本片中會介紹如何配置citrix gateway(ag)。
在完成gateway配置之前,需要完成以下工作:
1.netscaler需要添加licence。
2.gateway會産生一個fqdn,需要在dns中建立,并且為其建立證書。
首先netscaler需要配置licence。
netscaler的licence需要綁定netscaler的mac位址。
建立證書
gateway會産生一個fqdn,需要在dns中建立,并且為其建立證書。是以證書需要提前準備。
本文中的證書依舊使用windows的方法去申請。
我在iis伺服器上點選證書伺服器。
然後在網頁通路http://xxxx/certsrv 其中xxxx部分為ca伺服器的域名或者ip
選擇申請證書
把申請證書時産生的txt檔案中的内容複制到下圖的保留的申請中,證書模闆選擇web伺服器。
然後完成證書申請
再導出該證書為pfx檔案。
接下來需要配置一個gateway的fqdn,需要在dns中手工添加a記錄。
還記得剛才的gw的pfx檔案嗎?
下一步,下圖顯示的是storefront的配置,url填的是storefront的域名。并且填入預設的域名。
(排錯,如果netscaler無法檢視到sf位址,請檢查sf的dns是否能夠解析sf域名)
sta url的網址預設是ddc預設是http的,如果要使用https還需要在ddc上綁定證書。這個寫法我會在後期補上。
接下來是連接配接域的設定,填寫資訊如上圖,并且連接配接測試,直到測試通過。
配置到此,netscaler配置部分完成。
(排錯)
我在編寫本文的時候,一直無法完成請求。但是用ie通路的情況下我并沒有發現證書有任何問題。是以排除證書問題,然後再看配置,發現ag向導中的storefront步驟錯了,其中要求填寫域名,我填成了域伺服器的名字,而實際隻要域本身即可。
sta使用加密傳輸
參考文檔:https://blog.51cto.com/181647568/2486924
ldap使用加密傳輸
首先要為ad建立證書。建立方法請參考上文,這裡不再重複。
這張證書要放在本地計算機目錄下的個人檔案裡。
可以通過打開mmc,然後按ctrl+m,選擇“證書”,并且選擇本機計算機來看到這個ad證書。
接下來可以驗證一下是否能夠連接配接到域。
ldap的端口是389,而ssl加密的端口則是636。
在“運作”中,輸入ldp.exe,并且選擇連接配接。
連接配接成功。現在可以在netscaler中把連接配接ldap的部分統統修改成https的。
在netscaler上建立域的負載均衡
進入traffic management / load balancing / service groups
添加一個sg,并且将protocol設定為tcp。
添加伺服器的ip。ip部分為域伺服器的ip,端口為636。
進入traffic management / load balancing / virtual servers
選擇之前的那個sg
現在這個vip用于域的位址。
在netscaler中找到一下菜單security / aaa - application traffic / policies / authentication / basic policies / ldap / policies
現在把這些ladp的連接配接方法全部改為ssl,ip位址部分使用前面建立的vip。
然後在下方的部分連接配接測試一下。
現在去登入gateway去驗證一下。
登入成功。