Creating a SSL certificate for Citrix Netscaler – Derek Seaman’s IT Blog

Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog Сертификаты
На чтение 13 мин. Просмотров 54 Опубликовано
Содержание
  1. Выпуск сертификата для IIS
  2. Создание каталога виртуальных машин
  3. Настройка SSL доступа к IIS
  4. Создание группы пользователей виртуальных машин — Delivery Group
  5. Установка и настройка ПО Citrix Receiver 4.0 для включения SSO при аутентификации по смарт-картам.
  6. Настройка Citrix StoreFront
  7. Проверка доступности виртуальных машин
  8. Настройка XML-запросов
  9. Настройка ПО Citrix StoreFront 2.1 для включения сквозной аутентификации по смарт-картам
  10. Настройка ПК пользователя
  11. Creating a ssl certificate for citrix netscaler
  12. Installing root and intermediate certificates
  13. Linking certificates
  14. Проверка правильности установки ssl сертификата онлаин. справочные материалы по установке и использованию сертификатов безопасности ssl
  15. Порядок настройки Single Sing-On при аутентификации по смарт-карте при использовании ПО XenDesktop 7
  16. Настройка политик аутентификации для ПО Citrix XenDesktop

Выпуск сертификата для IIS

На сервере, где установлено ПО XenDesktop 7, запустите оснастку управления сервисом Internet Information Services (IIS) (рис. 22).

Рис. 22 — Путь к оснастке управления сервисом IIS

Откройте вкладку Server Certificates (рис. 23).

Рис. 23 — Оснастка управления сервисом IIS

Выберите Create Domain Certificate (рис. 24).

Рис. 24 — Вкладка «Create Certificate»

Заполните информацию об организации для выпускаемого сертификата (рис. 25).

В поле Common name укажите полное доменное имя сервера с установленным ПО XenDesktop. В настоящем примере: xd7.aladdin.local.

Рис. 25 — Данные об организации в выпускаемом сертификате

Выберите центр сертификации организации и в поле Friendly name укажите полное доменное имя сервера с установленным ПО XenDesktop. В настоящем примере: xd7.aladdin.local (рис. 26).

Рис. 26 — Выпуск сертификата для сервиса IIS

Нажмите Finish.

Убедитесь в том, что сертификат выпущен успешно (рис. 27).

Рис. 27 — Результат выпуска сертификата

Создание каталога виртуальных машин

Перед созданием каталога для виртуальных машин необходимо подготовить эталонную машину. В данном тестовом окружении – это виртуальная машина с операционной системой (ОС) Windows 7 (32-bit).

Для подготовки эталонной машины на неё необходимо установить ПО Virtual Delivery Agent (дистрибутив которого расположен на диске с ПО XenDesktop 7.0), JC Client 6.24.16 (установка и настройка ПО JC Client 6.24.16 описаны в документе «JC-Client — Руководство администратора»), а также другое ПО, которое необходимо для работы пользователей данной группы. После установки виртуальную машину необходимо выключить.

Cоздание каталога для виртуальных машин

Настройка SSL доступа к IIS

Перейдите на вкладку

Default Web Site

и нажмите

Bindings…

В открывшемся окне нажмите Add (рис. 28).

Рис. 28 — Окно настройки «Site Bindings»

Создание группы пользователей виртуальных машин — Delivery Group

Для связи созданных виртуальных машин с пользователями, необходимо настроить группу пользователей виртуальных машин (

Delivery Group

Откройте консоль управления Citrix Studio и перейдите во вкладку Delivery Group -> Create Delivery Group (рис. 10).

Рис. 10 — Окно «Delivery Group»

Выберите ранее созданный каталог виртуальных машин и укажите, сколько виртуальных машин будет доступно для пользователей этой группы (рис. 11).

Рис. 11 — Окно «Machines»

Нажмите Next.

Выберите тип доставляемых ресурсов: приложения или виртуальные машины (рис. 12).

Рис. 12 — Выбор «Delivery Type»

Нажмите Next.

Назначьте пользователей, с которыми будут связаны виртуальные машины (рис. 13).

Рис. 13 — Окно выбора пользователей

Нажмите Next.

ПО Citrix Receiver настраивается позднее (см. раздел 2.5).

В следующем окне выберите пункт Manually, using a StoreFront server address that I will provide later (рис. 14).

Рис. 14 — Окно настройки «Citrix StoreFront»

Нажмите Next.

Проверьте итоговые настройки и определите название группы (рис. 15).

Рис. 15 — Окно «Summary»

Нажмите Finish.

Группа пользователей виртуальных машин создана (рис. 16).

Рис. 16 — Созданная «Delivery Group»

Внимание: Убедитесь в том, что все виртуальные машины в пуле зарегистрированы (имеют статус Registered (рис. 17)).

Рис. 17 — Окно статуса виртуальных машин

Установка и настройка ПО Citrix Receiver 4.0 для включения SSO при аутентификации по смарт-картам.

Для настройки сквозной аутентификации по смарт-картам на Citrix Receiver 4.0 необходимо выполнить установку Citrix Receiver 4.0 с дополнительными параметрами. Установка Citrix Receiver 4.0 выполняется из командной строки:

Про сертификаты:  Наколенники профессиональные термостойкие - купить в Москве по цене от 1 227 руб. в интернет-магазине «Союзспецодежда»

Подробную информацию для настройки аутентификации по смарт-картам можно найти на сайте электронной документации:

Настройка Citrix StoreFront

Внимание!

При работе с StoreFront в многосерверных установках используйте только один сервер при внесении изменений в настройки. Убедитесь в том, что консоль управления Citrix StoreFront не выполняется на другом сервере или серверах данной серверной группы. После завершения конфигурирования убедитесь в том, что изменения применились на все серверы группы (

Запустите Citrix Studio. Во вкладке Citrix StoreFront откройте вкладку Authentication (рис. 31).

Рис. 31 — Вкладка «StoreFront Authentication»

Выберите пункт Add/Remove Authentication Methods.

Откроется окно Add/Remove Methods (рис. 32).

Выберите метод аутентификации Smart card.

Рис. 32 — Окно «Add/Remove Authentication Methods»

Нажмите OK.

Убедитесь в том, что на вкладке Authentication добавился метод аутентификации Smart card (рис. 33).

Рис. 33 — Результат изменения методов аутентификации

Откройте Default Web Site -> Citrix -> Authentication -> Certificate (рис. 34).

Рис. 34 — Вкладка Certificate Home

Выберите пункт SSL Settings -> Require SSL. Отметьте параметр Require (рис. 35).

Рис. 35 — Настройки SSL Settings

Для проверки правильности SSL-настроек необходимо выполнить следующую последовательность действий:


Вместо xd7.aladdin.local необходимо указать полное доменное имя сервера с ПО Citrix XenDesktop.

Отобразится следующее окно, в котором необходимо выбрать сертификат пользователя (рис. 36).

Рис. 36 — Окно запроса сертификата пользователя

Выберите сертификат пользователя и нажмите OK.

Отобразится следующее окно (рис. 37).

Рис. 37 — Окно запроса PIN-кода для смарт-карты пользователя

Введите PIN-код смарт-карты пользователя и нажмите OK.

Если SSL соединение установлено успешно, то Вы увидите на открывшейся странице информацию о сертификате пользователя (рис. 38).

Рис. 38 — Окно проверки сертификата пользователя

Подключитесь к серверу с установленным ПО Citrix XenDesktop и выполните настройку протоколов связи для SSL.

Проверка доступности виртуальных машин

Перейдите на рабочую станцию (ПК) пользователя. Это Windows 7 x64 с предустановленным JC Client 6.24.16.

Настройка XML-запросов

Необходимо разрешить XML-запросы к серверу с установленным ПО Citrix XenDesktop. Для этого выполните следующие действия.

На сервере с установленным ПО Citrix XenDesktop откройте командную строку Windows PowerShell (рис. 45).

Рис. 45 — Путь к командной строке «Windows PowerShell»

В открывшейся командной строке выполните команду:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true (рис. 46)

Рис. 46 — Командная строка «Windows PowerShell»

Настройка ПО Citrix StoreFront 2.1 для включения сквозной аутентификации по смарт-картам

Внимание

: При работе с ПО Citrix StoreFront в многосерверных установках используйте только один сервер при внесении изменений в настройки. Убедитесь в том, что консоль управления Citrix StoreFront не выполняется на другом(их) серверах данной серверной группы. После завершения конфигурирования убедитесь в том, что изменения применились на все серверы группы (

Для настройки ПО Citrix StoreFront для работы SSO при аутентификации по смарт-картам необходимо выполнить следующие действия на сервере с установленным ПО Citrix StoreFront:

В качестве итога хочется ещё раз отметить преимущества применения строгой двухфакторной

аутентификации в VDI с использованием решений «Аладдин Р.Д.»:

Настройка ПК пользователя


Подключитесь к ПК пользователя. Откройте ПО Citrix Receiver и добавьте строку подключения к серверу, с опубликованными рабочими столами и/или приложениями (рис. 47).

Рис. 47 — Добавление адерса сервера в ПО Citrix Receiver

Creating a ssl certificate for citrix netscaler

A high availability VDI deployment, such as XenDesktop 5, demands that you use multiple servers to provide broker redundancy. As such, a load balancer such as the Citrix Netscaler comes in mighty handy. The NetScaler can also act as an ICA proxy between a trusted and untrusted network, such as the internet and your corporate network. Now that I’ve gotten XenDesktop 5 running in my lab, I wanted to see what it takes to configure the NetScaler Access Gateway feature to allow external inbound connections and serve up a nice VDI desktop.

As the configuration is somewhat complex, let’s start with the easy part, creating your own SSL certificate and importing it into the NetScaler. Now in the real world you’d need to use a trusted CA like Verisign, or your clients won’t trust the Access Gateway and the Citrix receiver will not launch. However, if you are in a lab or home environment you can use your own CA just to get the flavor how it works.

Про сертификаты:  Сравнение ключей и USB-токенов (Рутокен, Jacarta, ESMART) с поддержкой ГОСТ и сертификатом ФСБ

In my lab I’m using the latest NetScaler VPX release, which is v9.3 build 48.6.nc. First we need to use OpenSSL to create a private key, then a certificate request, convert the private key, then submit to my Microsoft CA, and finally import into the NetScaler. Figuring out this process was a bit easier than VMware makes it for importing certs into an ESXi host, so you have that going for you.

1. Login to the NetScaler and click on the SSL folder in the left pane.
2. Generate a private RSA key by clicking on Create RSA Key. Use a filename that is easily associated with the FQDN of the certificate and I would use a .key extension to denote it’s the private key. 2048 bits is the maximum keysize, so I’d go for that. Change the format to DER. Click on Create then Close.

3. On the NetScaler SSL page click on Create CSR. Type in a file name for the certificate request (I’d suggest a .req extension), then browse to the private key file you just created. In the Common Name field enter the FQDN you want your certificate to be bound to. Fill in the other information as needed. Click on Create then Close.

4. Back on the SSL page click on Manage Certificates then locate the REQ file, highlight it, then click on View. Copy the contents to the clipboard. Close the window.
5. Assuming you are using a Windows Server 2008 R2 CA, perform these steps:

  • Go to the certificate home page and click on Request a certificate.
  • Select Advanced certificate request.
  • Select Submit a certificate request by using a base-64-encoded….
  • Paste the certificate into the window and change the template to web server.
  • Download a DER encoded certificate (not the certificate chain) using a logical name like xd-contoso-net.cert.

6. Back on the NetScaler and open the SSL folder then click on Certificates.
7. Right click in the SSL window and select Install.
8. I would suggest the FQDN for the pair name, browse locally to the certificate file name, then browse on the appliance for the private key, and change the certificate format to DER.

9. Click on Install and hope that the certificates import successfully. Once the certificate imports, you should delete the certificate from wherever you downloaded it to on your workstation.

And there you have it! You’ve created your own private key, certificate request, generated a SSL certificate, then imported it to the NetScaler. The private key and public key file names are important, since the files are stored on the NetScaler and each certificate must have a unique name. You can repeat this process for any number of certificates, as needed.

Installing root and intermediate certificates

  1. Login to the management tool for your Citrix NetScaler.
  2. Navigate via the menu via SSL to Tools.
  3. Click below the details-panel on Manage Certificates/Keys/CSRs.
  4. Click on Upload and select the root certificate.
  5. Enter a new name for the certificate and click save.
    Note: repeat the above actions for the intermediate certificate(s).

Linking certificates

  1. Select your own (domain) certificate on the SSL page, and click on Link.
  2. Select the intermediate above your certificate from the list, and click OK.
    Repeat this step with the 2nd intermdiate when you have 2 intermediates in the chain, the logic is as follows;
 * your certificate
 |_ (2nd intermediate, when supplied)
   |_  1st intermediate certificate
      |_ root certificate

Проверка правильности установки ssl сертификата онлаин. справочные материалы по установке и использованию сертификатов безопасности ssl

  1. Скопируйте ваш и промежуточный сертификат
  2. На сервере перейдите в меню «Пуск»> «Выполнить»> введите MMC и нажмите «Ввод».
  3. Нажмите «Файл»> «Добавить удалить оснастку».
  4. Выберите «Сертификаты» и нажмите «Добавить».
  5. Выберите «Локальный компьютер» и нажмите «Готово».
  6. Нажмите «Закрыть».
  7. Разверните сертификаты в левой части окна консоли.
  8. Разверните папку «Доверенные корневые центры сертификации» и нажмите подпапку «Сертификаты».
  9. Важно. Проверьте список доверенных корневых сертификатов, чтобы узнать, существует ли корневой
    сертификат сертификации вашего центра сертификации. Если этот корень присутствует, удалите корень из списка.
    Вы установите другой корневой сертификат и привяжите свой сертификат к этому корню, чтобы обеспечить
    обратную совместимость со старыми устройствами, которые не включают новый корневой сертификат.
  10. Щелкните правой кнопкой мыши подпапку «Сертификаты» в доверенных корневых центрах
    сертификации и выберите «Все задачи> Импорт».
  11. В мастере импорта перейдите к файлу Root.crt, загруженному на шаге 1, и завершите работу мастера.
  12. В консоли MMC разверните папку Средство промежуточных сертификатов . Щелкните правой кнопкой
    мыши в подпапке «Сертификаты» и выберите «Все задачи> Импорт» .
  13. В мастере импорта перейдите к файлу Intermediate.crt, загруженному на шаге 1, и завершите работу мастера.
    Вы должны увидеть свой сертификат Intermediate, указанный в папке «Промежуточные сертификаты».
    Теперь вы готовы установить сертификат подписанного сервера.
  14. Запустите диспетчер служб Интернета (диспетчер IIS), нажав «Пуск»> «Все программы»> «Администрирование»> «Информационные службы Интернета».
  15. Щелкните правой кнопкой мыши свой веб-сайт с левой панели предварительного просмотра и выберите «Свойства» .

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  16. Выберите вкладку «Безопасность каталога» и нажмите кнопку «Сертификат сервера» .

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  17. Нажмите «Далее» в мастере сертификации IIS.
  18. Выберите Обработать ожидающий запрос и установить сертификат и нажать «Далее» .

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  19. Перейдите к местоположению файла ServerCertificate.crt, который вы загрузите на шаге 1, и нажмите «Далее» .
  20. Укажите свой порт SSL (в большинстве случаев используется порт SSL по умолчанию 443) и нажмите «Далее» .
  21. Просмотрите сводку мастера и нажмите «Далее», чтобы завершить процесс импорта сертификата сервера.
  22. Нажмите «Готово».
  23. Теперь, когда вы импортировали свой серверный сертификат и цепочку, вы должны назначить сертификат с
    помощью мастера настройки Secure Gateway . Нажмите «Пуск»> «Все программы»> «Средства администрирования»>
    «Мастер настройки безопасности шлюза».
  24. Нажмите OK, чтобы подтвердить продукт, который вы хотите защитить.

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  25. Выберите вариант «Стандарт» и нажмите «Далее» .

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  26. Выберите сертификат из списка в мастере настройки. Сертификат, который был установлен с использованием
    IIS, должен появиться в списке. Нажмите «Далее».

    Creating a SSL certificate for Citrix Netscaler - Derek Seaman's IT Blog

  27. На следующем экране используйте параметр по умолчанию. Ограничение исходящего трафика (
    если вам не нужно настраивать другие дополнительные параметры) и нажмите «Далее».
  28. Выберите существующий орган надзора за безопасностью (STA) и нажмите «Далее».
Про сертификаты:  О компании | Компания "Аладдин Р.Д."

Ваша установка сертификата SSL / TLS завершена.

Порядок настройки Single Sing-On при аутентификации по смарт-карте при использовании ПО XenDesktop 7

Внимание

: Для корректной работы сквозной аутентификации по смарт-картам необходимо, чтобы конечное устройство пользователя (ПК пользователя) было добавлено в домен, в котором находятся инфраструктурные серверы с установленным ПО Citrix XenDesktop 7 (Delivery Controller, StoreFront и тд.) или, при использовании нескольких доменов, между доменами были настроены доверительные отношения.

Настройка Single Sign-on (SSO) для аутентификации по смарт-карте при использовании ПО XenDesktop7 состоит из нескольких этапов.

Создание каталога виртуальных машин.

Создание группы пользователей виртуальных машин.

Установка ПО Citrix Receiver 4.0 и выше на ПК пользователя.

Настройка политик аутентификации ПО Citrix XenDesktop.

Выпуск сертификата для IIS и настройка SSL доступа к IIS.

Настройка XML-запросов к серверу с установленным ПО XenDesktop 7.

Настройка ПО Citrix StoreFront 2.1 для включения SSO при аутентификации по смарт-картам.

Настройка ПК пользователя (стр. 34).

Настройка политик аутентификации для ПО Citrix XenDesktop

Настройку политик рекомендуется выполнять через групповые политики службы каталога Active Directory. Также настройку можно осуществить из оснастки управления локальными политиками.

Для настройки групповых политик необходимо выполнить следующую последовательность действий:

Подробная информация доступна на сайте —

Citrix Citrix XenDesktop JaCarta JaCarta PKI VDI Аладдин Р.Д. Аутентификация смарт-карта
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат