設定前的必要元件
- Citrix Secure Gateway: 從 XenApp 光碟內安裝
- Certificate Service: 從 Windows 2K3 Server 光碟安裝
- Web Interface/Secure Gateway 主機必須有 FQDN 名稱,並且內外網路的使用戶都能正常解析這名稱,例如是 xapp.osslab.com.tw。
安裝 Secure Gateway
- 從光碟目錄內 Secure Gateway/Windows/CSG_GWY.msi
- Account: NETWORK SERVICE
- 安裝完後會要求作設定,按取消先跳過
安裝 Certificate Service
Windows > 控制台 > 新增移除程式 > Windows 元件 > Certificate Service
- 安裝前會提醒: 爾後將無法修改電腦名稱及網域
- 必須設定 CA 的根名稱,例如是 osslab。
- 安裝過程會重啟 IIS
設定 IIS 的 SSL port
IIS 管理員 > 預設網站 > 內容
- 網站 > TCP 連接埠: 80,SSL 連接埠: 444 (注意:這裡不可以用 443)
建立 Server & ROOT Certificate
注意:
- 建立 Server Certificate 後,同時系統也會自動產生相應的 ROOT Certificate。
- Server Certificate 必須安裝在 Secure Gateway 這台主機,憑證的有效期只有一年,一年後必須重新發行一組新的 Server & ROOT Certificate。
1. 透過 IIS 產生一組新的憑證簽署檔
IIS 管理員 > 預設網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 輸出檔案 C:\certreq.txt
- 網站名稱 必須輸入 xapp.osslab.com.tw
2. 透過 Windows 憑證授權單位對新的憑證要求檔作發行
憑證授權單位 > [CA 的根名稱]
- 所有工作 > 提交新要求 > 選擇 C:\certreq.txt
- 擱置要求 > 選擇憑證後作發行
- 已發出的憑證 > 發行後的 Server 憑證會出現在這 > 開啟 > 詳細資料 > 複製檔案 C:\xapp-SERVER.cer
3. 回到 IIS 設定這個 Server 憑證
IIS 管理員 > 預設網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 匯入 C:\xapp-SERVER.cer
匯出 Root Certificate
在發行新的 Server 憑證之後,系統也會產生一組對應的 Root 憑證,將 Root 憑證匯出後,傳給要登入的用戶電腦。
憑證授權單位 > [CA 的根名稱] > 內容 > 一般 > 選擇最新(最下方)的憑證,如果有 #0, #1 要選 #1 > 檢視憑證 > 詳細資料 > 複製到檔案 C:\xapp-ROOT.cer