Citrix SD-WAN WANOP

Office 365 加速

Citrix SD-WAN WANOP 优化了广域网,为跨分支办公室和远程站点的业务应用程序提供一致的用户体验。

微软 Office 365 是一个软件即服务 (SaaS) 应用程序,它提供了企业级生产力应用程序的微软 Office 套件。此应用程序托管在云端,并按需交付给用户。

Office 365 加速功能使分支办公室能够获得 Citrix SD-WAN WANOP 为微软 Office 365 应用程序提供的优化优势。

用例

当广域网段比互联网段慢得多,并且 Microsoft 的 Office 365 服务器更接近较大的办公室比分支机构。

拓扑

分支机构 Office 365 通信通过 WAN 发送到主办公室,然后通过 Internet 转发到 Office 365 服务器。分支机构和主要办公室之间的区段加速。

注意

主办公室和 Microsoft Office 365 服务器之间的区段不加速。建议主办公室连接到最近的 Office 365 服务器。

本地化后的图片

它是如何工作的?

Citrix SD-WAN WANOP SSL 加速可以解密和加速 Office 365 流量,从而提供压缩。简而言之,Office 365 分支机构加速可以被认为是通过 HTTPS 加速的 RPC 的特殊情况。

过程

  1. 在分支机构和主办公室 Citrix SD-WAN WANOP 设备之间创建安全对等。

  2. 在域证书颁发机构 (CA) 中生成代理证书/私钥。

  3. 在 Citrix SD-WAN WANOP 中添加所有必需的 CA。

    1. CA、中级 CA、微软证书的根 CA。

    2. 为 Office 365 URL 生成的代理证书/私钥。

      注意

      为避免在浏览器上发生安全警报,代理证书必须由 Windows 域的 CA 服务器签名,这使得任何域用户都可以接受。

  4. 创建 SSL 拆分代理配置文件并将拆分代理绑定到服务类(Web(互联网安全))。

  5. 启动 Office 365 连接并检查加速连接。

    警告

    除非手动安装证书,否则不属于域的分支机构设备将显示安全警告。Firefox 用户也必须手动安装证书,因为 Firefox 不支持设备的证书存储。

配置 Office 365 加速

要配置 Office 365 加速:

  1. 如安全对等互连 (/en-us/citrix-sd-wan-wanop/10-2/secure-traffic-acceleration/secure-peering.html)中所述,在两个 Citrix SD-WAN WANOP 设备之间建立[安全对等]关系

  2. 创建新证书。

    注意

    服务器端 Citrix SD-WAN WANOP 设备充当 Office 365 和客户端之间的中介,因此这些证书将由服务器端域控制器签名,但它指的是 Office 356 域。

    1. 登录到 Windows 域的证书颁发机构服务器

    2. 如有必要,添加证书颁发 机构证书模板和的管理单元。

    3. 导航到 证书模板 > Web 服务器属性 > 安全,然后选择所有选项。  

    4. 导航到 证书 > 个人 > 证书(计算机) > 所有任务 > 申请新证书

      本地化后的图片

    5. 证书注册窗口中,单击 下一步

    6. “选择证书注册策略 窗口中,选择 活动目录注册策略

    7. Active Directory 注册策略 窗口中,选择 Web 服务器 > 详细信息 > 属性

      本地化后的图片

  3. 将 Office365 证书中的信息复制到您的新证书中。您最终将获得来自三个 Office365 证书的单个证书。按如下方式进行操作:

    1. 在浏览器(例如 Chrome)中,输入 URL-https://login.microsoftonline.com

      注意

      请勿登录。

    2. 单击 URL 栏上的挂锁图标,然后选择 连接 > 证书信息 > 详细 信息。

      注意

      这些说明是针对 Chrome 浏览器的;其他浏览器的过程也是相同的。

    3. 点击 主题备用名称,这将显示 DNS 名称列表,例如 “登录 .microsoftonline.com”。复制它下面的文本框中的信息。

      本地化后的图片

    4. 返回到新证书的 证书属性 窗口。添加 字段中的备用名称与 类型DNS,以匹配 Microsoft 证书中的每个备用名称。

      本地化后的图片

    5. 重复发现使用者备用名称的过程,并将其添加到证书中的https://outlook.office365.comhttps://portal.office.comhttps://office.live.comhttps://sharepoint.com(SharePoint URL 是客户特定的)。

    6. 为新证书创建公用名称。上面的示例显示了一个通用名称为 “Office365 代理”。

      本地化后的图片

    7. 私钥 选项卡中,选择 使私钥可导 出”。

    8. 单击确定注册完成

  4. 导出证书。

    1. 书” > 个人 > 书” 下,选择上述创建的代理证书,然后选择 所有任务 > 导出

      本地化后的图片

    2. 此时将显示 证书导出向导 。单击下一步

    3. 导出私钥中,选择选项 是,导出私钥,然后单击 下一步

      本地化后的图片

    4. 保留导出文件格式的默认值。

    5. 键入并确认密码,导出私钥,然后将证书保存为 loginportal.pfx

  5. 导出您的证书。

    1. 证书导出向导中,单击 下一步。在 导出私钥中,选择选项 否,不要导出私钥。单击下一步

      本地化后的图片

    2. 保留导出文件格式的默认值。

    3. 键入并确认密码,然后导出私钥和证书,然后将文件保存到文件名,如 office365_keys.pfx。

  6. 下载 Microsoft 证书的根 CA 和中间 CA 的公钥。

    1. 从浏览器中,导航到https://login.microsoftonline.com。单击浏览器中的挂锁图标。导航到 连接 > 证书信息 > 证书路径

    2. 选择根证书(列表顶部的证书),然后单击 查看证书 > 详细信息 > 复制到文件 。此时将显示 证书导出向导 。单击下一步

      本地化后的图片

    3. 输入文件名并保存文件。

      注意

      或者,您可以使用 Wireshark 或 OpenSSL 获取根和中间 CA 名称,并从 “真实” 源(例如,Windows SSL 存储)获取证书。

    4. 重复步骤 6 以保存以下域的根 CA 和中间 CA:

      1. login.microsoftonline.com

      2. portal.office.com

      3. outlook.office356.com

      4. *.sharepoint.com

      5. office.live.com

  7. 将所有 Office 365 服务器 CA、代理证书/密钥对和私钥添加到服务器端 Citrix SD-WAN WANOP 设备。使用 “证书 和密钥” 页面上的 CA 证 书 选项卡添加 CA。证书和证书/密钥对添加到 证书/密钥对 选项卡上。

    本地化后的图片

    本地化后的图片

  8. 创建 SSL 拆分代理配置文件并将拆分代理绑定到 Web(Internet 安全)服务类。

    1. 导航到 配置 > 安全加速 > SSL 配置文件 > 添加配置文件

    2. 输入您选择的配置文件名称。选择 启用配置文件”、解析主题 备用名称” 和 拆分代理”。

    3. 服务器端代理配置 > 验证存储 下,选择 使用所有已配置的 CA 存储

    4. 客户端代理配置 > 证书/私钥 下,选择您之前创建和导出的证书/私钥对(示例中显示为 loginportal.pfx)。选择 构建证书链。在证 书链商店下选择与证书/密钥对关联的 CA。

      本地化后的图片

  9. 将创建的 SSL 配置文件绑定到 Internet(Web 安全)服务类。导航到 配置 > 优化规则 > 服务类,然后将 SSL 配置文件添加到 SSL 配置文件列表中。

  10. Internet(Web 安全) 服务类启用加速和基于磁盘的压缩。

  11. 从浏览器启动 Office 365 会话。

    连接加速。在浏览器中,证书应将根 CA(而不是实际的 Office 365 证书)显示为服务器端设备的 CA 证书。

    本地化后的图片

  12. 在 “设备 监视 > 连接 页面上,验证 Office 365 连接是否已压缩并正在接收 SSL 加速。

    本地化后的图片

    注意

    Firefox 默认不接受设备的证书,但拥有自己的证书存储区。因此,其他浏览器以及整个设备在正常 Windows 域行为中接受的凭据必须手动安装到 Firefox 中。要将证书安装到 Firefox 中,请按照将证书安装到 Firefox 一节中的步骤进行操作。

将证书安装到火狐浏览器

将服务器端设备的代理证书安装到 Firefox 证书存储区:

  1. 在 Firefox 浏览器中,导航到 选项> 高级 > 书 > 查看证书 > 颁机构 > 导入

  2. 上传本地 CA 代理证书,选择 下载证 书” 向导中的所有选项,然后单 击 “确定

    本地化后的图片

Office 365 加速