Как установить и настроить Citrix Web Interface 4.6 и Citrix Secure Gateway на одном сервере (часть 2)

Опубликовано: 23 Апреля, 2023

Как установить и настроить Citrix Web Interface 4.6 и Citrix Secure Gateway на одном сервере (часть 1)


В первой части этой статьи было описано, как выполнить базовую установку Citrix Web Interface 4.6 и как запросить и установить сторонний сертификат сервера SSL. Во второй части описывается, как установить и настроить Citrix Secure Gateway 3.0 на том же сервере, чтобы пользователи Интернета могли безопасно подключаться к серверам Citrix в частной сети.


Предпосылки:



  1. Настроен и протестирован (в частной сети) Citrix Web Interface.
  2. Установлен сторонний сертификат сервера SSL.
  3. Порт IIS HTTPS настроен на порт, ОТЛИЧНЫЙ от 443, т.е. 444.
  4. Компакт-диск с компонентами Citrix Presentation Server или доступ к загрузке Secure Gateway 3.0 с сайта www.mycitrix.com.
  5. Брандмауэр с портом DMZ.
  6. Возможность подключения как минимум к одному Citrix Secure Ticket Authority (встроенному в службу XML на Presentation Server 4.x).

Настраивать


Теперь, когда Citrix Web Interface 4.6 установлен и протестирован, а сертификат сервера SSL установлен, пришло время установить Citrix Secure Gateway 3.0. Лучше всего оставить сервер в частной сети до тех пор, пока не будет протестирована вся система, чтобы упростить устранение неполадок, поскольку не нужно беспокоиться об открытых портах брандмауэра.


Получите доступ к компакт-диску Citrix Presentation Server Components или загрузите Secure Gateway 3.0 с сайта www.mycitrix.com. Чтобы начать настройку, дважды щелкните файл CSG_GWY.MSI.



Нажмите «Далее», прочтите и примите Лицензионное соглашение.



Выберите «Безопасный шлюз» и нажмите «Далее».



Примите «Папку назначения» по умолчанию и нажмите «Далее».



На экране выбора учетной записи службы выберите «СЕТЕВАЯ СЛУЖБА» и нажмите «Далее».



Просмотрите параметры установки и нажмите «Далее», чтобы начать установку.



Если установка прошла успешно, отображается этот экран.



Чтобы начать настройку Citrix Secure Gateway, нажмите «ОК», чтобы запустить «Мастер настройки Secure Gateway».


Конфигурация



Выберите ТОЛЬКО вариант защиты «MetaFrame Presentation Server», затем нажмите «ОК».



Выберите тип конфигурации «Дополнительно», затем нажмите «Далее».



Выберите сертификат сервера SSL, который был установлен в первой части. Нажмите «Просмотр», чтобы убедиться, что выбран правильный сертификат.



Элементы для просмотра обведены красным на изображении выше:



  • «Кому выдано:» ДОЛЖНО быть FQDN (полное доменное имя), которое конечные пользователи будут вводить в своем интернет-браузере для обращения к защищенному шлюзу.
  • «Действителен с» ДОЛЖЕН быть текущим диапазоном дат.
  • В нижней части вкладки «Общие» ДОЛЖЕН быть текст «У вас есть закрытый ключ, соответствующий этому сертификату». Если это не отображается, возможно, сертификат был скопирован с другого сервера, где он ДОЛЖЕН быть экспортирован в файл.PFX, включая закрытый ключ. Это можно сделать с помощью MMC сертификатов на исходном сервере.


На экране «Настройка параметров безопасного протокола» примите параметры по умолчанию и нажмите «Далее».



Предполагая, что на вашем сервере есть только один активный сетевой интерфейс, примите параметр по умолчанию «Контролировать все IP-адреса» и прослушивайте TCP-порт 443. Нажмите «Далее», чтобы продолжить.



На экране «Настройка исходящих подключений» примите значение по умолчанию и нажмите «Далее», чтобы продолжить.



На экране «Сведения о сервере, на котором работает Secure Ticket Authority (STA)», нажмите кнопку «Добавить».



Во всплывающем окне «Подробности Secure Ticket Authority (STA)» введите полное доменное имя сервера Citrix. Обычно это коннектор данных зоны и тот же сервер, который указан в XML-серверах фермы в конфигурации веб-интерфейса. Если ферма Citrix настроена на использование любого другого порта TCP по умолчанию, равного 80, добавьте номер порта к полному доменному имени, перед которым ставится двоеточие, например «ctxs-cps.scs.local:8080». Если требуется обеспечить безопасность трафика между Secure Gateway и STA, установите флажок в разделе «Настройки протокола» и введите соответствующий TCP-порт. Для этого требуется сертификат сервера SSL на сервере, на котором размещается STA.



Для резервирования можно добавить вторичную и третичную STA, повторив предыдущий шаг. Когда закончите, нажмите «Далее», чтобы продолжить.



На экране «Параметры подключения» примите параметры по умолчанию и нажмите «Далее», чтобы продолжить.



Если вы подключаетесь к Secure Gateway с балансировкой нагрузки, добавьте IP-адрес устройства на экране «Logging Exclusions», в противном случае нажмите «Далее», чтобы продолжить.



Предполагая, что Secure Gateway находится на том же сервере, что и Citrix Web Interface, примите круговую кнопку «Непрямой» по умолчанию и флажок «Установлено на этом компьютере» по умолчанию. Если Secure Gateway будет использоваться с сервером Web Interface, размещенным на другом сервере, снимите флажок «Установлено на этом компьютере» и введите полное доменное имя сервера Web Interface в разделе «Подробности».



Выберите желаемое количество «Параметры регистрации» и нажмите «Далее», чтобы продолжить.



Нажмите «Готово», чтобы запустить службу Secure Gateway.



Откройте «Secure Gateway Management Console» и нажмите «Secure Gateway Diagnostics», чтобы убедиться, что настройки, выбранные в мастере настройки, действительны.



Запустите Консоль веб-интерфейса (через Консоль управления доступом). Щелкните правой кнопкой мыши сайт веб-интерфейса -> Управление безопасным клиентским доступом -> Изменить настройки шлюза.



Введите полное доменное имя только что настроенного сервера Secure Gateway, затем добавьте URL-адрес в Secure Ticket Authority, как показано на рисунке выше. Первоначально оставьте надежность сеанса отключенной, пока Secure Gateway и веб-интерфейс не будут протестированы и к Secure Gateway не будет применено последнее исправление. Нажмите «ОК».



Щелкните правой кнопкой мыши сайт веб-интерфейса -> Управление безопасным клиентским доступом -> Изменить настройки DMZ.



Отредактируйте параметр «IP-адрес клиента по умолчанию» и выберите «Прямой шлюз», чтобы клиенты могли получать доступ к ферме серверов презентаций через безопасный шлюз, а не получать файлы ICA, содержащие частный IP-адрес целевого сервера Citrix. Нажмите «ОК».



Поскольку безопасный шлюз все еще находится в частной сети, отредактируйте файл hosts (%WinDir%system32driversetchosts) на рабочей станции тестового клиента и добавьте запись для полного доменного имени, указанного в сертификате сервера SSL.



На рабочей станции тестового клиента откройте Интернет-браузер и укажите полное доменное имя шлюза безопасности, например https://citrix.sessioncomputing.com. Поскольку IIS НЕ прослушивает порт 443, а Secure Gateway прослушивает, Secure Gateway должен автоматически проксировать запрос на страницу входа в веб-интерфейс. На странице должен отображаться значок SSL Secured (128 Bit) в строке состояния интернет-браузера (показан выше).



Запустите опубликованное приложение через веб-интерфейс и убедитесь в Центре подключения Program Neighborhood, что приложение было запущено через Secure Gateway. Это отмечено черным замком в наборе приложений в разделе «Соединения ICA». Кроме того, при просмотре свойств подключения уровень шифрования отображается как «128-битный SSL/TSL используется» (показано выше).



Кроме того, это можно подтвердить с помощью «Информации о сеансе» в консоли управления Secure Gateway, которая отображает IP-адрес клиента, пользователя, домен, время установления и истекшее время.


Теперь, когда конфигурация протестирована, загрузите последнее исправление для Secure Gateway 3.0, в настоящее время SGE300W800. Это накопительное исправление, содержащее все исправления из исправлений с SGE300W001 по SGE300W007.



Выйдите из всех сеансов Secure Gateway и запустите SGE300W800.MSI. Нажмите «Далее», чтобы продолжить.



Если во время установки исправления SGE300W800.MSI возникает ошибка, показанная выше, найдите %SystemDrive% для «msvcr71.dll».



Скопируйте «msvcr71.dll».



Вставьте dll в %WinDir%System32 и нажмите «Повторить попытку», чтобы запустить службу Secure Gateway.



Нажмите «Готово», чтобы завершить установку исправления.



Для установки этого исправления требуется перезагрузка, поэтому нажмите «Да», чтобы перезапустить сервер Secure Gateway.


После перезагрузки системы повторно протестируйте запуск приложений через URL-адрес защищенного шлюза и веб-интерфейс. Если приложения запускаются успешно, включите Надежность сеанса в Консоли веб-интерфейса -> Сайт веб-интерфейса -> Щелчок правой кнопкой мыши -> Управление безопасным клиентским доступом -> Изменить настройки шлюза, если это необходимо. Включение надежности сеанса изменяет протокол связи между Secure Gateway и серверами Citrix Presentation Server с порта TCP 1494 (ICA — независимая вычислительная архитектура) на порт TCP 2598 (CGP — общий протокол шлюза).


Обновления исправления SGE300W003, включенные в SGE300W800, позволяют отображать больше столбцов в консоли управления Secure Gateway. Столбцы Server, Application и Session Idle Time можно включить в консоли управления Secure Gateway, добавив следующие записи реестра на сервере Secure Gateway.


Редактор реестра Windows версии 5.00


[HKEY_LOCAL_MACHINEПРОГРАММНОЕ ОБЕСПЕЧЕНИЕCitrixCitrix Secure Gateway3.0]
«ToolsDir» = «C:\Program Files\Citrix\Secure Gateway\»
"ShowServerAndAppForSession"=dword:00000001
"ShowTimeIdleForSession"=dword:00000001


Теперь, когда безопасный шлюз и веб-интерфейс были протестированы в частной сети, пришло время переместить машину в демилитаризованную зону и провести повторное тестирование. Когда машина подключена к DMZ, запись Public DNS A (Host) необходимо будет обновить или добавить для безопасного шлюза, чтобы пользователи Интернета могли обращаться к машине через полное доменное имя.


Требуемые правила брандмауэра



  • Интернет в DMZ (Secure Gateway Server) — разрешить TCP-порт 443.
  • DMZ (Secure Gateway Server) в частную сеть (служба STA и XML) — разрешить TCP-порт 80, или порт службы XML фермы, или TCP-порт 443 при защите трафика STA через SSL.
  • DMZ (Secure Gateway Server) в частную сеть (Citrix Presentation Servers) — разрешить порт TCP 1494 (без надежности сеанса) или порт TCP 2598 (с надежностью сеанса).

Ниже приведен пример схемы фермы Citrix, настроенной для использования Secure Gateway и веб-интерфейса, как описано в этой статье.



Резюме


Citrix Web Interface 4.6 и Citrix Secure Gateway 3.0 могут спокойно находиться в демилитаризованной зоне на одном сервере Windows с одним IP-адресом и одним сертификатом сервера SSL. Существуют и другие конфигурации, которые можно использовать в зависимости от требований безопасности. См. документацию по альтернативным сценариям развертывания в Руководстве администратора и Руководстве по устранению неполадок.


использованная литература


Исправление SGE300W008 — для Citrix Secure Gateway 3.0


Объяснение надежности сеанса ICA, общий протокол шлюза, TCP-порт 2598


Жизненный цикл продукта Citrix Secure Gateway


Руководство по устранению неполадок Secure Gateway 3.0 для Presentation Server


Развертывание веб-клиента 10.1 для Windows через веб-интерфейс 4.6


Руководство администратора веб-интерфейса


Как установить и настроить Citrix Web Interface 4.6 и Citrix Secure Gateway на одном сервере (часть 1)