目录
1项目背景 .............................................................................................................. 2 2 实施准备 ............................................................................................................. 2 2.1 NetScaler IP准备 ............................................................................................ 2 2.2 IP地址类型: ................................................................................................. 2 3 设备的初始化进入 ............................................................................................. 2 4 配置网络路由 ..................................................................................................... 6 5 license的导入 ...................................................................................................... 7 6 LDAP认证服务器配置 ...................................................................................... 9 7虚拟IP配置 ...................................................................................................... 13 8 配置证书请求文件 ........................................................................................... 14 9证书的生成及上传 ............................................................................................ 17 10 虚拟服务器AG的建立和配置 ..................................................................... 22 10.1 为虚拟服务器配置profile ......................................................................... 22 10.2 为虚拟服务器配置polices ........................................................................ 24 10.3开始配置...................................................................................................... 24 11 WI配置 ............................................................................................................ 27 11.1 WI安装根证书安装 .................................................................................... 28 11.2 新建一个Wi站点 ...................................................................................... 32 11.3 站点的配置 ................................................................................................. 36 12 Sslvpn配置 ...................................................................................................... 39 12.1 配置vpn用户可访问的应用资源............................................................. 39 12.2 为该资源建立一个标签............................................................................. 40 12.3 为VPN配置profiles ................................................................................. 41 12.4 建立polices并与profiles建立关联 ......................................................... 43 12.5配置DNS..................................................................................................... 43 12.6 测试VPN访问........................................................................................... 48 13 邮件负载配置 ................................................................................................. 49 13.1 配置两个服务器用于负载......................................................................... 49
13.2添加虚拟服务器.................................................................................... 51
1项目背景
2 实施准备
2.1 NetScaler IP准备
设备名称 NetScaler MPX 5500 NetScaler MPX 5500 NetScaler MPX 5500 NetScaler MPX 5500 NetScaler MPX 5500 IP类型 (NSIP)设备管理地址 (MIP)内部应用地址 (VIP1)虚拟服务器IP (VIP2)虚拟服务器IP wuszowa IP配置 192.168.12.26 192.168.12.27 192.168.12.28 192.168.12.29 192.168.12.39 2.2 IP地址类型:
NSIP:NetScaler设备管理IP,每台设备单独拥有一个。
MIP:NetScaler与认证服务器通信,提供ADNS服务,通过MEP协议与远程站点通信IP。
VIP:虚拟AG服务器IP。
3 设备的初始化进入
设备初始IP:192.168.100.1/255.255.0.0。 初始用户名密码:nsroot/nsroot。
在登陆进去后按照安装配置向导进行设备基本的配置:
启用SSL功能和Access Gateway功能能
启用SSL
4 配置网络路由
如果在初始化配置中未配置默认路由,此处需要在Network --Routes部分添加路由.
5 license的导入
进入System界面中点击license选项,会看见有哪些授权了哪些没授权点击下面的Manage license.
选择已经购买的license—Add
找到license文件后点击Select。
导入license后可激活相关license的高级功能。
6 LDAP认证服务器配置
添加虚拟服务器需要用到身份验证服务器,这里我们选用公司的AD的LADP认证。
3 1 42 5 6 2
配置服务器authentication-profile-add
Authentication Type选择LDAP.其他内容根据实际环境参照图片中的格式填写.点击Create按钮完成一个LDAP验证服务器的创建.见下图.
其中的授权方式我们选用LADP ,其它参数根据实际情况选用,点击Creat完成创建。
配置LADP验证策略,用于绑定AG virtual server。
更改授权方式为LDAP,在Name Expressions部分选择下拉菜单中的ture value,点击create创建。
LDAP身份验证策略完成。
7虚拟IP配置
配置虚拟IP地址(VIP)
VIP192.168.12.28用于对外映射443(https)端口.
8配置证书请求文件
整个环境中,终端PC/NetScaler/WebInterface需要导入办法SSL 服务器证书的根CA的证书到”受信任的根证书颁发机构.NetSclaer的Access Gateway需要绑定SSL 服务器证书. 这里选择由Netscaler发起一个证书请求文件,提交给CA,申请SSL 服务器证书.
1
3
私钥的存放在netscaler设备本地,路径为/nsconfig/ssl/,Passphrase根据需求自定义。按如上方式为每台虚拟AG创建相应的私钥。
2
选择之前建立的密钥key文件.
Common name为客户端访问的域名,此处为wuxen.worldunion.com.cn
上图的附加说明: Request File Name 证书请求文件名,用该文件名去证书服务器上生成证书 Key File Name 该选项栏选择刚才建立的key Common Name 即访问时的域名 点击Manage Certificates/Keys/CSRs下载刚刚配置的证书请求文件.点击Create创建证书请求文件,然后点击View查看并导出CSR文件。
将该文件给公司内部人员到证书服务器生成证书。
9证书的生成及上传
在浏览器里输入CA服务器地址并选择申请证书。
使用编辑器打开证书请求文件,复制粘贴到如下对话框。
密钥证书对用于绑定AG 虚拟服务器对象.
服务器密钥证书,选择系统目录中的证书文件和密钥文件.点击SSL-Certificates,点击左下角Install按钮,输入证书名称,选择之前配置好的证书文件wuxen.cer及私钥文件wuxen.key
点击upload弹出对话框,选择从服务器上下载的证书点击select上传完成。
选择刚才上传的证书。
当连接成功后说明SSL配置完成。
10虚拟服务器AG的建立和配置
AG Virtual Server用于关联之前配置的证书,身份验证策略,Session Policy,并配置STA Server.
在测试环境,如果没有正式的license,MPX平台支持5个并发
10.1 为虚拟服务器配置profile
10.2 为虚拟服务器配置polices
10.3开始配置
切换到Authentication页,绑定Authentication 策略
切换到Polices页面
配置STA 服务器,切换到Published Applications页。 通常选择部分xenapp服务器(Zone DataCollector)作为AG使用的STA Server。
此处xuxenapp1ip地址192.168.12.91;xml port为8080,则STA URL为: http://192.168.12.91:8080/scripts/ctxsta.dll xuxenapp2对应的STA url:
http://192.168.12.92:8080/scripts/ctxsta.dll.
配置完成,重新打开AG visrual server到Published Applications配置部分,两个STA 服务器的State应为UP
11 WI配置
修改wi主机host文件
11.1 WI安装根证书安装
添加“证书”模块
一定要选择“计算机帐户”
导入创建的虚拟服务器证书到Wi
11.2 新建一个Wi站点
这里必须选择Access gateway的方式,请注意
输入https://wuxen.worilunion.com.cn /CitrixAuthService/AuthService.asmx
11.3 站点的配置
选择站点-安全访问
填写通过AG访问的站点。
添加citrix服务器;
12Sslvpn配置
12.1 配置vpn用户可访问的应用资源
12.2 为该资源建立一个标签
12.3 为VPN配置profiles
配置Split Tunnel
ON-客户端连接到Access Gateway不会对其他上网应用造成影响;
OFF-客户端连接到Access Gateway之和,除与Access Gateway连接以外的网络连接都会中断.
配置默认授权动作-Allow,勾选Override Global
12.4 建立polices并与profiles建立关联
12.5配置DNS
12.6 VPN站点建立
选择开始建立的Bookmarks
选择polices
选择应用
完成建立
12.6测试VPN访问
13 邮件负载配置
13.1 配置两个服务器用于负载
查看添加的服务的状态,是enable则是正确的
为这连个服务器添加服务
13.2添加虚拟服务器
配置SSL settings
2 1
在选择证书的时候woridunion.root.pair选择的是Add下拉菜单中CA证书,
必须勾选SSL Redirect 否则会造成owa无法正常访问,点击OK完成创建。
因篇幅问题不能全部显示,请点此查看更多更全内容