在之前的博文中,我们的客户端是使用http协议去登录StoreFront,为了提高安全性,我们可以为StoreFront申请服务器证书配置https加密访问,以及巧用IIS错误页进行https重定向,本文将介绍具体配置过程。 之前的相关博文请见以下链接:
《使用XenCenter 7配置XenServer资源池》 详见http://jiangjianlong.blog.51cto.com/3735273/1893363 、
《XenDesktop7.12发布Win10周年更新版桌面》详见http://jiangjianlong.blog.51cto.com/3735273/1894139 、
《XenDesktop7.12发布应用程序》详见http://jiangjianlong.blog.51cto.com/3735273/1896972
一、测试环境
计算机名 |
操作系统 |
IP地址 |
角色 |
Xen-dc.long.xen |
Win2012R2 |
192.168.10.50 |
DC、DNS、DHCP、iSCSi Target、CA |
Xenserver01 |
XenServer 7.0 |
192.168.10.51 |
宿主机 |
Xenserver02 |
XenServer 7.0 |
192.168.10.52 |
宿主机 |
Xencenter.long.xen |
Win2012R2 |
192.168.10.53 |
XenCenter、许可证服务器、ISO共享库 |
XenDesktop.long.xen |
Win2012R2 |
192.168.10.54 |
XenDesktop7.12服务器(安装DeliveryController、Director、StoreFront、Studio) |
APPServer.long.xen |
Win2012R2 |
192.168.10.55 |
安装VDA for WindowsServerOS,安装VNC Viewer |
Win10.long.xen |
Win10周年更新版 |
DHCP |
主映像(安装VDA for WindowsDesktopOS) |
Win10-01.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面 |
Win10-02.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面 |
Win10-APP03.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面,安装QQ影音 |
二、为StoreFront配置服务器证书
本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564
1、打开IIS中的服务器证书功能
![wKiom1iheGyhjeoWAAHYhm09a3I588.jpg]( "01.JPG")
2、点击创建证书申请
![wKioL1iheG3x36-CAAFHdKEboX4025.jpg]( "02.JPG")
3、输入相关信息,在通用名称处注意需输入StoreFront服务器的FQDN
![wKioL1iheLuCyFKpAABjcKDVHsc487.png]( "03.png")
4、选择加密服务提供程序,位长最好选择2048,因我是测试环境,就按默认好了
![wKiom1iheLvj7GORAABfZyFWF4E291.png]( "04.png")
5、指定一个文件名,将生成证书申请信息文件
![wKioL1iheLyip92UAABKvPQhs2g091.png]( "05.png")
6、登录CA的web界面,点击申请证书
![wKiom1iheLzQnf6DAAE9RqXhcdU542.jpg]( "06.JPG")
7、点击高级证书申请
![wKioL1iheL3Dm5MNAADCYl4zTTY615.jpg]( "07.JPG")
8、点击第二个选项
![wKiom1ihel_BLJrWAAD5_FpVTr0355.jpg]( "08.JPG")
9、复制上文证书申请信息文件中的全部内容,并选择证书模板为Web服务器,点击提交
![wKioL1ihemKhkrFRAAFMXVCwQ8M598.jpg]( "09.JPG")
10、证书自动颁发,点击下载证书
![wKiom1ihemSjjUhyAADssIlBl5I997.jpg]( "10.JPG")
11、再去到主页下载CA证书
![wKioL1ihemaT6P_mAAE6LkXwAeY646.jpg]( "11.JPG")
![wKioL1ihembx_EHMAAE6_aZ_nok989.jpg]( "12.JPG")
12、将CA证书导入到受信任的根证书颁发机构中
![wKiom1ihemex7nsHAAJiJfHj2Oo610.jpg]( "13.JPG")
![wKiom1ihemfwF8hEAABVD7sCDF0530.png]( "14.png")
![wKioL1ihemngy089AAK8ZbYbe_U695.jpg]( "15.JPG")
13、回到IIS管理器中,点击完成证书申请
![wKioL1ihemmSmjqYAAFCRIevqGs614.jpg]( "16.JPG")
14、浏览到我们上文申请完下载下来的服务器证书,并在好记名称处输入StoreFront服务器的FQDN
![wKiom1ihemqARTrlAADu0AbF9_U471.jpg]( "17.JPG")
![wKiom1ihemuApEVNAAEstApeUtY626.jpg]( "18.JPG")
15、点击IIS的Default Web Site,再点击绑定
![wKioL1ihemuTH16xAAHb_yjMBCI880.jpg]( "19.JPG")
16、点击添加,类型选择https,SSL证书处选择我们上文申请的证书,至此IIS已完成服务器证书的配置
![wKioL1ihemzDcnLXAAERPBk0-sA996.jpg]( "20.JPG")
![wKiom1ihemyQ0V2cAACbAxdI_JQ799.jpg]( "21.JPG")
三、更改StoreFront的URL
1、由于我是将Controller和StoreFront安装在同一台机,因此打开Citrix Studio即可,点击Citrix StoreFront节点下的服务器组,点击更改基本URL,默认是http的协议,将其修改为https
![wKiom1ihem2zZ6ocAAEY9lDAkgI754.jpg]( "22.JPG")
![wKioL1ihem6DLj0EAAFztys-urQ784.jpg]( "23.JPG")
![wKiom1ihem6ieo8wAAEvDHC73oU368.jpg]( "24.JPG")
2、点击Citrix StoreFront节点下的应用商店,可以看到StoreFront的URL全部已更改为https协议
![wKioL1ihem_xH0CWAAIouCQfOAU096.jpg]( "25.JPG")
3、点击Citrix Studio节点下的StoreFront,编辑StoreFront服务器,将URL也改为https,这样才能让所有交付组所绑定的StoreFront的URL都改为https
![wKiom1ihenDyrSznAAFwvwBigsE341.jpg]( "26.JPG")
![wKioL1ihenCDSoJmAAGX0bP0YHQ717.jpg]( "27.JPG")
![wKioL1ihenHz98q8AAF7L-AnIj0970.jpg]( "28.JPG")
4、查看交付组,确认StoreFront的URL都已变成https协议,至此已完成StoreFront的URL更改
![wKiom1ihenKzD8MmAAGslBkzarA120.jpg]( "29.JPG")
四、客户端测试
1、在安装了CA证书的客户端,用浏览器使用https协议打开StoreFront Receiver for Web的URL,可以看到已经是加密访问,也能正常登录
![wKioL1ihenOx3CpiAADeEC7BwTs217.jpg]( "30.JPG")
![wKiom1ihenORyCLLAACkkE3xomU032.jpg]( "31.JPG")
2、StoreFront启用https后,就可以使用Citrix Receiver直接登录了,添加账户输入https协议的StoreFront的URL,点击添加
![wKioL1ihenPzVWJ0AAAqJ2GsrGs747.png]( "32.png")
3、输入域账号和密码进行登录
![wKiom1ihenTjxNwPAAAx3x6pwEg724.png]( "33.png")
4、登录后点击左边的加号图标添加应用程序或桌面
![wKiom1ihenTC4_cmAAD9S-CDW4M351.jpg]( "34.JPG")
![wKioL1ihenWS2xK0AADMc7R6VPM278.jpg]( "35.JPG")
![wKiom1ihenahOtSoAADYwKO6d7k361.jpg]( "36.JPG")
![wKioL1ihenaBIw_NAADCTtbRmAI792.jpg]( "37.JPG")
5、经测试应用程序和桌面都能正常访问
![wKioL1iheneRc1yaAADysotwKm8668.jpg]( "38.JPG")
![wKioL1ihfAvxAv9sAAEn3vU2wzE308.jpg]( "40.JPG")
五、巧用IIS错误页进行https重定向
1、StoreFront配置了https后,用户通过浏览器仍可以使用http协议访问,为了自动重定向为使用https协议,可能需要下载安装IIS URL重写模块进行配置,但我发现巧用错误页也能非常简单地就实现这个功能。首先点击StoreWeb的SSL设置,选择要求SSL。这时候客户端如果在浏览器中使用http协议访问会报403错误
![wKioL1iisBTAt1KaAAEJ0bzc0ww572.png]( "41.png")
2、编辑错误页的403页面,选择以302重定向响应,输入绝对URL即https协议的receiver for web站点的地址
![wKioL1iisBWwzN7rAAEoq1a_X2w257.png]( "42.png")
![wKiom1iisBWw5W-cAAGdLL5n_9M716.png]( "43.png")
3、经测试能成功重定向为https地址的登录页面
![wKioL1iiskzD6jtHAAHuHWS1RQo297.png]( "44.png")
本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564
