Citrix SD-WAN WANOP

Accélération d’Office 365

Citrix SD-WAN WANOP optimise le WAN pour fournir une expérience utilisateur cohérente pour les applications métier sur les succursales et les sites distants.

Microsoft Office 365 est une application SaaS (Software-as-a-Service) qui fournit la suite Microsoft Office d’applications de productivité de niveau entreprise. Cette application est hébergée sur le cloud et est livrée à la demande aux utilisateurs.

La fonctionnalité d’accélération Office 365 permet aux succursales de bénéficier des avantages d’optimisation que Citrix SD-WAN WANOP fournit pour l’application Microsoft Office 365.

Cas d’utilisation

Lorsque le segment WAN est considérablement plus lent que le segment Internet, et les serveurs Office 365 de Microsoft sont plus proches du bureau plus grand que la succursale.

Topologie

Le trafic Office 365 de la succursale est envoyé via le réseau étendu vers le bureau principal, puis transféré vers les serveurs Office 365 via Internet. Le segment entre la succursale et le bureau principal est accéléré.

Remarque

Le segment entre le bureau principal et les serveurs Microsoft Office 365 n’est pas accéléré. Il est conseillé que le bureau principal se connecte au serveur Office 365 le plus proche.

image localisée

Comment ça marche ?

L’accélération SSL de Citrix SD-WAN WANOP peut déchiffrer et accélérer le trafic Office 365, offrant ainsi une compression. En bref, l’accélération des succursales Office 365 peut être considérée comme un cas particulier d’accélération RPC sur HTTPS.

Procédure

  1. Créez un appairage sécurisé entre les appliances Citrix SD-WAN WANOP de la succursale et du bureau principal.

  2. Générer des certificats proxy/clé privée dans l’autorité de certification de domaine (CA).

  3. Ajoutez toutes les CA requises dans Citrix SD-WAN WANOP.

    1. Autorité de certification, autorité de certification intermédiaire, autorité de certification racine des certificats Microsoft.

    2. Certificats de mandat/clés privées générés pour les URL Office 365.

      Remarque

      Pour éviter les alertes de sécurité sur vos navigateurs, les certificats proxy doivent être signés par le serveur CA de votre domaine Windows, ce qui le rend acceptable pour tout utilisateur de domaine.

  4. Créez un profil de proxy partagé SSL et liez le proxy divisé à la classe de service (web (internet- sécurisé)).

  5. Lancez la connexion Office 365 et vérifiez les connexions accélérées.

    Avertissement

    Les périphériques des succursales qui ne font pas partie du domaine affichent des avertissements de sécurité, sauf si vous installez les certificats manuellement. Les utilisateurs de Firefox doivent également installer les certificats manuellement, car Firefox n’honore pas le magasin de certificats de l’appareil.

Configurer l’accélération d’Office 365

Pour configurer l’accélération Office 365 :

  1. Configurer une relation d’appairage sécurisée entre les deux appliances Citrix SD-WAN WANOP, comme décrit dans Secure Peering/fr-FR/Citrix-SD-WAN-WANOP/10-2/Secure-Trafficic-acceleration/SecurePeering.html**

  2. Créez un nouveau certificat.

    Remarque

    L’appliance WANOP Citrix SD-WAN côté serveur sert d’intermédiaire entre Office 365 et les clients, de sorte que ces certificats seront signés par le contrôleur de domaine côté serveur, mais il fait référence aux domaines Office 356.

    1. Ouvrez une session sur le serveur d’autorité de certification pour votre domaine Windows.

    2. Si nécessaire, ajoutez les composants logiciels enfichables pour l’autorité de certification, le modèle de certificatet les certificats.

    3. Accédez à Modèles de certificats > Propriétés du serveur Web > Sécurité et sélectionnez toutes les options.  

    4. Accédez à Certificats > Personnel > Certificats (Ordinateur) > Toutes les tâches > Demander un nouveau certificat.

      image localisée

    5. Dans la fenêtre Inscription du certificat, cliquez sur Suivant.

    6. Dans la fenêtre Sélectionner une stratégie d’inscription de certificat, sélectionnez Stratégie d’inscription Active Directory.

    7. Dans la fenêtre Stratégie d’inscription Active Directory, sélectionnez Serveur Web > Détails > Propriétés.

      image localisée

  3. Copiez les informations des certificats Office365 dans vos nouveaux certificats. Vous vous retrouverez avec un seul certificat à partir de trois certificats Office365. Procédez comme suit :

    1. Dans un navigateur, tel que Chrome, entrez l’URL -https://login.microsoftonline.com.

      Remarque

      Ne vous connectez pas.

    2. Cliquez sur l’icône cadenas dans la barre d’URL et sélectionnez Connexion > Informations sur le certificat > Détails.

      Remarque

      Ces instructions sont pour le navigateur Chrome ; la procédure est la même pour les autres navigateurs également.

    3. Cliquez sur Subject Alternative Namepour afficher une liste de noms DNS tels que « login.microsoftonline.com ». Copiez les informations dans la zone de texte située en dessous.

      image localisée

    4. Revenez à la fenêtre Propriétés des certificats de votre nouveau certificat. Ajoutez les noms alternatifs dans le champ Valeur avec Type en tant que DNS pour correspondre à chaque autre nom dans le certificat Microsoft.

      image localisée

    5. Répétez le processus de découverte des noms alternatifs de sujet et de les ajouter à votre certificat pour,https://outlook.office365.com,https://portal.office.com https://office.live.com et https://sharepoint.com (L’URL de SharePoint est spécifique au client).

    6. Créez un nom commun pour votre nouveau certificat. L’exemple ci-dessus montre un nom commun comme « proxy Office365 ».

      image localisée

    7. Dans l’onglet Clé privée, sélectionnez Rendre la clé privée exportable.

    8. Cliquez sur OK, Inscription et Terminer.

  4. Exportez le certificat.

    1. Sous Certificats > Personnel > Certificats, sélectionnez le certificat proxy créé ci-dessus, puis sélectionnez Toutes les tâches > Exporter.

      image localisée

    2. L’Assistant Exportation de certificat s’affiche. Cliquez sur Next.

    3. Dans Exporter une clé privée, sélectionnez l’option Oui, exportez la clé privéeet cliquez sur Suivant.

      image localisée

    4. Conservez les valeurs par défaut du format de fichier d’exportation.

    5. Saisissez et confirmez le mot de passe, exportez la clé privée et enregistrez le certificat en tant que loginportal.pfx.

  5. Exportez vos certificats.

    1. Dans l’Assistant Exportation de certificat, cliquez sur Suivant. Dans Exporter la clé privée, sélectionnez l’option Non, n’exportez pas la clé privée. Cliquez sur Next.

      image localisée

    2. Conservez les valeurs par défaut du format de fichier d’exportation.

    3. Tapez et confirmez le mot de passe, puis exportez la clé privée et le certificat, en enregistrant le fichier dans un fichier sous un nom de fichier tel que office365_keys.pfx.

  6. Téléchargez les clés publiques de l’autorité de certification racine et des autorités de certification intermédiaires des certificats Microsoft.

    1. À partir du navigateur, naviguez jusqu’àhttps://login.microsoftonline.com. Cliquez sur l’icône cadenas dans le navigateur. Accédez à Connexion > Informations de certificat > Chemin de certification.

    2. Sélectionnez le certificat racine (celui situé en haut de la liste), puis cliquez sur Afficher le certificat > Détails > Copier dans un fichier. L’Assistant Exportation de certificat s’affiche. Cliquez sur Next.

      image localisée

    3. Entrez le nom du fichier et enregistrez le fichier.

      Remarque

      Vous pouvez également utiliser Wireshark ou OpenSSL pour obtenir les noms d’autorité de certification racine et intermédiaire et obtenir les certificats à partir de la source « AUTHENTIC » (par exemple, le magasin SSL Windows).

    4. Répétez l’étape 6 pour enregistrer les CA racine et intermédiaire des domaines suivants :

      1. login.microsoftonline.com

      2. portal.office.com

      3. outlook.office356.com

      4. *.sharepoint.com

      5. office.live.com

  7. Ajoutez toutes les CA de serveur Office 365, les paires de certificat/clé proxy et les clés privées à l’appliance Citrix SD-WAN WANOP côté serveur. Les autorités de certification sont ajoutées à l’aide de l’onglet Certificats de l’autorité de certification de la page Certificats et clés. Les certificats et les paires certificat/clé sont ajoutés dans l’onglet Paires certificat/clé.

    image localisée

    image localisée

  8. Créez un profil SSL split-proxy et liez le proxy split à la classe de service Web (Internet-Secure).

    1. Accédez à Configuration > Accélération sécurisée > Profil SSL > Ajouter un profil.

    2. Entrez le nom de profil de votre choix. Sélectionnez Profile activé, Parse Subject Alternative Nameset Split Proxy.

    3. Sous Configuration du proxy côté serveur > Magasin de vérification, sélectionnez Utiliser tous les magasins d’autorité de certification configurés .

    4. Sous Configuration du proxy côté client > Certificate/clé privée, sélectionnez la paire cert/clé privée que vous avez créée et exportée précédemment (celle illustrée dans l’exemple comme loginportal.pfx). Sélectionnez Créer une chaîne de certificats. Sélectionnez l’autorité de certification associée à la paire certificat/clé sous Magasin de chaînes de certificats.

      image localisée

  9. Liez le profil SSL créé à la classe de service Internet (Web-Secure). Accédez à Configurer > Règles d’optimisation > Classes de service et ajoutez le profil SSL à la liste des profils SSL.

  10. Activez l’accélération et la compression sur disque pour la classe de service Internet (Web-Secure).

  11. Lancez une session Office 365 à partir de votre navigateur.

    La connexion est accélérée. Dans le navigateur, le certificat doit afficher votre autorité de certification racine, et non le certificat Office 365 réel, comme certificat d’autorité de certification de l’appliance côté serveur.

    image localisée

  12. Sur la page Surveillance > Connexions de l’appliance, vérifiez que les connexions Office 365 sont compressées et reçoivent une accélération SSL.****

    image localisée

    Remarque

    Firefox n’accepte pas les certificats de l’appareil par défaut, mais possède son propre magasin de certificats. Par conséquent, les informations d’identification acceptées dans le comportement normal du domaine Windows par d’autres navigateurs, et par l’appareil dans son ensemble, doivent être installées manuellement dans Firefox.Pour installer des certificats dans Firefox, suivez la procédure décrite dans la section Installation des certificats sur Firefox.

Installer les certificats sur Firefox

Pour installer le certificat proxy de l’appliance côté serveur dans le magasin de certificats Firefox :

  1. Dans le navigateur Firefox, accédez à Options> Avancé > Certificat > Afficher les certificats > Autorités > Importer.

  2. Téléchargez le certificat proxy de l’autorité de certification locale, sélectionnez toutes les options dans l’Assistant Téléchargement de certificat, puis cliquez sur OK.

    image localisée

Accélération d’Office 365