Как установить и настроить Citrix Web Interface 4.6 и Citrix Secure Gateway на одном сервере (часть 1)
Введение
Citrix Web Interface 4.6 — это приложение ASP.Net 2.0, которое обеспечивает доступ к опубликованным приложениям Citrix через веб-браузер. При самостоятельном развертывании интернет-пользователям требуется прямая связь ICA (TCP-порт 1494) или Common Gateway Protocol (TCP-порт 2598) с каждым сервером Citrix, на котором размещены их опубликованные приложения. Поскольку это включает в себя разрешение безопасной связи из общедоступного Интернета в частную сеть и открытие портов брандмауэра. Кроме того, требуется, чтобы клиент мог успешно обмениваться данными через порты 1494 или 2598.
Citrix Secure Gateway 3.0 (CSG) — это обратный прокси-сервер, который обеспечивает безопасный удаленный доступ к опубликованным приложениям Citrix через SSL (TCP-порт 443). При развертывании в демилитаризованной зоне он решает ранее перечисленные проблемы с безопасностью и доступом, т. е. клиенту нужно только иметь возможность связываться с CSG через порт 443, а CSG взаимодействует от имени клиентов с серверами Citrix в частной сети. Связь между общедоступным Интернетом и частной/корпоративной сетью отсутствует.
И Citrix Web Interface, и Secure Gateway доступны клиентам Citrix Presentation Server через http://www.mycitrix.com.
Требования к программному обеспечению (для компьютера, на котором будут размещены Web Interface 4.6 и Secure Gateway 3.0):
- ОС Windows Server, т. е. 2003 Web или 2003 Standard Edition.
- IIS с ASP.Net
- Сетевая структура 2.0
- Распространяемый пакет Microsoft Visual J# версии 2.0
- Консоль управления доступом для Presentation Server 4.5 (только Framework)
- Веб-интерфейс 4.6 Расширение консоли управления доступом
- Сертификат стороннего SSL-сервера (например, от Verisign, Thawte, GeoTrust, GoDaddy…)
Требования к оборудованию:
- Сервер, способный работать под управлением ОС Windows Server с IIS
- Брандмауэр с DMZ доступный порт DMZ
Веб-интерфейс 4.6 для Windows — установка и настройка
Первоначальную установку и настройку сервера веб-интерфейса/безопасного шлюза следует выполнять в частной сети, чтобы убедиться, что все компоненты работают правильно, прежде чем перемещать сервер в демилитаризованную зону. Поскольку конечный пункт назначения сервера находится в DMZ, сервер НЕ должен быть членом домена.
После установки предварительных требований программного обеспечения с 1 по 6 загрузите и запустите программу установки веб-интерфейса (WebInterface.exe). Установите веб-интерфейс и примите значения по умолчанию.
Загрузите веб-клиент Citrix и поместите файл ica32web.msi в папку « C:Program FilesCitrixWeb Interface4.6Clientsica32 ».
Загрузите Citrix Java Client и поместите компоненты в папку « C:Program FilesCitrixWeb Interface4.6Clientsicajava ».
Запустите консоль управления доступом (AMC). При первом запуске AMC выполняется обнаружение для определения управляемых компонентов.
Выберите параметр «Не связываться с серверами, на которых запущена служба конфигурации», если вы не хотите централизованно хранить конфигурацию веб-интерфейса (см. Руководство администратора веб-интерфейса).
После завершения процесса обнаружения щелкните правой кнопкой мыши узел веб-интерфейса на левой панели AMC -> выберите «Создать сайт».
Выберите вариант по умолчанию для типа сайта (сайт платформы доступа).
На шаге «Указать расположение IIS» при создании сайта установите флажок «Установить страницу по умолчанию для сайта IIS». Примите значения по умолчанию для остальной части процесса создания сайта.
После создания сайта необходимо настроить первоначальные настройки. На этом экране введите имя фермы Citrix, затем введите как минимум один сервер из фермы Citrix, с которым будет взаимодействовать веб-интерфейс. Веб-интерфейс взаимодействует со службой XML на настроенном сервере Citrix через XML-порт фермы (по умолчанию — 80). Обратитесь к свойствам фермы серверов Citrix в консоли Presentation Server, если не знаете, какой номер порта ввести.
Лучшей практикой будет ввести как минимум два XML-сервера (для резервирования) и ввести серверы Citrix, настроенные как сборщики данных. Когда пользователь вводит свои учетные данные для входа в веб-интерфейс, веб-интерфейс взаимодействует со службой XML для аутентификации пользователя и возврата набора приложений для этого пользователя.
XML-серверы можно вводить как их NetBIOS, FQDN или IP-адреса, в зависимости от используемого механизма разрешения имен. Поскольку сервер окажется в DMZ, для ввода IP-адреса требуется наименьшее количество открытых портов (между DMZ и частной сетью).
На экране «Выберите тип приложения» выберите «Удаленный», если только вы не планируете использовать функцию потоковой передачи приложений Presentation Server 4.5 для потоковой передачи приложений на клиентские компьютеры. Примите значения по умолчанию для оставшейся части мастера начальной настройки.
На этом этапе Citrix Web Interface готов к тестированию, чтобы убедиться, что он настроен правильно. Чтобы проверить, работает ли веб-интерфейс, откройте Internet Explorer на сервере веб-интерфейса и перейдите по адресу http://localhost. Без какой-либо дополнительной настройки можно будет успешно входить в систему и запускать приложения из настроенной фермы Citrix.
После успешного ввода учетных данных для входа в систему должен быть представлен следующий мастер обнаружения клиентов Citrix (если клиент Citrix не установлен).
Нажатие кнопки «Обнаружить клиент» запускает сканирование для проверки клиентского компьютера на наличие установленного клиента Citrix. Если клиент не обнаружен, пользователю предоставляется следующий экран, на котором можно запустить установку веб-клиента Citrix.
Если конечный пользователь нажимает кнопку «Загрузить», пакет установки веб-клиента Citrix загружается из «C:Program FilesCitrixWeb Interface4.6Clientsica32ica32web.msi» на сервере веб-интерфейса.
Нажмите «Выполнить» и продолжите установку клиента. После завершения установки конечному пользователю предоставляется следующий экран.
Нажмите «Успешно», чтобы перейти к набору приложений клиента.
Нажмите на одно из приложений. Если приложение запускается, базовая конфигурация Citrix Web Interface выполнена успешно. Следующим шагом является получение сертификата сервера SSL, который будет использоваться Citrix Secure Gateway.
Конфигурация SSL-сертификата сервера
Поскольку Citrix Secure Gateway используется для обеспечения безопасного удаленного доступа, требуется сертификат доверенного стороннего SSL-сервера. Чтобы получить сертификат, запустите Управление компьютером и перейдите к Службы и приложения -> Диспетчер информационных служб Интернета (IIS) -> Веб-сайты -> Веб-сайт по умолчанию -> Свойства -> Безопасность каталога.
Нажмите кнопку «Сертификат сервера», чтобы запустить «Мастер сертификатов веб-сервера». Выберите «Далее» -> «Создать новый сертификат» -> «Подготовить запрос сейчас, но отправить позже».
В поле имени введите понятное имя, точно описывающее, для чего будет использоваться сертификат, например «Citrix Secure Gateway». Нажмите "Далее.
Информация на странице «Информация об организации» — это то, что будет отображаться на SSL-сертификате при просмотре конечным пользователем.
Общее имя сайта — это наиболее важная часть вводимой информации. Оно ДОЛЖНО совпадать с полным доменным именем, к которому будет обращаться конечный пользователь. Оно не обязательно должно совпадать с NetBIOS-именем сервера, но необходимо настроить DNS для разрешения этого имени на настраиваемый сервер.
На экране географической информации важно, чтобы слово «Штат/провинция» было написано полностью, так как запрос не будет принят сторонним центром сертификации, если штат/провинция указана сокращенно.
Информация, введенная в мастере сертификатов IIS, выводится в текстовый файл, содержимое которого отправляется в сторонний центр сертификации через онлайн-форму покупки сертификата.
После приобретения сертификата сервера SSL в выбранном вами центре сертификации сертификат необходимо установить на веб-интерфейсе / сервере защищенного шлюза. Следующие шаги могут немного отличаться в зависимости от поставщика, но в этом примере мы будем использовать сертификаты от GoDaddy.com. GoDaddy предоставляет два сертификата: промежуточный центр сертификации и приобретенный сертификат сервера SSL. В соответствии с инструкциями поставщика мы открываем Консоль управления сертификатами через Пуск -> Выполнить -> MMC -> Файл -> Добавить/удалить оснастку -> Добавить -> Сертификаты -> Добавить -> Учетная запись компьютера -> Далее -> Локальная. Компьютер -> Готово.
Щелкните правой кнопкой мыши «Промежуточные центры сертификации», выберите «Все задачи» -> «Импорт» -> «Обзор» и выберите корневой сертификат, предоставленный поставщиком.
Нажмите «Далее» и примите расположение промежуточных центров сертификации по умолчанию.
Нажмите «Далее», чтобы завершить импорт сертификата.
Откройте Диспетчер IIS -> Веб-сайты -> Веб-сайт по умолчанию -> Свойства -> Безопасность каталога -> Сертификат сервера.
Нажмите «Далее», чтобы продолжить работу мастера сертификатов веб-сервера.
Выберите «Обработать ожидающий запрос и установить сертификат». Нажмите «Далее», чтобы продолжить.
Найдите или введите путь к загруженному сертификату сервера SSL. Нажмите «Далее», чтобы продолжить.
Измените «SSL-порт, который должен использовать этот веб-сайт» с 443 на 444 или другой неиспользуемый порт. Очень важно НЕ принимать порт по умолчанию 443, так как этот порт будет использоваться Citrix Secure Gateway.
Чтобы проверить правильность установки SSL-сертификата и правильную настройку IIS, перезапустите IIS через «Пуск -> Выполнить -> cmd -> IISRESET». После перезапуска IIS перейдите к https://FullyQualifiedDomainName:444. Это НЕ тот URL-адрес, который будут вводить клиенты, поскольку они будут подключаться к Citrix Secure Gateway через стандартный порт HTTPS (443). Это делается только для того, чтобы убедиться, что сертификат был правильно установлен и что Citrix Web Interface по-прежнему работает. Запись узла DNS (A) или псевдонима (Cname) должна быть настроена для преобразования полного доменного имени в IP-адрес сервера, который настраивается для правильного отображения веб-страницы.
Во второй части этой статьи мы рассмотрим установку и настройку Citrix Secure Gateway, а также необходимую настройку брандмауэра.