Gateway

Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung

Sie müssen die SSL-Zertifikate installieren, die erforderlich sind, um die Verbindungen zwischen Komponenten in einer Double-Hop-DMZ-Bereitstellung zu verschlüsseln.

In einer Double-Hop-DMZ-Bereitstellung treten verschiedene Arten von Verbindungen zwischen den verschiedenen an der Bereitstellung beteiligten Komponenten auf. Es gibt keine Ende-zu-Ende-SSL-Verschlüsselung dieser Verbindungen. Jede Verbindung kann jedoch einzeln verschlüsselt werden.

Um eine Verbindung zu verschlüsseln, müssen Sie das entsprechende SSL-Zertifikat (entweder ein vertrauenswürdiges Stammzertifikat oder ein Serverzertifikat) auf den an der Verbindung beteiligten Komponenten installieren.

Die folgende Tabelle zeigt die Verbindungen, die über die erste Firewall entstehen, und die SSL-Zertifikate, die zum Verschlüsseln jeder dieser Verbindungen erforderlich sind. Die Verschlüsselung der Verbindungen über die erste Firewall ist zwingend erforderlich, um den über das Internet gesendeten Datenverkehr zu sichern.

Verbindungen durch die erste Firewall Für die Verschlüsselung erforderliche Zertifikate
Der Webbrowser aus dem Internet stellt in der ersten DMZ eine Verbindung zu Citrix Gateway her. Citrix Gateway in der ersten DMZ muss ein SSL-Serverzertifikat installiert haben. Im Webbrowser muss ein Stammzertifikat installiert sein, das von derselben Zertifizierungsstelle (CA) signiert ist wie das Serverzertifikat auf Citrix Gateway.
Citrix Receiver aus dem Internet stellt in der ersten DMZ eine Verbindung zu Citrix Gateway her. Die Zertifikatsverwaltung für diese Verbindung entspricht der Verbindung des Webbrowsers zur Citrix Gateway-Verbindung. Wenn Sie die Zertifikate zur Verschlüsselung der Webbrowser-Verbindung installiert haben, wird diese Verbindung auch mit diesen Zertifikaten verschlüsselt.

Die folgende Tabelle zeigt die Verbindungen, die über die zweite Firewall entstehen, und die SSL-Zertifikate, die zum Verschlüsseln jeder dieser Verbindungen erforderlich sind. Die Verschlüsselung dieser Verbindungen erhöht die Sicherheit, ist jedoch nicht zwingend erforderlich.

Verbindungen durch die zweite Firewall Für die Verschlüsselung erforderliche Zertifikate
Citrix Gateway in der ersten DMZ stellt eine Verbindung zum Webinterface in der zweiten DMZ her. StoreFront oder das Webinterface muss ein SSL-Serverzertifikat installiert haben. In Citrix Gateway in der ersten DMZ muss ein Stammzertifikat installiert sein, das von derselben CA wie das Serverzertifikat auf dem Webinterface signiert ist.
Citrix Gateway in der ersten DMZ stellt eine Verbindung zu Citrix Gateway in der zweiten DMZ her. Citrix Gateway in der zweiten DMZ muss ein SSL-Serverzertifikat installiert haben. In Citrix Gateway in der ersten DMZ muss ein Stammzertifikat installiert sein, das von derselben CA wie das Serverzertifikat auf Citrix Gateway in der zweiten DMZ signiert ist.

Die folgende Tabelle zeigt die Verbindungen, die über die dritte Firewall entstehen, und die SSL-Zertifikate, die zum Verschlüsseln jeder dieser Verbindungen erforderlich sind. Die Verschlüsselung dieser Verbindungen erhöht die Sicherheit, ist jedoch nicht zwingend erforderlich.

Verbindungen durch die dritte Firewall Für die Verschlüsselung erforderliche Zertifikate
StoreFront oder das Webinterface in der zweiten DMZ stellt eine Verbindung zum XML-Dienst her, der auf einem Server im internen Netzwerk gehostet wird. Wenn der XML-Dienst auf dem Server der Microsoft Internet Information Services (IIS) auf dem Citrix Virtual Apps-Server ausgeführt wird, muss ein SSL-Serverzertifikat auf dem IIS-Server installiert sein. Wenn der XML-Dienst ein standardmäßiger Windows-Dienst ist (befindet sich nicht in IIS), muss ein SSL-Serverzertifikat im SSL-Relay auf dem Server installiert werden. StoreFront oder das Webinterface muss ein Stammzertifikat installiert haben, das von derselben CA signiert ist wie das Serverzertifikat, das entweder auf dem Microsoft IIS-Server oder dem SSL-Relay installiert ist.
StoreFront oder das Webinterface in der zweiten DMZ stellt eine Verbindung zur STA her, die auf einem Server im internen Netzwerk gehostet wird. Die Zertifikatsverwaltung für diese Verbindung entspricht der Verbindung von Webinterface zu XML Service. Sie können dieselben Zertifikate verwenden, um diese Verbindung zu verschlüsseln. (Das Serverzertifikat muss sich entweder auf dem Microsoft IIS-Server oder dem SSL-Relay befinden. Ein entsprechendes Stammzertifikat muss auf dem Webinterface installiert sein.)
Citrix Gateway in der zweiten DMZ stellt eine Verbindung zur STA her, die auf einem Server im internen Netzwerk gehostet wird. Die SSL-Serverzertifikatsverwaltung für die STA in dieser Verbindung ist dieselbe wie für die beiden vorherigen Verbindungen beschrieben, die in dieser Tabelle beschrieben wurden. (Das Serverzertifikat muss sich entweder auf dem Microsoft IIS-Server oder dem SSL-Relay befinden.) In Citrix Gateway in der zweiten DMZ muss ein Stammzertifikat installiert sein, das von derselben CA signiert ist wie das Serverzertifikat, das vom STA- und XML-Dienst verwendet wird.
Citrix Gateway stellt in der zweiten DMZ eine ICA-Verbindung zu einer veröffentlichten Anwendung auf einem Server im internen Netzwerk her. Ein SSL-Serverzertifikat muss im SSL-Relay auf dem Server installiert werden, der die veröffentlichte Anwendung hostet. Für den Citrix Gateway-Proxy in der zweiten DMZ muss ein Stammzertifikat installiert sein, das von derselben CA signiert ist wie das im SSL-Relay installierte Serverzertifikat.
Verwalten von SSL-Zertifikaten in einer Double-Hop-DMZ-Bereitstellung

In diesem Artikel