Развертывание MetaFrame с SSL Relay
Развертывание MetaFrame с SSL Relay
Перед установкой SSL Relay вы должны сделать следующее:
- Получить сертификат сервера для каждого сервера MetaFrame XP. Для каждого сервера необходим отдельный сертификат.
- Установить сертификат сервер на каждый сервер MetaFrame XP.
- При необходимости изменить номер порта SSL Relay.
Для использования SSL Relay и Internet Information Services (IIS) на одном и том же сервере вы должны изменить номер порта SSL, используемого IIS или SSL Relay. - Выбрать в SSL Relay сертификаты сервера и допустимый криптонабор в соответствии с вашей политикой безопасности.
Шаг 1 - получение сертификата
Эксперт по безпасности вашей компании должен знать процедуру получения сертификатов. Сертификаты должны быть подписаны удостоверяющим центром (Certificate Authority, CA). Место получения сертификата зависит от разных факторов:
- Является ли ваша организция CA
- Установила ли ваша организация бизнес-отношения с публичным CA
- Факт, что Windows включает в себя поддержку некоторых удостоверяющих центров
- Стоимость сертификации и репутация CA
От удостоверяющего центра вы должны получить отдельные сертификаты для каждого сервера MetaFrame XP, на котором вы будете использовать Citrix SSL Relay.
Сертификат сервера идентифицирует некоторую машину, поэтому вам необходимо знать ее полное доменное имя (FQDN).
Вам также на каждом устройстве клиента необходимо установить кореневой сертификат. Он берется от того же CA, который выдал сертификаты севрера. Web Interface for MetaFrame XP и клиенты Citrix ICA включают поддержку следующих удостоверяющих центров:
Это означает, что если вы используете сертификаты серверов от этих центров, вам не нужно устанавливать корневые сертификаты. Если вы используете сертификаты от других центров, то вам необходимо установить корневые сертификаты на каждое устройств клиента.
Запрос сертификата
Определившиcь с удостоверяющим центром, вы генерируете запрос сертификата, используя веб-браузер. При этом генерируется информация, называемая "запрос подписи сертификата" (certificate signing request, CSR). Эта информация посылается в центр сертификации для подписи. В ответ вы получатете ваш подписанный сертификат и пароль. Если ваша организация сама является центром сертификации, вы сами выполняете процедуру подписи.
Вы можете использовать мастер Microsoft Web Server Certificate в модуле IIS для запроса и импорта сертификата.
Запрос сертификата с использованием IIS
- Щелкните Start > Programs > Administrative Tools > Internet Services Manager.
- В консоли IIS щелкните правой кнопкой Default Web Site и выберите Properties.
- Откройте закладку Directory Security, выберите Server Certificate. Появится мастер Web Server Certificate Wizard. Щелкните Next.
- Выберите Create a New Certificate и щелкните Next.
- Выберите Prepare the request now, but send it later и щелкните Next.
- В поле Name введите имя сертификата сервера. Здесь не требуется вводить FQDN; можете ввести имя сервера.
- В поле Bit Length введите число бит, используемых при шифровании сертификата. Чем больше, тем выше безопасность. Citrix рекомендует 1024. Убедитесь, что клиенты ICA могут поддерживать такой уровень шифрования. Щелкните OK.
- Введите информацию о вашей организации и щелкните Next.
- В поле Common Name введите FQDN сервера MetaFrame, на котором работает SSL Relay. Щелкните Next.
- Заполните информацию о географическом расположении и щелкните Next.
- Сохраните запрос сертификата и щелкните Next. Проверьте информацию в окне Request File Summary. Щелкните Next и затем Finish.
Эта информация может быть отправлена любому CA.
Шаг 2 - Установка сертификата
Версия SSL relay, включенного всостав MetaFrame XP Feature Release 2 и позже, использует собственную реализацию Microsoft SSL, называемую SChannel. SSL Relay использует такое же хранение сертификатов, что и IIS, поэтому вы можете использовать IIS или Microsoft Management Console (MMC).
После получения ответа от CA вы можете вновь запустить мастер сертификатов (Web Server Certificate) для установки сертификата.
Использование для импорта сертификатов Microsoft Management Console (MMC)
- Запустите MMC (Start > Run и введите mmc)
- Если вы не видите папку Console Root, вы должны добавить модуль Certificates:
- В меню консоли выберите Add/Remove Snap-in.
- Щелкните Add
- Выберите Certificates и щелкните Add.
- Щелкните Computer account, затем Next.
- Убедитесь, что выбран Local Computer и щелкните Finish.
- Щелкните Close для закрытия окна добавления модуля
- В левой панели консоли откройте ветвь Certificates (Local Computer)
- В левой панели щелкните (+) рядом с Personal и щелкните
Certificates.
- В правой панели щелкните правой кнопкой на сертификате, выберите
All Tasks, затем Import. Появится мастер импорта сертификатов.
- Щелкните Next, затем Browse для выбора файла сертификата.
- Выберите файл и щелкните Next.
- В поле Password введите пароль личного ключа и щелните Next.
- Примите значения по умолчанию в следующем окне и щелкните Finish для импорта сертификата
Шаг 3 - изменение порта SSL
Citrix SSL Relay использует порт TCP 443, стандартный порт для соединений SSL. На большиснтве защитных экранов этот порт открыт. Вы можете настроить SSL Relay на использование другого порта. Убедитесь, что новый порт открыт на межсетевых экранах.
Важно. IIS 5.0 по умолчанию устанавливается на серверы Windows и резервирует порт 443 под соединения SSL. Для запуска сервера MetaFrame XP на Windows 2000 или Windows Server 2003, вы должны настроить либо IIS, либо SSL Relay использовать другой порт. Перед изменением порта в IIS вы должны установить сертификат сервера.
Для изменения порта IIS (включая процедуру импорта сертификата):
- Запутсите Internet Services Manager.
- Щелкните (+) рядом с Web Site в левой панели
- Щелкните правой кнопкой Default Web Site и выберите Properties.
- Выберите закладку Directory Security и щелкните Server Certificate. Появится мастер сертификатов. Следуте инструкциям по импорту сертификата.
- После установки сертификата, выберите закладку Web Site
в дислоговм окне Default Web Site Properties.
- Установите номер порта SSL в значение, отличное от 443.
- Щелкните OK и закройте окно.
Изменение номера порта в Citrix SSL Relay:
- Запустите утилиту конфигурации SSL Relay: Start > Programs > Citrix > MetaFrame XP > Citrix SSL Relay Configuration Tool
- На закладке Connection введине новый номер порта
- Щелкните OK.
Для запуска SSL Relay на порту 443 без использования HTTPS:
- Остановите IIS
- Настройте и запустите службу SSL Relay.
- Перезапустите IIS
SSL Relay будет использовать порт 443 раньше IIS.
Замечание. При установке MetaFrame XP членам группы
User разрешается менять значение в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Secure\Citrix\Citrix SSL Relay. Вы можете использовать Microsoft Security Configuration and Analysis для предотвращения изменения значений в этой ветке реестра.
Важно Если вы меняете порт Citrix SSL Relay, вы должны установить в параметре SSLProxyHost
в файле Appsrv.ini клиента ICA Win32.
Шаг 4 - Настройка SSL Relay
- На сервере MetaFrame щелкните на панели адиминистратора кнопку Citrix SSL Relay Configuration Tool.
- На закладке Relay Credentials выберите сертификаты сервера
- На закладке Connection настройте адрес и порт пересылки зашифрованных данных. SSL Relay пересылает пакеты только на указанные на этой закладке серверы.
- На закладке Ciphersuites выберите допустимые криптонаборы.
Содержание раздела