Office 365-Beschleunigung
Citrix SD-WAN WANOP optimiert WAN, um eine konsistente Benutzererfahrung für Geschäftsanwendungen in Zweigstellen und Remote-Standorten zu bieten.
Microsoft Office 365 ist eine SaaS-Anwendung (Software-as-a-Service), die die Office-Suite von Microsoft für Unternehmensanwendungen bereitstellt. Diese Anwendung wird in der Cloud gehostet und wird bei Bedarf an Benutzer bereitgestellt.
Mit der Office 365-Beschleunigungsfunktion können die Zweigstellen die Optimierungsvorteile nutzen, die Citrix SD-WAN WANOP für Microsoft Office 365-Anwendungen bietet.
Anwendungsfall
Wenn das WAN-Segment deutlich langsamer ist als das Internet-Segment, und Microsoft Office 365-Server sind näher an der größeren Niederlassung als die Zweigstelle.
Topologie
Der Zweigstelle Office 365-Datenverkehr wird über das WAN an die Hauptniederlassung gesendet und dann über das Internet an Office 365-Server weitergeleitet. Das Segment zwischen Zweigstelle und Zentrale wird beschleunigt.
Hinweis
Das Segment zwischen dem Hauptbüro und den Microsoft Office 365-Servern wird nicht beschleunigt. Es wird empfohlen, dass das Hauptbüro eine Verbindung zum nächstgelegenen Office 365-Server herstellt.
Wie funktioniert das?
Citrix SD-WAN WANOP SSL-Beschleunigung kann Office 365-Datenverkehr entschlüsseln und beschleunigen und komprimieren. Kurz gesagt, Office 365-Zweigstellenbeschleunigung kann als Sonderfall der RPC-über-HTTPS-Beschleunigung betrachtet werden.
Prozedur
-
Erstellen Sie ein sicheres Peering zwischen den Citrix SD-WAN WANOP-Appliances der Zweigstelle und der Hauptverwaltung.
-
Generieren Sie Proxyzertifikaten/privaten Schlüssel in der Zertifizierungsstelle (Domain Certification Authority, CA).
-
Fügen Sie alle erforderlichen Zertifizierungsstellen in Citrix SD-WAN WANOP hinzu.
-
Zertifizierungsstelle, Zwischenzertifizierungsstellen, Stammzertifizierungsstelle der Microsoft-Zertifikate.
-
Proxy-Zertifikate/Private Schlüssel, die für Office 365-URLs generiert werden.
Hinweis
Um Sicherheitswarnungen in Ihren Browsern zu vermeiden, müssen die Proxyzertifikate vom Zertifizierungsstellenserver Ihrer Windows-Domäne signiert werden. Dies macht es für jeden Domänenbenutzer akzeptabel.
-
-
Erstellen Sie ein SSL-geteiltes Proxy-Profil und binden Sie den geteilten Proxy an die Service-Klasse (Web (internetsicher)).
-
Starten Sie die Office 365-Verbindung und überprüfen Sie die beschleunigten Verbindungen.
Warnung
Zweigstellengeräte, die nicht Teil der Domäne sind, zeigen Sicherheitswarnungen an, es sei denn, Sie installieren die Zertifikate manuell. Firefox-Benutzer müssen die Zertifikate auch manuell installieren, da Firefox den Zertifikatspeicher des Geräts nicht berücksichtigt.
Konfigurieren der Office 365-Beschleunigung
So konfigurieren Sie die Office 365-Beschleunigung:
-
Richten Sie eine sichere Peering-Beziehung zwischen den beiden Citrix SD-WAN WANOP-Appliances ein, wie in Secure Peeringbeschrieben
-
Erstellen Sie ein neues Zertifikat.
Hinweis
Die serverseitige Citrix SD-WAN WANOP-Appliance dient als Vermittler zwischen Office 365 und den Clients. Daher werden diese Zertifikate vom serverseitigen Domänencontroller signiert, verweist jedoch auf die Office 356-Domänen.
-
Melden Sie sich beim Zertifizierungsstellenserver für Ihre Windows-Domäne an.
-
Fügen Sie bei Bedarf die Snap-Ins für Zertifizierungsstelle, Zertifikatvorlage und Zertifikate hinzu.
-
Navigieren Sie zu Zertifikatvorlagen > Webserver-Eigenschaften > Sicherheit, und wählen Sie alle Optionen aus.
-
Navigieren Sie zu Zertifikate > Persönlich > Zertifikate (Computer) > Alle Aufgaben > Neues Zertifikat anfordern.
-
Klicken Sie im Fenster „Zertifikatsregistrierung“auf Weiter.
-
Wählen Sie im Fenster „Registrierungsrichtlinie für Zertifikatregistrierung auswählen“ die Option Active Directory-Registrierungsrichtlinieaus.
-
Wählen Sie im Fenster Active Directory Registrierungsrichtlinie die Option Webserver > Details > Eigenschaften.
-
-
Kopieren Sie Informationen aus Office365-Zertifikaten in Ihre neuen Zertifikate. Sie erhalten ein einzelnes Zertifikat aus drei Office365-Zertifikaten. Gehen Sie wie folgt vor:
-
Geben Sie in einem Browser wie Chrome die URL ein: https://login.microsoftonline.com.
Hinweis
Melden Sie sich nicht an.
-
Klicken Sie auf das Vorhängeschloss-Symbol in der URL-Leiste und wählen Sie Verbindung > Zertifikatinformationen > Details.
Hinweis
Diese Anweisungen gelten für den Chrome-Browser; das Verfahren ist auch für andere Browser identisch.
-
Klicken Sie auf Subject Alternative Name. Dadurch wird eine Liste von DNS-Namen wie login.microsoftonline.com angezeigt. Kopieren Sie die Informationen in das Textfeld darunter.
-
Kehren Sie zum Fenster Zertifikateigenschaften Ihres neuen Zertifikats zurück. Fügen Sie die alternativen Namen im Feld Wert mit Typ als DNS hinzu, damit sie mit jedem alternativen Namen im Microsoft-Zertifikat übereinstimmen.
-
Wiederholen Sie den Vorgang zum Erkennen alternativer Antragstellernamen und fügen Sie sie Ihrem Zertifikat für, https://outlook.office365.com, https://portal.office.com, https://office.live.com und https://sharepoint.com hinzu (die SharePoint-URL ist kundenspezifisch).
-
Erstellen Sie einen allgemeinen Namen für Ihr neues Zertifikat. Das obige Beispiel zeigt einen allgemeinen Namen als Office365-Proxy.
-
Wählen Sie auf der Registerkarte Privater Schlüsseldie Option Privaten Schlüssel exportieren .
-
Klicken Sie auf OK, Registrieren und Fertig stellen.
-
-
Exportieren Sie das Zertifikat.
-
Wählen Sie unter Zertifikate > Persönlich > Zertifikate das oben erstellte Proxy-Zertifikat aus, und wählen Sie dann Alle Aufgaben > Exportieren aus.
-
Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.
-
Wählen Sie unter Private Key exportierendie Option Ja, den privaten Schlüssel exportierenund klicken Sie auf Weiter.
-
Behalten Sie die Standardwerte für das Exportdateiformat bei.
-
Geben Sie das Kennwort ein und bestätigen Sie es, exportieren Sie den privaten Schlüssel, und speichern Sie das Zertifikat als loginportal.pfx.
-
-
Exportieren Sie Ihre Zertifikate.
-
Klicken Sie im Zertifikatexport-Assistentenauf Weiter. Wählen Sie unter Private Key exportierendie Option Nein, den privaten Schlüssel nicht exportieren. Klicken Sie auf Weiter.
-
Behalten Sie die Standardwerte für das Exportdateiformat bei.
-
Geben Sie das Kennwort ein und bestätigen Sie es, und exportieren Sie den privaten Schlüssel und das Zertifikat. Speichern Sie die Datei in eine Datei unter einem Dateinamen wie office365_keys.pfx.
-
-
Laden Sie die öffentlichen Schlüssel der Stammzertifizierungsstelle und Zwischenzertifizierungsstellen der Microsoft-Zertifikate herunter.
-
Navigieren Sie im Browser zu https://login.microsoftonline.com. Klicken Sie im Browser auf das Vorhängeschloss-Symbol. Navigieren Sie zu Verbindung > Zertifikatinformationen > Zertifizierungspfad.
-
Wählen Sie das Stammzertifikat (das oben in der Liste) aus, und klicken Sie dann auf Zertifikat anzeigen > Details > In Datei kopieren. Der Zertifikatexport-Assistent wird angezeigt. Klicken Sie auf Weiter.
-
Geben Sie den Dateinamen ein und speichern Sie die Datei.
Hinweis
Alternativ können Sie Wireshark oder OpenSSL verwenden, um die Stamm- und Zwischenzertifizierungsstellennamen abrufen und die Zertifikate von der ‘AUTHENTIC’ Quelle abrufen (z. B. Windows SSL Store).
-
Wiederholen Sie Schritt 6, um die Stamm- und Zwischenzertifizierungsstellen der folgenden Domänen zu speichern:
-
login.microsoftonline.com
-
portal.office.com
-
outlook.office356.com
-
*.sharepoint.com
-
office.live.com
-
-
-
Fügen Sie der serverseitigen Citrix SD-WAN WANOP-Appliance alle Office 365-Server-Zertifizierungsstellen, Proxy-Zertifikat/Schlüsselpaare und private Schlüssel hinzu. Die Zertifizierungsstellen werden über die Registerkarte Zertifizierungsstellenzertifikate auf der Seite Zertifikate und Schlüssel hinzugefügt. Zertifikate und Zertifikat/Schlüsselpaare werden auf der Registerkarte Zertifikat/Schlüsselpaare hinzugefügt.
-
Erstellen Sie ein SSL-Teilproxy-Profil und binden Sie den geteilten Proxy an die Web-Service-Klasse (Internet-Secure).
-
Navigieren Sie zu Konfiguration > Sichere Beschleunigung > SSL-Profil > Profil hinzufügen.
-
Geben Sie den Profilnamen Ihrer Wahl ein. Wählen Sie Profil aktiviert, Alternative Namen des Antragstellers analysieren und Proxy teilen aus.
-
Wählen Sie unter Serverseitige Proxykonfiguration > Verifizierungsspeicher die Option Alle konfigurierten Zertifizierungsstellenspeicher verwenden aus.
-
Wählen Sie unter Clientseitige Proxy-Konfiguration > Zertifikat/Privatschlüssel das zuvor erstellte und exportierte Cert/Private Schlüsselpaar aus (das im Beispiel als loginportal.pfx gezeigt). Wählen Sie Zertifikatskette erstellen aus. Wählen Sie unter Zertifikatkettenspeicher die Zertifizierungsstelle aus, die dem Zertifikat/Schlüsselpaar zugeordnet ist.
-
-
Binden Sie das erstellte SSL-Profil an die Dienstklasse Internet (Web-Secure). Navigieren Sie zu Konfigurieren > Optimierungsregeln > Service-Klassen, und fügen Sie das SSL-Profil zur SSL-Profilliste hinzu.
-
Aktivieren Sie die Beschleunigung und die festplattenbasierte Komprimierung für die Internet-Serviceklasse (Web-Secure) .
-
Starten Sie eine Office 365-Sitzung über Ihren Browser.
Die Verbindung wird beschleunigt. Im Browser sollte das Zertifikat Ihre Stammzertifizierungsstelle, nicht das eigentliche Office 365-Zertifikat, als Zertifizierungsstellenzertifikat der serverseitigen Appliance anzeigen.
-
Überprüfen Sie auf der Seite Appliance-Überwachung > Verbindungen, ob die Office 365-Verbindungen komprimiert sind und SSL-Beschleunigung erhalten.
Hinweis
Firefox akzeptiert die Zertifikate des Geräts standardmäßig nicht, verfügt aber über einen eigenen Zertifikatspeicher. Daher müssen Anmeldeinformationen, die im normalen Windows-Domänenverhalten von anderen Browsern und vom Gerät als Ganzes akzeptiert werden, manuell in Firefox installiert werden. Um Zertifikate in Firefox zu installieren, befolgen Sie das Verfahren im Abschnitt Installieren von Zertifikaten in Firefox.
Installieren Sie die Zertifikate in Firefox
So installieren Sie das Proxyzertifikat der serverseitigen Appliance im Firefox-Zertifikatspeicher:
-
Navigieren Sie im Firefox-Browser zu Optionen > Erweitert > Zertifikat > Zertifikate anzeigen > Autoritäten > Importieren.
-
Laden Sie das lokale Zertifizierungsstellen-Proxyzertifikat hoch, wählen Sie alle Optionen im Assistenten zum Herunterladen von Zertifikaten aus, und klicken Sie auf OK.