Office 365 加速
Citrix SD-WAN WANOP 优化了 WAN,为跨分支机构和远程站点的业务应用程序提供一致的用户体验。
微软 Office 365 是一个软件即服务 (SaaS) 应用程序,它提供了企业级生产力应用程序的微软 Office 套件。此应用程序托管在云端,并按需交付给用户。
Office 365 加速功能允许分支机构获得 Citrix SD-WAN WANOP 为 Microsoft Office 365 应用程序提供的优化优势。
用例
当广域网段比互联网段慢得多,并且 Microsoft 的 Office 365 服务器更接近较大的办公室比分支机构。
拓扑
分支机构 Office 365 通信通过 WAN 发送到主办公室,然后通过 Internet 转发到 Office 365 服务器。分支机构和主要办公室之间的区段加速。
注意
主办公室和 Microsoft Office 365 服务器之间的区段不加速。建议主办公室连接到最近的 Office 365 服务器。
它是如何工作的?
Citrix SD-WAN WANOP SSL 加速可以解密和加速 Office 365 流量,从而提供压缩。简而言之,Office 365 分支机构加速可以被认为是通过 HTTPS 加速的 RPC 的特殊情况。
过程
-
在分支机构和主办公室 Citrix SD-WAN WANOP 设备之间创建安全对等。
-
在域证书颁发机构 (CA) 中生成代理证书/私钥。
-
在 Citrix SD-WAN WANOP 中添加所有必需的 CA。
-
CA、中级 CA、微软证书的根 CA。
-
为 Office 365 URL 生成的代理证书/私钥。
注意
为避免在浏览器上发生安全警报,代理证书必须由 Windows 域的 CA 服务器签名,这使得任何域用户都可以接受。
-
-
创建 SSL 拆分代理配置文件并将拆分代理绑定到服务类(Web(互联网安全))。
-
启动 Office 365 连接并检查加速连接。
警告
除非手动安装证书,否则不属于域的分支机构设备将显示安全警告。Firefox 用户也必须手动安装证书,因为 Firefox 不支持设备的证书存储。
配置 Office 365 加速
要配置 Office 365 加速:
-
如安全对等互连 (/en-us/citrix-sd-wan-wanop/11-1/secure-traffic-acceleration/secure-peering.html)中所述,在两个 Citrix SD-WAN WANOP 设备之间建立[安全对等]关系
-
创建新证书。
注意
服务器端 Citrix SD-WAN WANOP 设备充当 Office 365 和客户端之间的中介,因此这些证书将由服务器端域控制器签名,但它引用 Office 356 域。
-
登录到 Windows 域的证书颁发机构服务器。
-
如有必要,添加证书颁发 机构、 证书模板和证书的管理单元。
-
导航到 证书模板 > Web 服务器属性 > 安全,然后选择所有选项。
-
导航到 证书 > 个人 > 证书(计算机) > 所有任务 > 申请新证书。
-
在 证书注册窗口中,单击 下一步。
-
在 “选择证书注册策略 窗口中,选择 活动目录注册策略。
-
在 Active Directory 注册策略 窗口中,选择 Web 服务器 > 详细信息 > 属性 。
-
-
将 Office365 证书中的信息复制到您的新证书中。您最终将获得来自三个 Office365 证书的单个证书。按如下方式进行操作:
-
在浏览器中,如 Chrome,输入 url-https://login.microsoftonline.com。
注意
请勿登录。
-
单击 URL 栏上的挂锁图标,然后选择 连接 > 证书信息 > 详细 信息。
注意
这些说明是针对 Chrome 浏览器的;其他浏览器的过程也是相同的。
-
点击 主题备用名称,这将显示 DNS 名称列表,例如 “登录 .microsoftonline.com”。复制它下面的文本框中的信息。
-
返回到新证书的 证书属性 窗口。添加 值 字段中的备用名称与 类型 为 DNS,以匹配 Microsoft 证书中的每个备用名称。
-
重复发现使用者备用名称的过程,并将其添加到证书中的https://outlook.office365.com、https://portal.office.com、https://office.live.com和https://sharepoint.com(SharePoint URL 是客户特定的)。
-
为新证书创建公用名称。上面的示例显示了一个通用名称为 “Office365 代理”。
-
在 私钥 选项卡中,选择 使私钥可导 出”。
-
单击确定、注册和完成。
-
-
导出证书。
-
在 证 书” > 个人 > 证 书” 下,选择上述创建的代理证书,然后选择 所有任务 > 导出。
-
此时将显示 证书导出向导 。单击下一步。
-
在 导出私钥中,选择选项 是,导出私钥,然后单击 下一步。
-
保留导出文件格式的默认值。
-
键入并确认密码,导出私钥,然后将证书保存为 loginportal.pfx。
-
-
导出您的证书。
-
在 证书导出向导中,单击 下一步。在 导出私钥中,选择选项 否,不要导出私钥。单击下一步。
-
保留导出文件格式的默认值。
-
键入并确认密码,然后导出私钥和证书,然后将文件保存到文件名,如 office365_keys.pfx。
-
-
下载 Microsoft 证书的根 CA 和中间 CA 的公钥。
-
从浏览器中,导航到https://login.microsoftonline.com。单击浏览器中的挂锁图标。导航到 连接 > 证书信息 > 证书路径。
-
选择根证书(列表顶部的证书),然后单击 查看证书 > 详细信息 > 复制到文件 。此时将显示 证书导出向导 。单击下一步。
-
输入文件名并保存文件。
注意
或者,您可以使用 Wireshark 或 OpenSSL 获取根和中间 CA 名称,并从 “真实” 源(例如,Windows SSL 存储)获取证书。
-
重复步骤 6 以保存以下域的根 CA 和中间 CA:
-
login.microsoftonline.com
-
portal.office.com
-
outlook.office356.com
-
*.sharepoint.com
-
office.live.com
-
-
-
将所有 Office 365 服务器 CA、代理证书/密钥对和私钥添加到服务器端 Citrix SD-WAN WANOP 设备。使用 “证书 和密钥” 页面上的 CA 证 书 选项卡添加 CA。证书和证书/密钥对添加到 证书/密钥对 选项卡上。
-
创建 SSL 拆分代理配置文件并将拆分代理绑定到 Web(Internet 安全)服务类。
-
导航到 配置 > 安全加速 > SSL 配置文件 > 添加配置文件 。
-
输入您选择的配置文件名称。选择 启用配置文件”、解析主题 备用名称” 和 拆分代理”。
-
在 服务器端代理配置 > 验证存储 下,选择 使用所有已配置的 CA 存储。
-
在 客户端代理配置 > 证书/私钥 下,选择您之前创建和导出的证书/私钥对(示例中显示为 loginportal.pfx)。选择 构建证书链。在证 书链商店下选择与证书/密钥对关联的 CA。
-
-
将创建的 SSL 配置文件绑定到 Internet(Web 安全)服务类。导航到 配置 > 优化规则 > 服务类,然后将 SSL 配置文件添加到 SSL 配置文件列表中。
-
为 Internet(Web 安全) 服务类启用加速和基于磁盘的压缩。
-
从浏览器启动 Office 365 会话。
连接加速。在浏览器中,证书应将根 CA(而不是实际的 Office 365 证书)显示为服务器端设备的 CA 证书。
-
在 “设备 监视 > 连接 页面上,验证 Office 365 连接是否已压缩并正在接收 SSL 加速。
注意
Firefox 默认不接受设备的证书,但拥有自己的证书存储区。因此,其他浏览器以及整个设备在正常 Windows 域行为中接受的凭据必须手动安装到 Firefox 中。要将证书安装到 Firefox 中,请按照 “将证书安装到 Firefox” 部分中的步骤操作。
将证书安装到火狐浏览器
将服务器端设备的代理证书安装到 Firefox 证书存储区:
-
在 Firefox 浏览器中,导航到 选项 > 高级 > 证书 > 查看证书” > “颁 发 机构 > 导入。
-
上传本地 CA 代理证书,选择 下载证 书” 向导中的所有选项,然后单 击 “确定。
