Installieren und Konfigurieren von Citrix Secure Gateway 3.0 – CSG 3.0

Dieses Verfahren wird erläutert, wie eine Citrix-Umgebung über das Internet sichern oder von der CSG Citrix Secure Gateway, Dies ermöglicht es uns auch nicht die typischen Ports öffnen müssen 1494 und 2598 Firewall, sondern einfach mit der 443 oder wir wollen, dass alles passieren, und dies wird von der CSG verwaltet werden. Es wird eine sichere Verbindung mit einem Serverzertifikat auf dem Webserver installiert sein.

mein Fall, Ich habe ein einfaches Netzwerk, keine DMZ oder irgendetwas, LAN, ein normales Netzwerk, wo ich einen Server (oder wir wollen) mit Presentation Server und einem mit dem Web-Interface (Webinterface), ein W2K3PS01, was ich will, ist, dass meine Kunden aus dem Internet, um es zu verbinden sicher, Gehen Sie mich auf einem Server installieren CSG (Es kann das gleiche wie der Presentation Server sein – PS, aber es ist nicht mein Fall), da ich ein Web-Server gebucht haben die Gelegenheit nutzen und installieren, CSG erfordert IIS als Serverzertifikat. Ich auf meinem Server Web (W2K3WWW01) Ich habe eine Unternehmens-Website (puerto 80) und ein sicheres Extranet (puerto 443), Ich brauche einen Anschluss an meine Kunden machen von außerhalb meiner CSG zu verbinden, Ich verwende die 444 mit sicherer Schicht. mehr Details, Ich spiele ich alle, Ich änderte während der Installation von PS XML-Port 80 al 82, so meine XML-Port ist der 82. Nach Abschluss der gesamten Setup-Prozess, wenn jemand möchte meine Web-Interface zum Anschluss von außen muss https setzen://www.bujarra.com:444, Wenn Sie nicht nur an den Web-Client Verbindung herstellen möchten und Program Neighborhood angeben es bei der Konfiguration des CSG. Typischerweise haben W2K3WWW01 in einer DMZ-Ports und Karten 443, XML (82 in meinem Fall), 1494 und 2598 al W2K3PS01.

Tal, zuerst, CSG in W2K3WWW01 zu installieren, muss die CD-Komponente in ihr, Wählen Sie die zweite Option „Secure Gateway“.

und wieder „Secure Gateway“.

Wir ließen einen Assistenten, Es ist eine sehr schnelle Installation und dauert nur Speicherplatz und / oder Leistung auf dem Server, klicken Sie auf „Nächster“.

Wir nehmen die Vereinbarung und „Nächster“,

wählen „Secure Gateway“, die erste Option und „Nächster“,

Der Pfad, in dem standardmäßig installiert, Wenn wir klicken vereinbaren „Nächster“,

, Dass Benutzer Dienste Secure Gateway gestartet, typischerweise zeigen „LocalSyatem“, fortsetzen.

… Wir warteten ein paar Sekunden, während der Installation…

Tal, die, so einfach ist installiert, „Fertig“,

Aber jetzt wird, klicken Sie auf „OK“ so dass wir die Setup-Assistenten überspringen,

Wir werden feststellen, dass Produkte sicher, in meinem Fall, nur „Metaframa Presentation Server“, wir geben „OK“,

„Standard“ und „Nächster“ (Wenn Sie mehr ein wenig anpassen möchten wir den erweiterten Assistenten tun),

Hier werden wir Zertifikate zeigen, installiert auf dem Server IIS, Wenn Sie nicht verlassen uns entweder wir oder eine CA erzeugen, oder irgendeine Art CA kaufen Verisign, Wenn ein gültiges Zertifikat kann nicht fortgesetzt werden, zu installieren, ein oder bauen, wenn wir wissen, dass wir bei diesen Verfahren aussehen können: Installieren Sie eine CA –A oder installieren Sie ein Zertifikat – A. wir geben „Nächster“,

Tal, Dies ist der Hafen, in dem wir den Kunden von außen verbinden (aus dem Internet), in meinem Fall werde ich verwenden 444 (und nicht die 443 der es eine standardmäßig, es ist, weil ich ein mit einem Unternehmen Extranet haben). „Nächster“.

Ich werde nicht Einschränkungen verwenden, so „Nächster“,

Tal, Jetzt muss ich angeben, die der Server STA (STA ist die Metaframe-Server, der die Datenbank von Presentation Server hat, Wenn wir nur eine PS haben wird, dass sein, oder wenn wir mehr haben wird die erste PS sein, der in der Gemeinde angesiedelt) hinzufügen, so klicken Sie auf „Hinzufügen“ und FQDN müssen Sie Ihren vollständigen Namen angeben, die „Pfad“ wir lassen es wie und „Protokolleinstellungen“ anzeigen, welche mit dem Port der CSG mit dem PS kommunizieren, was es ist die XML, in meinem Fall 82. Unnötig Verkehr zwischen der STA und der CSG gehen sicher, denn das ist unser LAN, wir geben „OK“ und dann „Nächster“,

Wir bitten für das Webinterface, wo dies und auf diese Weise, das Webinterface in meinem Fall ist W2K3PS01 (Es verfügt über die Standard-Web-Site sein) und Hafen 80, so habe ich die erste Option „Indirekt“ und distanzierte Prüfung, die nicht auf diesem Server installiert ist. Daten zeigten, mich unten zu fragen und geben „Nächster“

Welche Arten von Veranstaltungen wollen wir in der Ereignisanzeige setzen, Wir werden einen Abschnitt erstellen nur für ihn Gateway-Secure, in meinem Fall zeige ich Fehler und Ereignisse an ‚tödlich‘, wir geben „Nächster“,

Wir markieren die Überprüfung der „Starten Sie den Secure Gateway“ zum Starten des Service, den wir CSG. Und klicken Sie auf „Fertig“.

gut, CSG ist Teil des bereits abgeschlossen, Nun wird ein paar Veränderungen an den PS, Wenn eine Verbindung ein Client mit dem Internet von Citrix, mit unserer öffentlichen IP (in meinem Fall 190.30.90.50) und die IP wird an den PS-Server weitergeleitet, PS reagiert auf die IP des Antrags ist nicht der Kunde, so würde die Verbindung fehlschlagen, weil seine privaten IP statt públcia wieder her und außen kann logischerweise nicht an privaten verbinden. In der PS MSDOS Konsole wird geöffnet und als alternative Adresse öffentliche Adresse von CSG hinzugefügt, mit ALTDDR, so von MSDOS Konsole in PS: „altaddr IPPUBLICA / set“ und wir fanden, dass gut klemmt mit „Altddra“.

Tal, jetzt vom Server mit dem Webinterface, Wir öffnen die Konsole: „INCI“ > „Programme“ > „Citrix“ > „Metaframe Presentarion Server“ > „Access Suite Console para Presentation Server“. Und wir werden „Suite-Komponenten“ > „Konfigurationstools“ > „Web-Interface“ und auf unserer, Recht „Sicheren Clientzugriff verwalten“ > „Bearbeiten DMZ-Einstellungen“

in Verbindung „vorbestimmte“ Klicken Sie auf die Schaltfläche „Veränderung“ und stattdessen ist es „direkt“ werden „Direkter Gateway zu Halten“ und akzeptieren. Wenn aus unseren LAN-Beiträgen auch Zugriff auf das Webinterface und wollen nicht CSG verwenden (wie sie sind auf dem LAN), Wir können einen IP-Bereich hinzufügen und sagen, dass es eine direkte Verbindung (würden Sie auf „hinzufügen…“ und wir setzen den IP-Bereich unserer LAN mit Mascara, Wir in der angegebenen Zugriffsmethode, die ist „direkt“. Wir nehmen alle.

Und jetzt wieder, von, „Suite-Komponenten“ > „Konfigurationstools“ > „Web-Interface“ und auf unserer, Recht „Sicheren Clientzugriff verwalten“ > „Secure Gateway Konfigurationsänderung“.

in „Servidor Secure Gateway“ wer ist der Server CSG (Ich habe www.bujarra.com, dass meine öffentlichen Namen und der Name macht mein Zertifikat IIS, wenn der Zertifikatname des Servernamen tut würden wir W2K3WWW01 setzen, zum Beispiel), im „Puerto de Secure Gateway“ werden, dass wir bei der Konfiguration festgelegt, die 444 in meinem Fall. und in „URL de Secure Ticket Authority“ Wir prüfen es unserem Server STA (die erste PS) Hafen mit XML (in meinem Fall 82), Wir nehmen alle.

gut, Jetzt zu beweisen, müssen wir logischerweise die Port Karte 444 Firewall-Server CSG, Nachdem das getan, wir gehen zum Internet mit einem Laptop mit Modem, oder was auch immer, wir sind nicht in Ihrem LAN, um zu beweisen,, Wir öffnen um eine Bahn zu https://www.bujarra.com:444 und wir müssen die Web-Schnittstelle öffnen, wir authentifizieren und öffnen Sie eine Anwendung veröffentlicht.

Um zu überprüfen, ob Sie wirklich die CSG laufen, Öffnen Sie die Symbolleiste auf dem Client-PC.

Und wir werden sehen, ein Vorhängeschloss herauskommen, Dies zeigt an, dass die Verbindung verläuft durch die CSG.


Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)