理想的Citrix桌面虚拟环境之八：Access Gateway的Secure Gateway模式配置

Secure Gateway(SG)是个有历史的产品了。从版本3.1开始就不再出新版本了，软件SG可以在XenApp的产品DVD里面找到。SG功能同时也被移植到了AG里面，AG慢慢开始取代SG。在介绍配置步骤前，先讲解一下SG和Secure Ticket Authority(STA) Ticketing服务的动作原理吧。在一个默认安装的XenDesktop环境里，STA， Web Interface ，XML Service都被安装到DDC服务器上，但为了方便讲解，我把它们分开。还有，图中的Secure Gateway就是以SG模式工作的AG。


  1.  客户机在IE等网络浏览器里输入AG的网址，访问AG。在AG上完成用户认证。

  2.  AG将访问要求传递给WI。

3.  WI访问XML服务获取Desktop Group的列表。

4.  Desktop Group的列表以网页形式通过AG传递给客户端，这时，客户端的IE上就会表示出可用的Desktop Group。

5.  用户在网页上点击一个Desktop Group图标，开始启动ICA链接。这个要求被传输给WI。

6.  WI访问XML服务获取该Desktop Group的详细 信息 。

7.  同时，WI也访问STA服务。STA服务为这个访问发一个Ticket。

8.  WI将上两步得到的信息都写入ICA文件交还给客户端。在客户端用文本编辑软件打开ICA文件会看到下面的一行，这就是STA服务发行的Ticket。

Address=;40;STA963585B8EE23;341938DBE61D51507512A2F472DF8839

顺便说一句，因为客户端和AG之间是SSL安全访问模式。右击WI网页上的图标试图保存ICA文件的话，会得到一个错误。就算能下来也不是ICA文件。打开%temp%文件夹，然后点击WI网页上的图标，就会看到%temp%文件夹里出现一个类似ica4E17.ica的文件，用文本编辑器打开它就好了。但动作要快，因为这个文件会在ICA链接确立后被删除。

9.  ICA文件被交给Online Plug-in。Online Plug-in访问AG试图建立ICA链接。

10.AG把ICA文件中的Ticket交给STA服务。STA确认Ticket是否有效。Ticket的有效期默认是100秒。设定值在DDC服务器上的C:/Inetpub/ Scripts  /CtxSta.config里面。

11.Ticket如果有效，AG就会建立客户端到VDA的ICA链接。

我个人比较喜欢SG这个产品，简洁明快。WI取得Ticket然后 SG来验证Ticket，发行和认证都在STA服务上完成。既实现了多节点认证，又可以把发行和认证机构放在终端用户不能直接访问的地方。大大提高了访问的安全性。有关STA的细节，大家可以参考一下这里http://support.citrix.com/article/CTX101997。还有，这里讲的是一台STA服务器的环境，AG还支持多台STA服务器http://support.citrix.com/article/CTX123677。

接下来，就开始配置SG。从上面的说明也能明白，需要在WI和SG上面配置STA链接。

WI站点的配置

1.  用IIS管理为WI站点申请证书并将IIS的SSL安全链接设定为有效。

2.  启动Citrix Web Interface Management。新建一个XenApp Web Site。在创建过程中，Specify Point Authentication设置为At Access Gateway

3.  Authentication Service URL里面设置https://<AG FQDN>/CitrixAuthService/AuthService.asmx

4.  创建XenApp Web Site站点以后，选择Secure Access，把Access Method设置为Gateway direct

5.  在Address(FQDN)里设置AG的FQDN名。将Enable session reliability设定为有效

6.  在Secure Ticket Authority URLs里设置http://<DDCFQDN>/scripts/ctxsta.dll

AG站点的设置，通过AG Admin Tool来设定

1.  在Authtication大标签里选择Secure Ticket Authority标签。

2.   Server   running the STA设置为DDC的FQDN名，STA path设定为/scripts/ctxsta.dll

3.  点击Add按键后，确认Identifier下面STA后面跟一串字符的STA ID。这个STA ID是从STA站点上取得的，能看到就证明和STA的链接没有问题。

  4.  接下来设定WI站点的链接信息。在Access Policy Manager大标签里，右击Default选择Properties。

  5.  然后选择Gateway Portal标签

6.  选择Redirect to Web Interface。设定Path和Web Server。比如说WI的网址是http://wi.test.com/Citrix/Default。Path里面设定Citrix/Default，而Web Server设定为wi. test  .com

7.  将Single sign-on to the Web Interface。输入域名test.com。

  8.  如果将Use the multiple logon option page设定为有效。客户端登录以后就会看到Citrix Access Gateway和Citrix XenApp两个选择。前者是VPN链接，点击它就会开始下载Access Gateway Plug-in。后者就是SG模式的链接，点击后会出现Desktop Group的列表。

  到这里，AG的SG模式就设定完成了。像我这样使用自己的认证机构的话，从客户机的IE来访问AG的网址时可能会看到证书警告。因为证书警告，VPN链接Access Gateway Plug-in的图标上也会有个惊叹号，而PNAgent则会因为证书警告而连接。消除证书警告需要在客户端的网络做些配置

1.  需要解决AG的FQDN。最好的办法是在客户端网络的DNS服务器上加AG的FQDN和IP地址设定。如果不能这么做的话，在客户机的C:/Windows/System32/drivers/etc/hosts文件里加AG的FQDN和IP地址

2.  需要将给AG发证书的证书机构的根证书加入客户机。根证书可以从http://<域服务器>/certsrv取得。将证书加入客户机的方式也有很多。我常用的是启动MMC，加入证书Snap-in，选择My User Account。然后右击Trusted Root Certification Authorities选择Import将根证书加进去

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删