Citrix MetaFrame Feature Release 3. Руководство администратора


Развертывание MetaFrame с SSL Relay


Перед установкой SSL Relay вы должны сделать следующее:

  1. Получить сертификат сервера для каждого сервера MetaFrame XP. Для каждого сервера необходим отдельный сертификат.
  2. Установить сертификат сервер на каждый сервер MetaFrame XP.
  3. При необходимости изменить номер порта SSL Relay.
    Для использования SSL Relay и Internet Information Services (IIS) на одном и том же сервере вы должны изменить номер порта SSL, используемого IIS или SSL Relay.
  4. Выбрать в SSL Relay сертификаты сервера и допустимый криптонабор в соответствии с вашей политикой безопасности.

Шаг 1 - получение сертификата

Эксперт по безпасности вашей компании должен знать процедуру получения сертификатов. Сертификаты должны быть подписаны удостоверяющим центром (Certificate Authority, CA). Место получения сертификата зависит от разных факторов:

  • Является ли ваша организция CA
  • Установила ли ваша организация бизнес-отношения с публичным CA
  • Факт, что Windows включает в себя поддержку некоторых удостоверяющих центров
  • Стоимость сертификации и репутация CA

От удостоверяющего центра вы должны получить отдельные сертификаты для каждого сервера MetaFrame XP, на котором вы будете использовать Citrix SSL Relay.

Сертификат сервера идентифицирует некоторую машину, поэтому вам необходимо знать ее полное доменное имя (FQDN).

Вам также на каждом устройстве клиента необходимо установить кореневой сертификат. Он берется от того же CA, который выдал сертификаты севрера. Web Interface for MetaFrame XP и клиенты Citrix ICA включают поддержку следующих удостоверяющих центров:

  • VeriSign, Inc., http://www.verisign.com
  • Baltimore Technologies, http://www.baltimore.com

Это означает, что если вы используете сертификаты серверов от этих центров, вам не нужно устанавливать корневые сертификаты. Если вы используете сертификаты от других центров, то вам необходимо установить корневые сертификаты на каждое устройств клиента.

Запрос сертификата

Определившиcь с удостоверяющим центром, вы генерируете запрос сертификата, используя веб-браузер. При этом генерируется информация, называемая "запрос подписи сертификата" (certificate signing request, CSR). Эта информация посылается в центр сертификации для подписи. В ответ вы получатете ваш подписанный сертификат и пароль. Если ваша организация сама является центром сертификации, вы сами выполняете процедуру подписи.




Начало  Назад  Вперед