月文档更新:

XenApp 6.5 和 Secure Gateway 3.3 的软件更新可用,这些更新中引入了对传输层安全性 (TLS) 协议 1.1 和 1.2 版的支持。 要升级您的 XenApp 和/或 Secure Gateway 部署,请下载并应用以下软件更新:

对于 XenApp 6.5:请下载并应用更新 XA650R06W2K8R2X64021

对于 Secure Gateway 3.3:请下载并应用更新 4(英语:SGE330W004;日语:SGJ330W004)  

SSL Relay 仅将数据包中继到 Citrix SSL Relay 配置工具的连接选项卡上列出的目标计算机。 默认情况下,可将 SSL Relay 配置为仅将数据包中继到安装了 SSL Relay 的目标计算机。 您可以在同一服务器场中添加其他计算机,以实现冗余。  

使用连接选项卡可以配置 SSL Relay 的侦听器端口和允许的目标。SSL Relay 仅将数据包中继到连接选项卡上列出的目标计算机。必须在此选项卡上列出在运行 Web Interface 或 Citrix Receiver 的服务器上所指定的目标服务器和端口。默认情况下,不会列出任何服务器。

有关服务器场中所用端口的列表,请参阅配置 TCP 端口

添加证书后,将为本地计算机添加默认的 ICA 和 Citrix XML Service 端口。
  • 中继侦听端口。 SSL 客户端与 SSL Relay 建立连接所用的 TCP 端口。 默认端口号为 443。 如果您的服务器有多个 IP 地址,则它们都使用此端口。 如果更改此值,您必须在客户端设备上作出相同的更改。 您可能还需要在客户端设备和 SSL Relay 之间的任何防火墙上打开此端口。
  • 加密标准。 可将 SSL Relay 配置为使用 SSL 或 TLS。 所需协议使用 SSL Relay 配置工具进行配置。
    重要:建议您使用最新版本 TLS (v1.2)。 SSL v3.0 和 TLS v1.0/v1.1 的安全性较低,仅应在将 Citrix Receiver 转换为支持 TLS v1.2 的最新版本时使用。
  • 服务器名称。 要将解密的数据包中继到的服务器的完全限定的域名 (FQDN)。 如果未配置证书,则不会列出任何服务器。 如果配置了证书,则此处将显示运行 SSL Relay 的服务器的 FQDN。
  • 端口。 ICA 和 Citrix XML Service 正在侦听的 TCP 端口。
重要:如果您更改默认 Citrix SSL Relay 端口,则必须在 Citrix Receiver icaclient.adm 文件中将 SSLProxyHost 设置为新端口号。有关详细信息,请参阅 Receiver 管理员文档。

修改目标服务器列表

  1. 在安装了 Citrix SSL Relay 的服务器上,依次单击所有程序 > Citrix > 管理工具 > Citrix SSL Relay 配置工具
  2. 单击连接选项卡。
    • 将服务器添加到目标服务器列表:
      1. 单击新建
      2. 服务器名称框中键入计算机的 FQDN。(此外,还必须在配置运行 Web Interface 的服务器过程中指定此服务器。)
      3. 目标端口框中键入 Citrix XML Service 的端口号,然后单击添加
    • 更改目标服务器列表中列出的服务器的端口:
      1. 选择服务器条目并单击编辑
      2. 目标服务器属性对话框中,选择要删除的目标端口并单击删除
      3. 目标端口下方的字段中,键入新目标端口号,然后单击添加

配置 TCP 端口

下表列出了服务器、Citrix Receiver、IMA Service 及其他 Citrix 服务在服务器场中使用的 TCP/IP 端口。此信息可帮助您配置防火墙,并对与其他软件冲突的端口进行故障排除。
通信 默认端口 配置
Citrix AppCenter 135 不可配置
Citrix SSL Relay 443 请参阅将 SSL Relay 和 Microsoft Internet Information Services (IIS) 一起使用
Citrix XML Service 80 请参阅安装和配置
客户端到服务器(定向 UDP) 1604 不可配置
ICA 会话(客户端到服务器) 1494 请参阅 ICAPORT
Citrix 供应商守护程序 7279 请参阅许可文档
许可证管理控制台 8082 请参阅许可文档
服务器到许可证服务器 27000 在控制台中,打开服务器场或服务器属性页,并选择“许可证服务器”
服务器到 Microsoft SQL Server 或 Oracle 服务器 对于 MS-SQL 为 139、1433 或者 443 请参阅数据库软件文档
服务器到服务器 2512 请参阅 IMAPORT
远程 AppCenter 到服务器 2513 请参阅 IMAPORT
会话可靠性 2598 请参阅维护会话活动

添加代理服务器

代理服务器接受来自用户设备的连接请求,并将这些请求重定向到适当的 XenApp 服务器。使用代理服务器与使用防火墙很相似,使您能够更有效地控制对 XenApp 服务器的访问并提高网络的安全级别。但是与防火墙相反,代理服务器和 XenApp 服务器使用不同的端口。

有关将代理服务器与 Citrix Receiver 结合使用的信息,请参阅 Citrix Receiver 文档。

支持的代理服务器有:

  • Microsoft Internet Security and Acceleration (ISA) Server 2004 和 2006
  • iPlanet Web Proxy Server 3.6
  • Squid 2.6 STABLE 4
  • Microsoft Proxy Server 2.0

为工作区控制配置身份验证

如果用户使用智能卡或传递身份验证登录,您必须在运行 Web Interface 的服务器和 Web Interface 访问已发布应用程序的场中的任何服务器之间建立信任关系。如果没有信任关系,则“断开连接”、“重新连接”和“注销”(“工作区控制”)命令对于使用智能卡或传递身份验证登录的用户来说将无效。有关工作区控制的详细信息,请参阅确保移动办公工作人员的会话连续性

如果您的用户键入自己的凭据,通过了 Web Interface 或 Citrix Receiver 的身份验证,则无需建立信任关系。

要建立信任关系,请配置 Citrix 计算机策略信任 XML 请求设置。Citrix XML Service 在运行 Web Interface 的服务器和运行 XenApp 的服务器之间传送有关已发布应用程序的信息。

如果将服务器配置为信任发送到 Citrix XML Service 的请求,请考虑以下因素:
  • 除非您要实现工作区控制并且您的用户使用智能卡或传递身份验证登录,否则不需要信任关系。
  • 仅在 Web Interface 直接联系的服务器上启用信任关系。这些服务器在 Web Interface 控制台中列出。
  • 建立信任关系时,依赖 Web Interface 服务器对用户进行身份验证。为了避免安全风险,请使用 SSL Relay、IPSec、防火墙或任何可确保只有可信服务与 Citrix XML Service 进行通信的技术。如果您建立信任关系但不使用 IPSec、防火墙或其他安全技术,则任何网络设备都可能断开或终止客户端会话。
  • 配置 SSL Relay、IPSec、防火墙或用于确保环境安全的其他技术,以便只有 Web Interface 服务器可以访问 Citrix XML Service。例如,如果 Citrix XML Service 与 IIS 共享端口,您可以使用 IIS 中的 IP 地址限制功能来限制对 Citrix XML Service 的访问。

在不使用 HTTPS 的情况下通过端口 443 运行 SSL Relay

  1. 停止 Microsoft Internet Information Services。
  2. 配置并启动 SSL Relay Service。
  3. 重新启动 Microsoft Internet Information Services。

SSL Relay 在 IIS 之前使用端口 443,包括服务器重新启动时。

注意:配置 XenApp 后,用户组中的成员可以编辑 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Secure\Citrix\Citrix SSL Relay 或 HKEY_LOCAL_MACHINE\SOFTWARE\Secure\Citrix\Citrix SSL Relay(XenApp 32 位版本)注册表配置单元中的注册表项。可以使用 Microsoft 安全配置和分析工具防止用户组中的成员编辑这些注册表项。

配置 SSL Relay 允许的密码集

使用 Citrix SSL Relay 配置工具可以配置 SSL Relay 将从客户端(运行 Web Interface 或 Citrix Receiver 服务器)所接受的密码集组合。 密码集对话框列出了可用和允许的密码集。 SSL Relay 只接受来自特定客户端的连接,这些客户端必须至少支持一个允许的密码集。 不支持安装其他密码集。

注意:TLS v1.2 不受 Web Interface XML 传输类型 SSL Relay 支持。

可用密码集分为 GOV(政府)组或 COM(商业)组。 请注意,如果指定了 TLS,通常会使用 GOV 密码集。 不过,任何密码集和安全协议的组合均是可用的。 联系您组织的安全专家,获得有关应使用哪些密码集的指导。

有关密码集的说明可在线从 Internet Society RFC 2246 的附录 C 获得,网址为 http://www.rfc-editor.org

默认情况下,允许使用任何受支持的密码集进行连接。

添加或删除密码集

  1. 在安装了 Citrix SSL Relay 的服务器上,依次单击所有程序 > Citrix > 管理工具 > Citrix SSL Relay 配置工具。 单击密码集选项卡。
  2. 从左侧列中选择密码集。 要允许该密码集,请单击添加。 要禁用该密码集,请从右侧列中单击删除