Citrix Virtual Apps and Desktops 7 1903实战篇之十:配置StoreFront使用HTTPS
我们将为StoreFront 申请Web 服务器证书,将此证书应用到StoreFront 的IIS 站点上,并将IIS 的443 端口绑定此证书,以使我们从内网可以安全访问StoreFront 站点。也为后续的与NetScaler 集成做好准备。
在开始本章节我们需要申请SSL证书,那么大家可以选择通过内部部署CA服务器或者到公网证书颁发机构进行申请,两者主要的区别如下:
- 内部部署CA:不能保证365*24提供服务,客户端默认不信任内部CA,非加域的客户端必须手动导入根证书。
- 公网购买证书:保证365*24提供服务,客户端默认信任此证书颁发机构,无论是工作组还是加域的计算机都无需手动导入证书。
内部证书服务的部署和配置过程也比较简单,可参考之前的博文:
一.使用的内部Active Dicrectory证书
1.1 使用ctxadmin 登录StoreFront桌面(本次环境中StoreFront安装在单独的服务器上miensi-ctxsfc01),点击“工具”,打开“IIS管理器”
1.2 左边找到并选中“miensi-ctxsfc01”,在中间窗格中,找到并双击“服务器证书”
1.3 点击右边窗格中的“创建证书申请”

1.4 输入相关信息,在通用名称处注意需输入StoreFront服务器的FQDN
1.5 选择加密服务提供程序,位长最好选择2048。
1.6 指定一个文件名,将生成证书申请信息文件
1.7 登录CA的web界面,http://ad-server.miensi.com/certsrv/ 点击申请证书
1.8 点击高级证书申请
1.9 复制上文证书申请信息文件中的全部内容,并选择证书模板为Web服务器,点击提交
1.10 证书自动颁发,点击下载证书
1.11 再去到主页下载CA证书
1.12 运行certlm.msc 打开控制台将CA证书导入到受信任的根证书颁发机构中
1.13 回到IIS管理器中,点击完成证书申请
1.14 浏览到我们上文申请完下载下来的服务器证书,并在好记名称处输入StoreFront服务器的FQDN
二.使用公网证书
2.1上面申请了内部Active Dicrectory证书,现在讲解申请公网证书,此小节申请阿里云的免费公网证书,生产环境下建议申请通配符的证书,如何申请使用请访问以下链接查看,这里就不过多介绍。
阿里云申请免费SSL证书实现网站HTTPS安全连接
2.2 登陆阿里云SSL证书管理控制台
2.3 服务器类型选择IIS 进行下载
2.4 打开IIS管理器-打开服务器证书,并选择‘导入…’
2.5 导入从阿里云下载的IIS证书,密码在证书压缩包里面有提供
2.6 一个内网证书,一个公网证书
三.绑定证书
3.1 点击IIS的Default Web Site,再点击绑定
3.2 点击添加,类型选择https,SSL证书处根据实际情况选择内网证书或者公网证书
四.配置 StoreFront
4.1 由于Controller和StoreFront安装在不同服务器,打开 Citrix StoreFront ,点击Citrix StoreFront节点下的服务器组,点击更改基本URL,默认是http的协议,将其修改为https
4.2 由于另外一台storefront加入到这个服务器组,更改了一台storefront设置,需要传播更改
4.3 点击Citrix StoreFront节点下的应用商店,可以看到StoreFront的URL全部已更改为https协议
4.4 设置默认WEB站点
4.5配置可信域
4.5 设置套接字池,默认情况下,在存储中禁用套接字池。启用套接字池时,StoreFront会维护一个套接字池,而不是每次需要时创建一个套接字,并在关闭连接时将其返回到操作系统。启用套接字池可以提高性能,尤其是对于安全套接字层(SSL)连接 ,在左侧,单击‘应用商店’ ,右键单击您的商店,然后单击“ 配置商店设置
4.6 在“ 高级设置”页面上,选中“ 启用套接字池 ”

4.7 右键单击您的商店,然后单击“ 管理Receiver for Web站点”。
4.8 单击配置
4.9 在“ 高级设置”页面上,将“ 启用环回通信”更改为“ OnUsingHttp”。单击“ 确定”,然后单击“ 关闭”。
五.客户端测试
5.1 在安装了阿里云证书的客户端,用浏览器使用https协议打开StoreFront Receiver for Web的URL,可以看到已经是加密访问,账号由于配置了可信域就不需要再输入”域名\账户” 登陆
5.2 StoreFront启用https后,就可以使用Citrix Receiver直接登录了,添加账户输入https协议的StoreFront的URL,点击添加
5.3 输入域账号和密码进行登录
5.4 登陆正常
由于未配置计算机目录、交付组等,这里只做了下简单的登陆测试,后续内容会陆续更新