In questa procedura viene illustrato come proteggere un ambiente Citrix su Internet utilizzando CSG o Citrix Secure Gateway, Questo ci permetterà anche di non dover aprire le porte tipiche 1494 e 2598 firewall, ma semplicemente con il 443 oppure quello che vogliamo passerà tutto al CSG e lui se ne occuperà. Si tratterà di una connessione sicura utilizzando un certificato del server installato sul server web.

Il mio caso, Ho una rete semplice, senza DMZ o altro, una LAN, Una rete normale, Dove posso avere un server (O quanti ne vogliamo) con Presentation Server e in uno di essi con l'interfaccia web installata (Interfaccia web), nel W2K3PS01, Quello che voglio è che i miei clienti offline si connettano ad esso in modo sicuro, per questo installo CSG su un server (può essere lo stesso del server di presentazione – PS, Ma non è il mio caso), Dato che ho un server web pubblicato, ne approfitterò e lo installerò su di esso, poiché CSG richiede IIS con un certificato server. Io sul mio server web (W2K3WWW01) Ho un sito web aziendale (porto 80) e una extranet sicura (porto 443), Ho bisogno di una porta per fare in modo che i miei client si connettano dall'esterno al mio CSG, Userò il comando 444 con strato sicuro. Altri dati, Tocco tutto, Ho cambiato la porta XML del 80 al 82, quindi la mia porta XML è la 82. Una volta terminato l'intero processo di configurazione, quando qualcuno vuole connettersi alla mia interfaccia Web dall'esterno, deve mettere https://www.bujarra.com:444, se non vogliamo che si connettano solo con il client web e lo facciamo con il Program Neighborhood, lo specificheremo durante la configurazione del CSG. La cosa normale è avere il W2K3WWW01 in una DMZ e mappare le porte 443, XML (82 Nel mio caso), 1494 e 2598 al W2K3PS01.

Ok, Per prima cosa, per installare CSG su W2K3WWW01 dobbiamo inserire il CD del componente al suo interno, Selezioneremo la seconda opzione “Gateway sicuro”.

E ancora “Gateway sicuro”.

Un assistente ci salterà addosso, Si tratta di un'installazione molto veloce e occupa pochissimo spazio e/o prestazioni sul server, Clicca su “Prossimo”.

Accettiamo l'accordo e “Prossimo”,

Selezionare “Gateway sicuro”, la prima opzione e “Prossimo”,

Il percorso in cui verrà installato per impostazione predefinita, Se siamo d'accordo, clicca su “Prossimo”,

Con quale utente inizieranno i servizi Secure Gateway?, la cosa normale è indicare “LocalSyatem”, Continuare.

… Attendi qualche secondo durante l'installazione…

Ok, già, È così semplice che è installato, “Finire”,

Ma ora resta da configurarlo, Clicca su “OK” Per ignorare l'installazione guidata,

Quali prodotti assicureremo, Nel mio caso, soltanto “Server di presentazione Metaframa”, Diamo “OK”,

“Standard” e “Prossimo” (Se vogliamo personalizzare un po' di più, possiamo fare l'assistente avanzato),

Qui ci mostrerà i certificati del server installati in questo IIS, se non ne otteniamo nessuno, dobbiamo generarlo con una CA, o acquistarli da un emittente come Verisign, Se un certificato valido non possiamo continuare, per installarne uno o generarlo se non lo sappiamo possiamo guardare queste procedure: Installare un AC –QUI o Installare un certificato – QUI. Diamo “Prossimo”,

Ok, Questa sarà la porta a cui i clienti ci collegheranno dall'esterno (Da Internet), Nel mio caso userò il 444 (e non il 443 che è che viene fornito di default, È perché ce l'ho in uno con un'extranet aziendale). “Prossimo”.

Non userò restrizioni, Così “Prossimo”,

Ok, ora ho bisogno di indicare chi è il server STA (STA è il server Metaframe che dispone del database Presentation Server, se abbiamo solo un HP sarà quello, o se ne abbiamo di più, sarà il primo SP ad essere installato nella comunità) Quindi per aggiungerlo clicchiamo su “Aggiungere” e in FQDN dobbiamo indicare il suo nome completo, Le “Sentiero” Lo lasciamo così com'è e in “Impostazioni del protocollo” indichiamo la porta con cui il CSG comunicherà con il PS, Che cos'è l'XML, Nel mio caso il 82. Non è necessario che il traffico tra la STA e il CSG sia sicuro, poiché quella è la nostra LAN, Diamo “OK” E poi “Prossimo”,

Chiedici informazioni sull'interfaccia Web, dove si trova e in quale forma, nel mio caso l'interfaccia Web è in W2K3PS01 (Deve essere il sito Web predefinito del sito Web) e in porto 80, Quindi ho messo la prima opzione “Indiretto” e deseleziona il controllo perché non è installato su questo server. Di seguito vi indico i dati che mi chiedete e vi diamo “Prossimo”

Che tipo di eventi vogliamo che inserisca nel Visualizzatore eventi?, creerà una sezione solo per questo in Secure Gateway, nel mio caso indico errori ed eventi 'fatali', Diamo “Prossimo”,

Segniamo il controllo di “Avvia il Secure Gateway” per avviare il servizio CSG per noi. E clicca su “Finire”.

Non male, la parte CSG è già finalizzata, ora alcune modifiche nel PS, quando un cliente da Internet si connette a Citrix, si connette al nostro IP pubblico (Nel mio caso 190.30.90.50) e da quell'IP viene inoltrato al server PS, il PS risponde all'IP della richiesta che non è quello del client, quindi la connessione fallirebbe perché restituisce il tuo IP privato invece di quello pubblico e dall'esterno logicamente non puoi connetterti a quello privato. Nel PS viene aperta una console MSDOS e viene aggiunto l'indirizzo pubblico del CSG come indirizzo alternativo, con ALTDDR, quindi da una console MSDOS su PS: “altaddr IPPUBLICA /set” e controlliamo che sia ben coinvolta con “Alto”.

Ok, ora dal server che ha l'interfaccia Web, Apriamo la console: “Casa” > “Programmi” > “Citrix” > “Server di presenza Metaframe” > “Console Access Suite per Presentation Server”. E andiamo a “Componenti della suite” > “Strumenti di configurazione” > “Interfaccia web” e sul nostro, Pulsante destro “Gestire l'accesso sicuro dei client” > “Modificare le impostazioni della DMZ”

Sulla connessione “Default” Clicchiamo sul pulsante “Modificare” e invece di essere “Diretto” Volontà “Diretto con Segure Gateway” e accettiamo. Se dalla nostra LAN le workstation accedono anche all'interfaccia Web e non vogliamo che utilizzino CSG (poiché si trovano sulla LAN), possiamo aggiungere un intervallo IP e dirti che si tratta di una connessione diretta (cliccheremmo su “Aggiungere…” e mettiamo la gamma IP della nostra LAN con la sua maschera, indichiamo nel metodo di accesso che è “Diretto”. Accettiamo tutto.

E ora di nuovo, poiché, “Componenti della suite” > “Strumenti di configurazione” > “Interfaccia web” e sul nostro, Pulsante destro “Gestire l'accesso sicuro dei client” > “Modifica delle impostazioni di Secure Gateway”.

In “Server gateway sicuro” metteremo chi è il server CSG (Ho messo www.bujarra.com perché è il mio nome pubblico e quello che prende il nome dal mio certificato IIS, Se il certificato nomina il nome del server, inseriremmo W2K3WWW01, Per esempio), Nel “Porta gateway sicura” Metteremo quello che abbiamo impostato durante la configurazione, Le 444 Nel mio caso. E in “URL de Secure Ticket Authority” controlliamo che sia il nostro server STA (Il primo PS) con porta XML (Nel mio caso il 82), Accettiamo tutto.

Non male, Ora per provarlo, Dobbiamo mappare logicamente il porto 444 dal firewall al server CSG, Una volta fatto ciò,, Andiamo su Internet con un laptop con un modem, o qualsiasi altra cosa, che non siamo sulla loro LAN, per provarlo, Apriamo un sito web a https://www.bujarra.com:444 ed è necessario aprire l'interfaccia web, Autentichiamo e apriamo un'applicazione pubblicata.

Per verificare se il CSG funziona davvero, apriamo l'icona della barra sul PC client.

E vedremo uscire un lucchetto, che indica che la connessione passa attraverso il CSG.