SSL 連線-Secure Gateway

    版本為 18:49, 30 Nov 2024

    到這個版本。

    返回到 版本存檔.

    查閱目前版本

    設定前的必要元件

    1. Citrix Secure Gateway: 從 XenApp 光碟內安裝
    2. Certificate Service: 從 Windows 2K3 Server 光碟安裝
    3. Web Interface/Secure Gateway 主機必須有 FQDN 名稱,並且內外網路的使用戶都能正常解析這名稱,例如是 xapp.osslab.com.tw。

    安裝 Secure Gateway

    1. 從光碟目錄內 Secure Gateway/Windows/CSG_GWY.msi
    2. Account: NETWORK SERVICE
    3. 安裝完後會要求作設定,按取消先跳過

    安裝 Certificate Service

    Windows > 控制台 > 新增移除程式 > Windows 元件 > Certificate Service

    • 安裝前會提醒: 爾後將無法修改電腦名稱及網域
    • 必須設定 CA 的根名稱,例如是 osslab。
    • 安裝過程會重啟 IIS

    設定 IIS 的 SSL port

    IIS 管理員 > 預設網站 > 內容

    • 網站 > TCP 連接埠: 80,SSL 連接埠: 444 (注意:這裡不可以用 443)

    建立 Server & ROOT Certificate

    注意:

    • 建立 Server Certificate 後,同時系統也會自動產生相應的 ROOT Certificate。
    • Server Certificate 必須安裝在 Secure Gateway 這台主機,
    • Server 憑證的有效期只有一年,一年後必須重新發行一組新的 Server & ROOT Certificate。
    • Root 憑證的有效期預設是五年,這是在第一次安裝 Certificate Service 時所設定的。
    1. 透過 IIS 產生一組新的憑證簽署檔

    IIS 管理員 > 預設網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 輸出檔案 C:\certreq.txt

    • 網站名稱 必須輸入 xapp.osslab.com.tw
    2. 透過 Windows 憑證授權單位對新的憑證要求檔作發行

    憑證授權單位 > [CA 的根名稱]

    • 所有工作 > 提交新要求 > 選擇 C:\certreq.txt
    • 擱置要求 > 選擇憑證後作發行
    • 已發出的憑證 > 發行後的 Server 憑證會出現在這 > 開啟 > 詳細資料 > 複製檔案 C:\xapp-SERVER.cer
    3. 回到 IIS 設定這個 Server 憑證

    IIS 管理員 > 預設網站 > 內容 > 目錄安全設定 > 伺服器憑證 > 匯入 C:\xapp-SERVER.cer

    匯出 Root Certificate

    在發行新的 Server 憑證之後,系統也會產生一組對應的 Root 憑證,將 Root 憑證匯出後,傳給要登入的用戶電腦。

    憑證授權單位 > [CA 的根名稱] > 內容 > 一般 > 選擇最新(最下方)的憑證,如果有 #0, #1 要選 #1 > 檢視憑證 > 詳細資料 > 複製到檔案 C:\xapp-ROOT.cer

    設定 Web Interface

    Web Interface Management >

    設定 Secure Gateway

     

    用戶端設定

    • 適用 Firefox 13, Internet Explorer 8, Chrome 20
    • 必須可解析主機端的 FQDN,如果只是做測試,又不想架設 DNS Server,可修改以下檔案:
      C:\Windows\System32\Drivers\etc\hosts
    • 從主機端取得 Root 憑證 C:\xapp-ROOT.cer
       

    匯入 Root 憑證
    Firefox 13)

    1. Firefox > 選項 > 進階 > 加密 > 檢視憑證選單 > 伺服器 > 匯入 xapp-ROOT.cer (PS. IE 或 Chrome 不需此步驟)
    2. Firefox > 選項 > 進階 > 加密 > 檢視憑證選單 > 伺服器 > 選擇剛匯入的憑證 > 編輯信任
      • 選擇: 不信任此憑證的鑑別
      • 編輯憑證機構信任關係: 全選
    3. Firefox > 下載安裝最新板 CitrixReceiver,http://www.citrix.com/English/ps2/pr...tentID=1689163 (PS. 不要下載安裝 XenApp 入口網頁上的 Plugin)
    4. Firefox > URL https://xapp.osslab.com.tw,此時應該可以會看到登入畫面。
      如果沒有看到登入畫面,請檢查所有步驟。
    5. 安裝憑證到 Windows,檔案總管 > 選擇 xapp-ROOT.cer > 按右鍵 安裝憑證 > 下一步 >
      • 將所有憑證放入以下的存放區:信任的根憑證授權

    其他補充

    • Secure Gateway Management Console > Session Information 必須正常顯示登入的用戶,如果用戶有登入但這裡沒有顯示,表示該用戶並未使用 SSL 連線。
    Powered by MindTouch Core