Gateway

Administrar certificados SSL en una implementación DMZ de doble salto

Debe instalar los certificados SSL necesarios para cifrar las conexiones entre los componentes de una implementación DMZ de doble salto.

En una implementación DMZ de doble salto, se producen varios tipos diferentes de conexiones entre los distintos componentes implicados en la implementación. No existe un cifrado SSL de extremo a extremo para estas conexiones. Sin embargo, cada conexión se puede cifrar individualmente.

Para cifrar una conexión es necesario instalar el certificado SSL adecuado (ya sea una raíz de confianza o un certificado de servidor) en los componentes implicados en la conexión.

En la tabla siguiente se muestran las conexiones que se producen a través del primer firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de las conexiones a través del primer firewall es obligatorio para proteger el tráfico enviado a través de Internet.

Conexiones a través del primer firewall Certificados necesarios para el cifrado
El explorador web de Internet se conecta a NetScaler Gateway en la primera DMZ. NetScaler Gateway en la primera DMZ debe tener instalado un certificado de servidor SSL. El explorador web debe tener instalado un certificado raíz firmado por la misma entidad de certificación (CA) que el certificado de servidor de NetScaler Gateway.
Citrix Receiver desde Internet se conecta a Citrix Gateway en la primera DMZ. La administración de certificados para esta conexión es la misma que la del explorador web a la conexión de NetScaler Gateway. Si ha instalado los certificados para cifrar la conexión del explorador web, esta conexión también se cifra con esos certificados.

En la tabla siguiente se muestran las conexiones que se producen a través del segundo firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de estas conexiones mejora la seguridad pero no es obligatorio.

Conexiones a través del segundo firewall Certificados necesarios para el cifrado
NetScaler Gateway en la primera DMZ se conecta a la interfaz web en la segunda DMZ. StoreFront o la interfaz web deben tener instalado un certificado de servidor SSL. NetScaler Gateway en la primera DMZ debe tener instalado un certificado raíz firmado por la misma entidad emisora de certificados que el certificado del servidor en la interfaz web.
NetScaler Gateway en la primera DMZ se conecta a NetScaler Gateway en la segunda DMZ. NetScaler Gateway en la segunda DMZ debe tener instalado un certificado de servidor SSL. NetScaler Gateway en la primera DMZ debe tener instalado un certificado raíz firmado por la misma entidad emisora de certificados que el certificado de servidor de NetScaler Gateway en la segunda DMZ.

En la tabla siguiente se muestran las conexiones que se producen a través del tercer firewall y los certificados SSL necesarios para cifrar cada una de estas conexiones. El cifrado de estas conexiones mejora la seguridad pero no es obligatorio.

Conexiones a través del tercer firewall Certificados necesarios para el cifrado
StoreFront o la interfaz web de la segunda DMZ se conectan al servicio XML alojado en un servidor de la red interna. Si el servicio XML se ejecuta en el servidor Microsoft Internet Information Services (IIS) del servidor Citrix Virtual Apps, se debe instalar un certificado de servidor SSL en el servidor IIS. Si el servicio XML es un servicio estándar de Windows (no reside en IIS), se debe instalar un certificado de servidor SSL dentro de la retransmisión SSL del servidor. StoreFront o la Interfaz Web deben tener instalado un certificado raíz firmado por la misma entidad emisora de certificados que el certificado de servidor instalado en el servidor Microsoft IIS o en el SSL Relay.
StoreFront o la interfaz web de la segunda DMZ se conectan al STA alojado en un servidor de la red interna. La administración de certificados para esta conexión es la misma que la conexión de la interfaz web al servicio XML. Puede utilizar los mismos certificados para cifrar esta conexión. (El certificado de servidor debe residir en el servidor Microsoft IIS o en el SSL Relay. Debe instalarse un certificado raíz correspondiente en la interfaz web.)
NetScaler Gateway en la segunda DMZ se conecta al STA alojado en un servidor de la red interna. La administración de certificados de servidor SSL para STA en esta conexión es la misma que la descrita para las dos conexiones anteriores descritas en esta tabla. (El certificado de servidor debe residir en el servidor Microsoft IIS o en el SSL Relay). NetScaler Gateway en la segunda DMZ debe tener instalado un certificado raíz firmado por la misma CA que el certificado de servidor utilizado por el servicio STA y XML.
NetScaler Gateway en la segunda DMZ establece una conexión ICA con una aplicación publicada en un servidor de la red interna. Se debe instalar un certificado de servidor SSL dentro del relé SSL en el servidor que aloja la aplicación publicada. El proxy de NetScaler Gateway de la segunda DMZ debe tener instalado un certificado raíz firmado por la misma entidad emisora de certificados que el certificado de servidor instalado en la retransmisión SSL.
Administrar certificados SSL en una implementación DMZ de doble salto

En este artículo