建立Citrix Access Gateway並與內部Presentation Server farm連接
Loading ...建立Citrix Access Gateway並與內部Presentation Server farm連接
功能說明
Citrix的另一項賣點就是透過Access Gateway將所有網路流量使用(SSL)加密,使Citrix在SSL-VPN的市佔率一直高居不下的重要關鍵。但有些朋友會想問,有辦法不要買Access Gateway(但已有授權)仍然可以做到這些功能的嗎?答案是有,小蔡得知有兩種做法,第一種是透用Secure Gateway另一種則是透過Access Gateway Image做佈署。
Secure Gateway官方有很詳細的說明文件及做法,小蔡就不多廢話了。小蔡要教大家的是整合性更高效能更佳的Access Gateway,而且若您有Citrix Access Gateway的授權,恭喜您,您可以不用購買Access Gateway主機
需求說明
在未使用Access Gateway前的架構圖如下
當Server數量成長時相對的firewall上對應的主機也隨著變多,且無全程加密
配置Access Gateway後的架構圖如下
全部流量透過Access Gateway進行SSL加密,firewall對外只需要開放tcp 443即可
事前準備
硬體 – 準備一台準備報廢PC(小蔡準備的是PIII 1G RAM 256M 40G HDD),太新的可能沒有RS-232可用
一條RS-232連接線及一台可以連RS-232的主機(小蔡是用HP DL360 Server當主機)
軟體 – 進入官方網站申請一組MyCitrix帳戶(供下載軟體用)
將Access Gateway Image下載並燒錄成光碟
開始安裝
1.將RS-232接在Access Gateway(以下稱AG)主機上,另一端接在另一部PC(小蔡是用Server)並開啟超級終端機程式等待接收畫面
2.開啟AG主機並將AG Images CD放入AG主機並選擇光碟開機
完裝完成後系統要求重新啟動,記得將光碟拿出來
開機後會要求輸入登入帳號密碼(帳號root密碼rootadmin)
進入後會出現以下畫面,設定IP位置
完成後系統會要求再重新啟動(reboot)
開機完畢後會再度進入登入畫面
此時不用再登入,直接找一部PC利用IE進入即可http://AG的IP:9001/
首次登入會要求安裝連線軟體
安裝完成後執行並登入
登入成功後會進入設定頁面
AG設定
要求憑證(與企業內部CA伺服器交換憑證)
將相關資訊輸入完成後按下Generate Request會要求存檔,完成後將此檔案利用Notepad開啟
將內容全選後複製,將內容貼至企業內部CA伺服器要求憑證網頁
提交後會產生一張憑證,將此憑證匯入AG
完成後系統會要求重新啟動,完成憑證設定
安裝Advanced Access Control(安裝畫面由於臨時找不到光碟,故暫不提供),之後稱為AAC由於內容過多,麻煩請自行參考官方文件
完成後再度進入AG
將AAC的IP位置加入,按下Submit即可
進入AAC設定(再忍耐一下,快完成了)
若在AG上指定正確,則會在Gateway Appliances看到AG的IP位址
在Resources內的Web Resources建立一個Web Resources
將已安裝Web Interface角色的主機加入
並將Web Interface及登入選項勾選
完成後最後進入Presentation Access Suite Console設定,進入Web Interface選項
Edit Secure Access Client Settings,修改成Gateway Direct
進入Manage Access Method,加入AAC網址
全部設定完成後趕緊來測試看看,輸入https://AG的IP位置
輸入帳號密碼
成功
