Lab 13 NetScaler基本安装及配置

admin

第1章 基本过程
本章节介绍了通过NetScaler实现ica proxy的基本过程。其包括了：
•        NetScaler的安装
•        Windows CA的安装
•        配置NetScaler

本章节开始前，请确认 “PoC手册 - 1 基础环境”的基础构架安装的环境均已完成。 并且确认有有效的测试NetScaler License文件供此测试使用。

另：如在PoC Runbook hands on lab培训中，请参考《PoC手册 - 附录 -  Windows 路由器 - NAT》创建一台Windows路由器以模拟内外网环境。

第2章 安装配置环境一览表
通过NetScaler实现ica proxy有多种实现方式，本文档只作为PoC Runbook使用，考虑到简化部署：
•        不使用AG做身份认证
•        NetScaler对外只有一个IP地址即Access Gateway的Virtual Server IP
当用户请求Web站点时，Access Gateway Virtual Server将把请求转给Load Balancing Virtual Server。建议此时的Load Balancing Virtual Server使用HTTP协议。

d01

结合“PoC手册 - 1 基础环境”的网络架构，环境规划如下：
        IP地址段        网关        DDC/WI
内网        192.168.80.0/24        192.168.80.254        192.168.80.152
外网        172.16.10.0/24        172.16.10.254        

NetScaler规划，版本：Netscaler 10.0.73.5
        IP地址        FQDN
VPX IP        192.168.80.145        
Sub IP        192.168.80.140        
Access Gateway
virtual server IP        192.168.80.141        www.citrixlab.com

Load Balancing
virtual server IP        192.168.80.142        

第3章 安装NetScaler VPX及初始化
3.1 安装NetScaler VPX
1.        从www.citrix.com下载最新的NetScaler VPX（本次所使用的版本为10.0.73.5，其他NetScaler 9.3，10.0版本皆可以）
2.        打开XenCenter，右击XenServer，选择Import，指定NSVPX-XEN-10.0-73.5_nc.xva

d02

3.        导入完成之后，虚机将会启动，
4.        打开此虚机console，Netscaler会提示输入IP地址，（此地址为Netscaler的管理地址）
5.        输入如下信息，然后输入4，保存并退出，NetScaler会自动重启，
NetScaler IP:        192.168.80.145
Netmask：                255.255.255.0
Gateway：                192.168.80.254

d03

3.2 基本配置
1.        NetScaler重启完成后，打开浏览器，输入：192.168.80.145，确认NetScaler能正常访问，（初始账号密码皆为：nsroot）
注：访问NetScaler控制台需要Java支持，

d04

2.        展开System -> Licenses，点击右侧Manage License，导入你为此机器申请的lic文件，

d05

3.        导入完成后，会出现如下提示：将其都勾选，并点击“是”，NetScaler会自动重启，

d06

4.        重启完成后，确认lic文件已经生效，进入NetScaler常规配置，

d07

5.        展开System –> Settings，点击Configure modes，
6.        勾选MAC Based forwarding，点击OK，

d08

7.        再点击Configure Basic Features，勾选：SSL Offloading，Load Balancing，Access Gateway，点击OK，

d09

8.        在右侧Settings下，选择Change Time Zone，

d10

9.        选择时区为：GMT+8:00-CST-Asia/Shanghai，点击OK，

d11

10.        展开Network -> IPs，添加一个Subnet IP，192.168.80.140

d12

至此，NetScaler VPX已经安装完成，并完成了初始化。接下来进行证书配置。

第4章 创建证书
鉴于Android设备对于NetScaler自建证书识别不正常的情况，以后PoC项目所需要使用的证书都请通过Windows Certificate Authority（CA）服务来创建。
本例中，我们将Windows CA搭建在域控制器CTXAD上。
4.1 安装配置Windows CA服务
1.        登陆CTXAD，打开“服务器管理器”-> “添加角色”，
2.        勾选“Active Directory证书服务”，点击 下一步，

d13

3.        选择“证书颁发机构”、“证书颁发机构Web注册”，

d14

4.        跳出如下提示，选择“添加所需的角色服务”，

d15

5.        选择“企业”，

d16

6.        选择“根CA”，

d17

7.        选择“新建私钥”

d18

8.        选择“SHA1”哈希算法，

d19

9.        输入所需要的根证书信息，（本例中保留了默认值）

d20

10.        证书有效期选择默认的“5年”，

d21

11.        接下去一路下一步，完成证书服务的安装，

d22

d23

d24

12.        打开浏览器，输入http://localhost/certsrv，确认证书服务工作正常，

d25

4.2 创建Certificate Request文件(.csr)
1.        通过浏览器访问NetScaler，展开Network -> SSL，
2.        展开SSL Keys，

d26

3.        选择 Create RSA Key
Key Filename:                citrixlab.key
Key Size:                        1024
注：每种类型的证书文件，请确保输入正确的后缀，如：.key，.csr

d27

4.        在SSL Certificates下，选择Create CSR(Certificate Signing Request)

d28

Request File Name:                citrixlab.csr
Key File Name:                        citrixlab.key（选择我们刚刚创建的key文件）
Common Name:                        *.citrixlab.com（指定你需要发布的站点名称：本例中使用通配符替代）
注：打*号都必须输入

d29

5.        点击Create，创建csr文件，
6.        在Tools下，选择Manage Certificates/Keys/CSRs，

d30

7.        选择刚创建好的citrixlab.csr文件，点击Download，下载到本地，

d31

d32

8.        使用文本编辑器，打开citrixlab.csr文件，确保其为如下格式，

d33

4.3 创建Certificate文件(.cer)
1.        通过浏览器打开CTXAD上的证书申请页面，点击“申请证书”，

d34

2.        选择“高级证书申请”，

d35

3.        将刚才通过文本编辑器打开的csr文件信息考本到空白框中，并在“证书模版”处选择“Web服务器”，

d36

4.        证书生成后，选择“Base64编码”，并下载证书，

d37

5.        指定证书名称citrixlab.cer，

d38

6.        重新登陆NetScaler控制台，展开SSL –> Certificates，点击Install，

d39

7.        指定Certificate-Key Pair Name，本例中为：citrixlab.pair
注：后缀名一定为.pair，

d40

8.        Certificate File Name，定位到本地，指向刚创建的citrixlab.cer文件，

d41

9.        Private Key File Name，直接选择citrixlab.key，

d42

10.        点击Install，

d43

11.        创建完成后，选择citrixlab.pair，点击下部的Detail，确认证书的正确性，

d44

12.        证书配置完成后，点击右上角的 SAVE，确保所有的变更NetScaler都已保存。否则一旦NetScale重启，所有变更都会消失。
注：请经常点击SAVE以保证变更的设定都及时保存，

d45

13.        如跳出提示框，点击Yes，并提示保存完成，

d46

d47

14.        再选择其他选项，将会如下提示，点击是，刷新最新的配置信息。

d48

至此，所需要的证书都已创建完成，接下来进行Access Gateway的配置。

第5章 配置NetScaler
5.1 创建Access Gateway 的Virtual Server
1.        展开Access Gateway -> Policy -> Session，选择右侧Profile标签，点击下部Add，

d49

2.        输入名字ica_profile，点击Published Application，
ica proxy:                                                 On
Web Interface Address:                        http://192.168.80.142/Citrix/vpx
Single Sign-on Domain:                citrixlab.local
Citrix Receiver Home Page:
http://192.168.80.142/Citrix/PNAgent/config.xml
注：Citrix Receiver Home Page只能使用WI的默认service site名。

d50

3.        点击标签Security，确保Default Authorization Action选择为Allow， Override Global选项已勾选

d51

4.        点击标签 Client Experience，确保Single Sign-on to Web Application已经勾选，

d52

5.        创建完成ica_profile后，回到 Polices，

d53

6.        点击下部的Add来创建policy，
Name:                                        ica_policy
Requtest profile:                ica_profile（下拉）
Name Expressions:                True value

d54

7.        点击Access Gateway下的Virtual Servers，

d55

8.        并点击下部的Add创建一个Virtual Server，按如下信息配置，
Name:                        ag_vs
IP Address:                192.168.80.141
并选择Basic Mode和指定citrixlab.pair证书

d56

9.        点击标签Authentication，不勾选Enable Authentication，

d57

10.        点击标签policy，选择ica_policy，

d58

11.        点击标签Publish Application，点击下部的Add，输入：
http://192.168.80.152/scritps/ctxsta.dll

d59

d60

12.        Access Gateway的virtual server创建完成后，如果工作正常，会显示绿色的up状态，

d61

5.2 创建Load Balancing 的Virtual Server
1.        点击Load Balancing下的Service，点击下部的Add创建对应Web Interface站点，按如下信息输入，
Name:                WI01
Protocol:                HTTP
Server:                192.168.80.152

d62

2.        创建完成并且工作正常，此WI站点应该也显示绿色的up状态，

d63

3.        展开Load Balancing的Virtual Servers，点击Add，输入：
Name:                lb_vs
Protocol:                HTTP
IP Address:                192.168.80.142
并选择WI01，

d64

4.        点击标签Method and Persistence，在Persistence处选择COOKIEINSERT，并指定Time Out值为0，

d65

5.        Load Balancing创建完成后，Virtual Server如果工作正常应该也显示绿色的up状态，

d66

至此，Access Gateway部分就配置完成。接下来将在WI上配置对应的站点。

第6章 为NetScaler创建一个专用WI站点
1.        登陆CTXDDC，打开Desktop Studio，展开Access -> Citrix Web Interface
2.        选择XenApp Web站点，右键“创建站点”，
路径:                /Citrix/
名称：                vpx

d67

3.        仍然指定“Web Interface”为用户身份验证的位置，点击下一步并创建此站点，
4.        创建完成后，点击下一步立即配置此站点，
5.        将ctxddc.citrixlab.local和ctxxa.citrixlab.local加入“指定服务器场”，

d68

6.        验证方法默认的“显式”，一路下一步完成此站点的配置，

d69

7.        选择vpx站点，点击右侧的安全访问，
8.        点击添加，并指定Load Balancing的Virtual Server的IP地址，选择访问方法为：网关（直接）

d70

9.        创建完成后，确保此地址靠上，并点击下一步，

d71

10.        指定网关设置，输入外部需要访问的域名，本例为：www.citrixlab.com，点击下一步，

d72

11.        指定Secure Ticket Authority设置，输入URL：
http://ctxddc.citrixlab.local/scripts/ctxsta.dll

d73

点击完成。至此，WI站点创建并配置完成。接下来通过外部客户端进行测试来验证NetScaler工作是否正常。

第7章 测试并验证Web Site
1.        首先登陆到CTXAD并通过浏览器打开证书服务，点击“下载CA证书、证书链或CRL”

d74

2.        指定当前CA证书，编码选择DER，点击下载证书，

d75

3.        指定根证书名称方便管理，如：rootca-citrixlab.cer，并保存，

d76

4.        将此证书文件拷贝到需要做测试的电脑上，
5.        然后点击运行，输入mmc，
6.        选择“证书”选项，

d77

7.        选择“计算机账户” -> “本地计算机”，

d78

d79

8.        展开“证书” -> “受信任的根证书颁发机构” -> “证书”

d80

9.        右击，导入证书rootca-citrixlab.cer，

d81

d82

10.        证书导入完成之后，找到此证书并双击打开，确保此证书在此电脑上已经受信任，

d83

至此，证书已经成功导入到测试电脑，然后打开浏览器访问www.citrixlab.com 确认WI登陆页面正常显示，并且能够访问到发布应用和桌面。

d84

         

d85

         

第8章 变更默认的PNAgent Service site
1.        打开Citrix Web Interface，展开XenApp Service 站点，选择默认的PNAgent Site，
2.        选择右侧的“安全访问”，将“访问方法”更改为“网关（直接）”，

d86

3.        指定网关设置，输入外部需要访问的域名，本例为：www.citrixlab.com，点击下一步，

d87

4.        指定Secure Ticket Authority设置，输入URL：
http://ctxddc.citrixlab.local/scripts/ctxsta.dll

d88

5.        使用移动设备接来验证NetScaler工作是否正常。