在之前的博文中,我们的客户端是使用http协议去登录StoreFront,为了提高安全性,我们可以为StoreFront申请服务器证书配置https加密访问,以及巧用IIS错误页进行https重定向,本文将介绍具体配置过程。 之前的相关博文请见以下链接:
《使用XenCenter 7配置XenServer资源池》 详见http://jiangjianlong.blog.51cto.com/3735273/1893363 、
《XenDesktop7.12发布Win10周年更新版桌面》详见http://jiangjianlong.blog.51cto.com/3735273/1894139 、
《XenDesktop7.12发布应用程序》详见http://jiangjianlong.blog.51cto.com/3735273/1896972
一、测试环境
计算机名 |
操作系统 |
IP地址 |
角色 |
Xen-dc.long.xen |
Win2012R2 |
192.168.10.50 |
DC、DNS、DHCP、iSCSi Target、CA |
Xenserver01 |
XenServer 7.0 |
192.168.10.51 |
宿主机 |
Xenserver02 |
XenServer 7.0 |
192.168.10.52 |
宿主机 |
Xencenter.long.xen |
Win2012R2 |
192.168.10.53 |
XenCenter、许可证服务器、ISO共享库 |
XenDesktop.long.xen |
Win2012R2 |
192.168.10.54 |
XenDesktop7.12服务器(安装DeliveryController、Director、StoreFront、Studio) |
APPServer.long.xen |
Win2012R2 |
192.168.10.55 |
安装VDA for WindowsServerOS,安装VNC Viewer |
Win10.long.xen |
Win10周年更新版 |
DHCP |
主映像(安装VDA for WindowsDesktopOS) |
Win10-01.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面 |
Win10-02.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面 |
Win10-APP03.long.xen |
Win10周年更新版 |
DHCP |
虚拟桌面,安装QQ影音 |
二、为StoreFront配置服务器证书
本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564
1、打开IIS中的服务器证书功能
2、点击创建证书申请
3、输入相关信息,在通用名称处注意需输入StoreFront服务器的FQDN
4、选择加密服务提供程序,位长最好选择2048,因我是测试环境,就按默认好了
5、指定一个文件名,将生成证书申请信息文件
6、登录CA的web界面,点击申请证书
7、点击高级证书申请
8、点击第二个选项
9、复制上文证书申请信息文件中的全部内容,并选择证书模板为Web服务器,点击提交
10、证书自动颁发,点击下载证书
11、再去到主页下载CA证书
12、将CA证书导入到受信任的根证书颁发机构中
13、回到IIS管理器中,点击完成证书申请
14、浏览到我们上文申请完下载下来的服务器证书,并在好记名称处输入StoreFront服务器的FQDN
15、点击IIS的Default Web Site,再点击绑定
16、点击添加,类型选择https,SSL证书处选择我们上文申请的证书,至此IIS已完成服务器证书的配置
三、更改StoreFront的URL
1、由于我是将Controller和StoreFront安装在同一台机,因此打开Citrix Studio即可,点击Citrix StoreFront节点下的服务器组,点击更改基本URL,默认是http的协议,将其修改为https
2、点击Citrix StoreFront节点下的应用商店,可以看到StoreFront的URL全部已更改为https协议
3、点击Citrix Studio节点下的StoreFront,编辑StoreFront服务器,将URL也改为https,这样才能让所有交付组所绑定的StoreFront的URL都改为https
4、查看交付组,确认StoreFront的URL都已变成https协议,至此已完成StoreFront的URL更改
四、客户端测试
1、在安装了CA证书的客户端,用浏览器使用https协议打开StoreFront Receiver for Web的URL,可以看到已经是加密访问,也能正常登录
2、StoreFront启用https后,就可以使用Citrix Receiver直接登录了,添加账户输入https协议的StoreFront的URL,点击添加
3、输入域账号和密码进行登录
4、登录后点击左边的加号图标添加应用程序或桌面
5、经测试应用程序和桌面都能正常访问
五、巧用IIS错误页进行https重定向
1、StoreFront配置了https后,用户通过浏览器仍可以使用http协议访问,为了自动重定向为使用https协议,可能需要下载安装IIS URL重写模块进行配置,但我发现巧用错误页也可能非常简单地就实现这个功能。首先点击StoreWeb的SSL设置,选择要求SSL。这时候客户端如果在浏览器中使用http协议访问会报403错误
2、编辑错误页的403页面,选择以302重定向响应,输入绝对URL即https协议的receiver for web站点的地址
3、经测试能成功重定向为https地址的登录页面
本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564