NetScaler的AGEE安装和配置.docx

1、NetScaler的AGEE安装和配置第1章 基本过程 3第2章 安装配置环境一览表 3第3章 安装NetScaler VPX及初始化 43.1 安装NetScaler VPX 43.2 基本配置 5第4章 创建证书 94.1 安装配置Windows CA服务 94.2 创建Certificate Request文件(.csr) 144.3 创建Certificate文件(.cer) 17第5章 配置NetScaler 235.1 创建Access Gateway 的Virtual Server 235.2 创建Load Balancing 的Virtual Server 28第6章 为Net

2、Scaler创建一个专用WI站点 31第7章 测试并验证 34第1章 基本过程本章节介绍了通过NetScaler实现ica proxy的基本过程。其包括了： NetScaler的安装 Windows CA的安装 配置NetScaler第2章 安装配置环境一览表通过NetScaler实现ica proxy有多种实现方式： 不使用AG做身份认证 NetScaler对外只有一个IP地址即Access Gateway的Virtual Server IP当用户请求Web站点时，Access Gateway Virtual Server将把请求转给Load Balancing Virtual Server

3、。建议此时的Load Balancing Virtual Server使用HTTP协议。结合“基础环境”的网络架构，环境规划如下：IP地址段网关DDC/WI内网192.168.80.0/24192.168.80.254192.168.80.152外网172.16.10.0/24172.16.10.254NetScaler规划，版本：Netscaler 10.0.73.5IP地址FQDNVPX IP192.168.80.145Sub IP192.168.80.140Access Gatewayvirtual server IP192.168.80.141Load Balancingvirtual

4、 server IP192.168.80.142第3章 安装NetScaler VPX及初始化3.1 安装NetScaler VPX1. 从下载最新的NetScaler VPX（本次所使用的版本为10.0.73.5，其他NetScaler 9.3，10.0版本皆可以） 2. 打开XenCenter，右击XenServer，选择Import，指定NSVPX-XEN-10.0-73.5_nc.xva3. 导入完成之后，虚机将会启动，4. 打开此虚机console，Netscaler会提示输入IP地址，（此地址为Netscaler的管理地址）5. 输入如下信息，然后输入4，保存并退出，NetScal

5、er会自动重启，NetScaler IP: 192.168.80.145Netmask： 255.255.255.0Gateway： 192.168.80.2543.2 基本配置1. NetScaler重启完成后，打开浏览器，输入：192.168.80.145，确认NetScaler能正常访问，（初始账号密码皆为：nsroot）注：访问NetScaler控制台需要Java支持，2. 展开System - Licenses，点击右侧Manage License，导入你为此机器申请的lic文件，3. 导入完成后，会出现如下提示：将其都勾选，并点击“是”，NetScaler会自动重启，4. 重启完成

6、后，确认lic文件已经生效，进入NetScaler常规配置，5. 展开System Settings，点击Configure modes，6. 勾选MAC Based forwarding，点击OK，7. 再点击Configure Basic Features，勾选：SSL Offloading，Load Balancing，Access Gateway，点击OK，8. 在右侧Settings下，选择Change Time Zone，9. 选择时区为：GMT+8:00-CST-Asia/Shanghai，点击OK，10. 展开Network - IPs，添加一个Subnet IP，192.16

7、8.80.140至此，NetScaler VPX已经安装完成，并完成了初始化。接下来进行证书配置。第4章 创建证书鉴于Android设备对于NetScaler自建证书识别不正常的情况，所需要使用的证书都请通过Windows Certificate Authority（CA）服务来创建。本例中，我们将Windows CA搭建在域控制器CTXAD上。4.1 安装配置Windows CA服务1. 登陆CTXAD，打开“服务器管理器”- “添加角色”，2. 勾选“Active Directory证书服务”，点击 下一步，3. 选择“证书颁发机构”、“证书颁发机构Web注册”，4. 跳出如下提示，选择“

8、添加所需的角色服务”，5. 选择“企业”，6. 选择“根CA”，7. 选择“新建私钥”8. 选择“SHA1”哈希算法，9. 输入所需要的根证书信息，（本例中保留了默认值）10. 证书有效期选择默认的“5年”，11. 接下去一路下一步，完成证书服务的安装，12. 打开浏览器，输入http:/localhost/certsrv，确认证书服务工作正常， 4.2 创建Certificate Request文件(.csr)1. 通过浏览器访问NetScaler，展开Network - SSL，2. 展开SSL Keys，3. 选择 Create RSA KeyKey Filename: citrixla

9、b.keyKey Size: 1024Key Format: DER注：每种类型的证书文件，请确保输入正确的后缀，如：.key，.csr4. 在SSL Certificates下，选择Create CSR(Certificate Signing Request)Request File Name: citrixlab.csrKey File Name: citrixlab.key（选择我们刚刚创建的key文件）Common Name: *（指定你需要发布的站点名称：本例中使用通配符替代）注：打*号都必须输入5. 点击Create，创建csr文件，6. 在Tools下，选择Manage Cert

10、ificates/Keys/CSRs，7. 选择刚创建好的citrixlab.csr文件，点击Download，下载到本地，8. 使用文本编辑器，打开citrixlab.csr文件，确保其为如下格式，4.3 创建Certificate文件(.cer)1. 通过浏览器打开CTXAD上的证书申请页面，点击“申请证书”，2. 选择“高级证书申请”，3. 将刚才通过文本编辑器打开的csr文件信息考本到空白框中，并在“证书模版”处选择“Web服务器”，4. 证书生成后，选择“DER编码”，并下载证书，5. 指定证书名称citrixlab.cer，6. 重新登陆NetScaler控制台，展开SSL Cer

11、tificates，点击Install，7. 指定Certificate-Key Pair Name，本例中为：citrixlab.pair注：后缀名一定为.pair，8. Certificate File Name，定位到本地，指向刚创建的citrixlab.cer文件，9. Private Key File Name，直接选择citrixlab.key，10. 将Format指定为DER，点击Install，11. 创建完成后，选择citrixlab.pair，点击下部的Detail，确认证书的正确性，12. 证书配置完成后，点击右上角的 SAVE，确保所有的变更NetScaler都已保存

12、。否则一旦NetScale重启，所有变更都会消失。注：请经常点击SAVE以保证变更的设定都及时保存，13. 如跳出提示框，点击Yes，并提示保存完成，14. 再选择其他选项，将会如下提示，点击是，刷新最新的配置信息。至此，所需要的证书都已创建完成，接下来进行Access Gateway的配置。第5章 配置NetScaler5.1 创建Access Gateway 的Virtual Server1. 展开Access Gateway - Policy - Session，选择右侧Profile标签，点击下部Add，2. 输入名字ica_profile，点击Published Applicatio

13、n，ica proxy: OnWeb Interface Address: http:/192.168.80.142/Citrix/vpxSingle Sign-on Domain: citrixlab.localCitrix Receiver Home Page:http:/192.168.80.142/Citrix/PNAgent/config.xml注：Citrix Receiver Home Page只能使用WI的默认service site名。3. 点击标签Security，确保Default Authorization Action选择为Allow， Override Global

14、选项已勾选4. 点击标签 Client Experience，确保Single Sign-on to Web Application已经勾选，5. 创建完成ica_profile后，回到 Polices，6. 点击下部的Add来创建policy，Name: ica_policyRequtest profile: ica_profile（下拉）Name Expressions: True value7. 点击Access Gateway下的Virtual Servers，8. 并点击下部的Add创建一个Virtual Server，按如下信息配置，Name: ag_vsIP Address: 1

15、92.168.80.141并选择Basic Mode和指定citrixlab.pair证书9. 点击标签Authentication，不勾选Enable Authentication，10. 点击标签policy，选择ica_policy，11. 点击标签Publish Application，点击下部的Add，输入：http:/192.168.80.152/scripts/ctxsta.dll12. Access Gateway的virtual server创建完成后，如果工作正常，会显示绿色的up状态，5.2 创建Load Balancing 的Virtual Server1. 点击Loa

16、d Balancing下的Service，点击下部的Add创建对应Web Interface站点，按如下信息输入，Name: WI01Protocol: HTTPServer: 192.168.80.1522. 创建完成并且工作正常，此WI站点应该也显示绿色的up状态，3. 展开Load Balancing的Virtual Servers，点击Add，输入：Name: lb_vsProtocol: HTTPIP Address: 192.168.80.142并选择WI01，4. 点击标签Method and Persistence，在Persistence处选择COOKIEINSERT，并指定

17、Time Out值为0，5. Load Balancing创建完成后，Virtual Server如果工作正常应该也显示绿色的up状态，至此，Access Gateway部分就配置完成。接下来将在WI上配置对应的站点。第6章 为NetScaler创建一个专用WI站点1. 登陆CTXDDC，打开Desktop Studio，展开Access - Citrix Web Interface2. 选择XenApp Web站点，右键“创建站点”，路径: /Citrix/名称： vpx3. 仍然指定“Web Interface”为用户身份验证的位置，点击下一步并创建此站点，4. 创建完成后，点击下一步立即

18、配置此站点，5. 将ctxddc.citrixlab.local和ctxxa.citrixlab.local加入“指定服务器场”，6. 验证方法默认的“显式”，一路下一步完成此站点的配置，7. 选择vpx站点，点击右侧的安全访问，8. 点击添加，并指定Load Balancing的Virtual Server的IP地址，选择访问方法为：网关（直接）9. 创建完成后，确保此地址靠上，并点击下一步，10. 指定网关设置，输入外部需要访问的域名，本例为：，点击下一步，11. 指定Secure Ticket Authority设置，输入URL：http:/ctxddc.citrixlab.local/

19、scripts/ctxsta.dll点击完成。至此，WI站点创建并配置完成。接下来通过外部客户端进行测试来验证NetScaler工作是否正常。第7章 测试并验证Web Site1. 首先登陆到CTXAD并通过浏览器打开证书服务，点击“下载CA证书、证书链或CRL”2. 指定当前CA证书，编码选择DER，点击下载证书，3. 指定根证书名称方便管理，如：rootca-citrixlab.cer，并保存，4. 将此证书文件拷贝到需要做测试的电脑上，5. 然后点击运行，输入mmc，6. 选择“证书”选项，7. 选择“计算机账户” - “本地计算机”，8. 展开“证书” - “受信任的根证书颁发机构”

20、- “证书”9. 右击，导入证书rootca-citrixlab.cer，10. 证书导入完成之后，找到此证书并双击打开，确保此证书在此电脑上已经受信任，至此，证书已经成功导入到测试电脑，然后打开浏览器访问 确认WI登陆页面正常显示，并且能够访问到发布应用和桌面。 第8章 变更PNAgent service site1. 打开Citrix Web Interface，展开XenApp Service 站点，选择默认的PNAgent Site，2. 选择右侧的“安全访问”，将“访问方法”更改为“网关（直接）”，3. 指定网关设置，输入外部需要访问的域名，本例为：，点击下一步，4. 指定Secure Ticket Authority设置，输入URL：http:/ctxddc.citrixlab.local/scripts/ctxsta.dll5. 使用移动设备接来验证NetScaler工作是否正常。