使用经典策略在 Windows 登录之前配置始终在 VPN 上
必备条件
-
Citrix Gateway 和 VPN 插件必须是 12.0.51.24 及更高版本
-
使用传统策略,您只能配置计算机级隧道。有关用户级隧道配置,请参阅[高级策略配置链接]
通过使用 GUI 中的经典策略在 Windows 登录之前配置 AlwaysOn VPN
Windows 登录之前 AlwaysOn VPN 支持以下两种配置:
- 设备证书身份验证
- 客户端证书身份验证
基于设备证书的身份验证
- 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器。
- 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑。
- 在 VPN 虚拟服务器页上的“基本设置”部分下,单击“编辑”。
- 清除“启用身份验证”框以禁用身份验证并通过选中“启用设备证 书”框启用设备证书 。
-
单击“添加”以将可用设备证书颁发者的 CA 证书名称添加到列表中。
-
要将 CA 证书绑定到虚拟服务器,请单击“证书”部分下的 CA证书。 单击SSL 虚拟服务器 CA 证书绑定页面下的 **添加 绑定** 。
-
单击文本, 单击以选择选 择所需的证书。
-
选择所需的 CA 证书。
-
单击 Bind(绑定)。
- 单击“确定”以保存配置。
基于客户端证书的身份验证
- 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器。
- 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑。
- 在导航窗格的 身份验证下,单击 CERT。
- 在详细信息窗格中,单击 Add(添加)。
- 在 名称字 段中,键入策略的名称。
- 单击服务器旁边的 新建 。
- 在“名称”中,键入配置文件的名称。
- 选择“双 因子”旁边的“关”。
- 在“用户名 和 组名”中,选择值,然后单击“创建”。
- 在“创建身份验证策略”对话框的命名表达式旁边,选择表达式,单击“添加表达 式”,单击“创建”,然后单击“关闭”。
- 将表达式绑定到虚拟服务器。
- 在“配置”选项卡上,导航到 Citrix Gateway > 虚拟服务器 。
- 在 Citrix Gateway 虚拟服务器页面上,选择现有虚拟服务器,然后单击 编辑。
- 在“配置 Citrix Gateway 虚拟服务器”对话框中,单击“身份验证”选项卡。
- 单击“主要”,然后在“详细信息”下单击“插入策略”。
- 在策略名称中,选择策略,然后单 击确定。
- 在 VPN 虚拟服务器页面上,创建 SSL 配置文件。
- 在“拒绝 SSL 重新协商”中,仅针对非安全请求选择“非安全”。
- 单击确定。
客户端配置
AlwaysOn、locationDetection 和 suffixList 注册表是可选的,仅当需要位置检测功能时才需要。
| 注册表项 | 注册表类型 | 值和说明 |
|---|---|---|
| AlwaysOnService | REG_DWORD | 1 => 在没有用户角色的情况下启用 AlwaysOn 服务; 2 => 对用户角色启用 AlwaysOn 服务 |
| AlwayOnURL | REG SZ | Citrix Gateway 虚拟服务器用户要连接的 URL。示例:https://xyz.companyDomain.com
|
| AlwaysOn | REG_DWORD | 1 => 在 VPN 故障时允许网络访问;2=> 在 VPN 故障时阻止网络访问 |
| locationDetection | REG_DWORD | 1 => 启用位置检测; 0 => 禁用位置检测 |
| suffixList | REG SZ | 以逗号分隔的内联网域列表。启用位置检测时使用。 |
使用经典策略在 Windows 登录之前配置始终在 VPN 上
已复制!
失败!