Gateway

安全规划

在规划 Citrix Gateway 部署时,您应该了解与证书以及身份验证和授权相关的基本安全问题。

配置安全证书管理

默认情况下,Citrix Gateway 包含一个自签名的安全套接字层 (SSL) 服务器证书,该证书使设备能够完成 SSL 握手。自签名证书足以用于测试或示例部署,但 Citrix 不建议在生产环境中使用它们。在生产环境中部署 Citrix Gateway 之前,Citrix 建议您请求并接收来自已知证书颁发机构 (CA) 的签名 SSL 服务器证书,然后将其上载到 Citrix Gateway。

如果在 Citrix Gateway 必须作为 SSL 握手中的客户端运行的任何环境中部署 Citrix Gateway(启动与另一台服务器的加密连接),则还必须在 Citrix Gateway 上安装受信任的根证书。例如,如果您使用 Citrix Virtual Apps 和 Web Interface 部署 Citrix Gateway,则可以使用 SSL 加密从 Citrix Gateway 到 Web Interface 的连接。在此配置中,必须在 Citrix Gateway 上安装受信任的根证书。

身份验证支持

您可以将 Citrix Gateway 配置为对用户进行身份验证并控制用户对内部网络上的网络资源的访问权限(或授权)级别。

在部署 Citrix Gateway 之前,您的网络环境应准备好目录和身份验证服务器以支持以下身份验证类型之一:

  • LDAP
  • RADIUS
  • TACACS+
  • 支持审核和智能卡的客户端证书
  • 具有 RADIUS 配置的 RSA
  • SAML 身份验证

如果您的环境不支持前面列表中的任何身份验证类型,或者您的远程用户数量很少,则可以在 Citrix Gateway 上创建本地用户列表。然后,您可以配置 Citrix Gateway 以根据此本地列表对用户进行身份验证。使用此配置,您无需在单独的外部目录中维护用户帐户。

安全规划