En este procedimiento se explica cómo asegurar un entorno Citrix a través de internet mediante CSG o Citrix Secure Gateway, esto además nos permitirá no tener que abrir los típicos puertos 1494 和 2598 del firewall, si no que simplemente con el 443 或者我们想要的任何东西都会通过CSG传递，并由CSG进行管理. 这将通过安装在Web服务器上的服务器证书实现安全连接.

Mi caso, tengo una red simple, sin DMZ ni nada, una LAN, una red normal, donde tengo un servidor (o los que querramos) con Presentation Server y en uno de ellos con el interfaz web instalado (Web 界面), en W2K3PS01, lo que quiero es que mis clientes de fuera de internet se conecten a él de forma segura, para ello instalo CSG en un servidor (puede ser el mismo que el Presentation Server – 附言, pero no es mi caso), ya que tengo un servidor web publicado aprovecharé y lo instalo en él, ya que CSG requiere IIS con un certificado de servidor. Yo en mi servidor web (W2K3WWW01) tengo una página web de empresa (港口 80) y una extranet segura (港口 443), necesito un puerto para hacer que mis clientes se conecten desde fuera a mi CSG, utilizaré el 444 con capa segura. Más datos, yo que toco todo, he cambiado durante la instalacion del PS el puerto del XML del 80 到 82, así que mi puerto XML es el 82. Una vez finalizado todo el proceso de configuración cuando alguien se quiera conectar a mi Web Interface desde fuera deberán de poner https://www.bujarra.com:444, si no queremos que sólo se conecten con el cliente web y sí con el Program Neighborhood lo especificaremos durante la configuración del CSG. Lo normal es tener el W2K3WWW01 en una DMZ y mapear los puertos 443, XML 格式 (82 就我而言), 1494 和 2598 al W2K3PS01.

还行, 首先要做的事情, para instalar CSG en W2K3WWW01 debemos meter el CD de componentes en él, 我们将选择第二个选项 “安全网关”.

再一次 “安全网关”.

助理会跳我们, 这是一个非常快速的安装，几乎不占用服务器的空间和/或性能, 点击 “下一个”.

我们接受协议并 “下一个”,

选择 “安全网关”, 第一个选项以及 “下一个”,

默认安装路径, 如果我们同意，点击 “下一个”,

Secure Gateway 服务将以哪个用户启动, 通常情况下应填写 “LocalSystem”, 继续.

… 等待几秒钟，等待它安装…

还行, 已经, 就这么简单安装完成了, “完成”,

但现在需要进行配置, 点击 “还行” 以便弹出配置向导,

我们将要保护哪些产品, 就我而言, 只 “Metaframa Presentation Server”, 我们给予 “还行”,

“标准” 和 “下一个” (如果想进一步自定义，可以使用高级向导),

这里将显示已在该 IIS 上安装的服务器证书, 如果没有显示任何证书，我们要么使用 CA 生成一个, 或者从某个颁发机构购买，例如 Verisign, si un certificado válido no podemos continuar, para instalar uno o generarlo si no sabemos podemos mirar en estos procedimientos: 安装 AC –这里 o Instalar un certificado – 这里. 我们给予 “下一个”,

还行, este será el puerto al que se nos conectarán los clientes desde fuera (来自 Internet), en mi caso usaré el 444 (y no el 443 que es que viene por defecto, es por que lo tengo en uno con una extranet de la empresa). “下一个”.

No usaré restricciones, 所以 “下一个”,

还行, ahora necesito indicar quien es el servidor STA (STA es el servidor Metaframe que tiene la BD de los Presentation Server, si sólo tenemos un PS será ese, o si tenemos más será el primer PS que se instalo en la comunidad) así que para agregarlo pulsamos sobre “加” y en FQDN debemos indicar su nombre completo, 这 “路径” lo dejamos como está y en “Protocol settings” indicamos cual es el puerto con el que se comunicará el CSG con el PS, que es el de XML, 在我的情况下是 82. No hace falta que el tráfico entre la STA y el CSG vaya seguro, ya que eso es nuestra LAN, 我们给予 “还行” y después a “下一个”,

Nos pregunta por el Web Interface, donde esta y de que forma, en mi caso el Web Interface está en W2K3PS01 (tiene que ser la web predeterminada del sitio web) y en el puerto 80, así que pongo la primera opción “Indirect” y desmarco el check por que no está instalado en este servidor. Indico abajo los datos que me pide y damos a “下一个”

Que tipo de eventos queremos que nos ponga en el Visor de Sucesos, nos creará un apartado sólo para él de Secure Gateway, en mi caso indico errores y eventos ‘fatales’, 我们给予 “下一个”,

我们标记 “Start the Secure Gateway” para que nos inicie el servicio de CSG. 然后点击 “完成”.

不错, la parte del CSG ya está finalizada, ahora unos retoques en el PS, cuando un cliente desde internet se conecta a Citrix, se conecta a nuestra IP pública (就我而言 190.30.90.50) y de esa IP se le reenvia al servidor PS, el PS responde a la IP de la petición que no es la del cliente, así que la conexión fallaría por que le devuelve su IP privada en vez de la públcia y desde fuera lógicamente no se puede conectar a la privada. En el PS se abre una consola de MSDOS y agregamos como dirección alternativa la dirección pública del CSG, con ALTDDR, así que desde una consola de MSDOS en los PS: “altaddr IPPUBLICA /set” y comprobamos que está bien metida con “altaddr”.

还行, ahora desde el servidor que tiene el Web Interface, 我们打开控制台: “开始” > “计划” > “Citrix” > “Metaframe 演示服务器” > “Presentation Server 的 Access Suite 控制台”. 然后我们到 “套件组件” > “配置工具” > “Web 界面” 在我们的上面, 右键 “管理客户的安全访问” > “修改 DMZ 配置”

在连接中 “默认” 我们点击 “修改” 而不是 “直接” 我们将放置 “通过 Secure Gateway 的直接连接” 我们接受. 如果从我们的局域网中工作站也访问 Web 界面，并且我们不希望他们使用 CSG (因为他们在局域网中), 我们可以添加一个 IP 范围并告知这是直接连接 (点击 “加…” 并输入我们局域网的 IP 范围及其子网掩码, 在访问方法中指定 “直接”. 全部接受.

现在再次, 因为, “套件组件” > “配置工具” > “Web 界面” 在我们的上面, 右键 “管理客户的安全访问” > “修改 Secure Gateway 配置”.

在 “Secure Gateway 服务器” 我们将指定谁是 CSG 服务器 (yo pongo www.bujarra.com por que es mi nombre público y al que hace nombre mi certificado del IIS, si el certificado hace nombre al nombre del servidor pondríamos W2K3WWW01, 例如), 在 “Puerto de Secure Gateway” pondremos el que hemos establecido durante la configuración, 这 444 就我而言. 在 “URL de Secure Ticket Authority” comprobamos que sea nuestro servidor STA (el primer PS) con el puerto del XML (在我的情况下是 82), 接受全部.

不错, ahora para probarlo, necesitamos lógicamente mapear el puerto 444 del firewall al servidor CSG, 一旦完成, nos vamos a internet con un portátil con modem, 或者其他什么, que no estemos en su LAN, para probarlo, abrimos una web a https://www.bujarra.com:444 y nos deberá abrir el interfaz web, nos autenticamos y abrimos alguna aplicación publicada.

Para comprobar si realmente está funcionando el CSG, abrimos el icono de la barra en el PC cliente.

Y veremos que sale un candado, eso indica que la conexión pasa por el CSG.