Secure Gateway(SG)是个有历史的产品了。从版本3.1开始就不再出新版本了,软件SG可以在XenApp的产品DVD里面找到。SG功能同时也被移植到了AG里面,AG慢慢开始取代SG。在介绍配置步骤前,先讲解一下SG和Secure Ticket Authority(STA) Ticketing服务的动作原理吧。在一个默认安装的XenDesktop环境里,STA,Web Interface,XML Service都被安装到DDC服务器上,但为了方便讲解,我把它们分开。还有,图中的Secure Gateway就是以SG模式工作的AG。
 


1.  客户机在IE等网络浏览器里输入AG的网址,访问AG。在AG上完成用户认证。
2.  AG将访问要求传递给WI。

3.  WI访问XML服务获取Desktop Group的列表。

4.  Desktop Group的列表以网页形式通过AG传递给客户端,这时,客户端的IE上就会表示出可用的Desktop Group。

5.  用户在网页上点击一个Desktop Group图标,开始启动ICA链接。这个要求被传输给WI。

6.  WI访问XML服务获取该Desktop Group的详细信息。

7.  同时,WI也访问STA服务。STA服务为这个访问发一个Ticket。

8.  WI将上两步得到的信息都写入ICA文件交还给客户端。在客户端用文本编辑软件打开ICA文件会看到下面的一行,这就是STA服务发行的Ticket。

Address=;40;STA963585B8EE23;341938DBE61D51507512A2F472DF8839

顺便说一句,因为客户端和AG之间是SSL安全访问模式。右击WI网页上的图标试图保存ICA文件的话,会得到一个错误。就算能下来也不是ICA文件。打开%temp%文件夹,然后点击WI网页上的图标,就会看到%temp%文件夹里出现一个类似ica4E17.ica的文件,用文本编辑器打开它就好了。但动作要快,因为这个文件会在ICA链接确立后被删除。

9.  ICA文件被交给Online Plug-in。Online Plug-in访问AG试图建立ICA链接。

10.AG把ICA文件中的Ticket交给STA服务。STA确认Ticket是否有效。Ticket的有效期默认是100秒。设定值在DDC服务器上的C:\Inetpub\Scripts\CtxSta.config里面。

11.Ticket如果有效,AG就会建立客户端到VDA的ICA链接。

我个人比较喜欢SG这个产品,简洁明快。WI取得Ticket然后 SG来验证Ticket,发行和认证都在STA服务上完成。既实现了多节点认证,又可以把发行和认证机构放在终端用户不能直接访问的地方。大大提高了访问的安全性。有关STA的细节,大家可以参考一下这里http://support.citrix.com/article/CTX101997。还有,这里讲的是一台STA服务器的环境,AG还支持多台STA服务器http://support.citrix.com/article/CTX123677

接下来,就开始配置SG。从上面的说明也能明白,需要在WI和SG上面配置STA链接。

WI站点的配置

1.  用IIS管理为WI站点申请证书并将IIS的SSL安全链接设定为有效。

2.  启动Citrix Web Interface Management。新建一个XenApp Web Site。在创建过程中,Specify Point Authentication设置为At Access Gateway

3.  Authentication Service URL里面设置https://<AG FQDN>/CitrixAuthService/AuthService.asmx

4.  创建XenApp Web Site站点以后,选择Secure Access,把Access Method设置为Gateway direct

5.  在Address(FQDN)里设置AG的FQDN名。将Enable session reliability设定为有效

6.  在Secure Ticket Authority URLs里设置http://<DDCFQDN>/scripts/ctxsta.dll

AG站点的设置,通过AG Admin Tool来设定

1.  在Authtication大标签里选择Secure Ticket Authority标签。

2.  Server running the STA设置为DDC的FQDN名,STA path设定为/scripts/ctxsta.dll

3.  点击Add按键后,确认Identifier下面STA后面跟一串字符的STA ID。这个STA ID是从STA站点上取得的,能看到就证明和STA的链接没有问题。
4.  接下来设定WI站点的链接信息。在Access Policy Manager大标签里,右击Default选择Properties。
5.  然后选择Gateway Portal标签

6.  选择Redirect to Web Interface。设定Path和Web Server。比如说WI的网址是http://wi.test.com/Citrix/Default。Path里面设定Citrix/Default,而Web Server设定为wi.test.com

7.  将Single sign-on to the Web Interface。输入域名test.com。
8.  如果将Use the multiple logon option page设定为有效。客户端登录以后就会看到Citrix Access Gateway和Citrix XenApp两个选择。前者是VPN链接,点击它就会开始下载Access Gateway Plug-in。后者就是SG模式的链接,点击后会出现Desktop Group的列表。
到这里,AG的SG模式就设定完成了。像我这样使用自己的认证机构的话,从客户机的IE来访问AG的网址时可能会看到证书警告。因为证书警告,VPN链接Access Gateway Plug-in的图标上也会有个惊叹号,而PNAgent则会因为证书警告而连接。消除证书警告需要在客户端的网络做些配置

1.  需要解决AG的FQDN。最好的办法是在客户端网络的DNS服务器上加AG的FQDN和IP地址设定。如果不能这么做的话,在客户机的C:\Windows\System32\drivers\etc\hosts文件里加AG的FQDN和IP地址

2.  需要将给AG发证书的证书机构的根证书加入客户机。根证书可以从http://<域服务器>/certsrv取得。将证书加入客户机的方式也有很多。我常用的是启动MMC,加入证书Snap-in,选择My User Account。然后右击Trusted Root Certification Authorities选择Import将根证书加进去

2010年4月2日

崔嵩