|
NOTA: il capitolo Il relay SSL di Citrix protegge il traffico tra client, server dell’interfaccia web e server che eseguono Presentation Server utilizzando i protocolli SSL e TLS. Se utilizzi l’autorità di certificazione di Microsoft per la configurazione del relay SSL, puoi usare l’utilità SSLAutoConfig nella cartella \Support sul CD di Presentation Server. Trovi ulteriori informazioni nel manuale Concetti avanzati per MetaFrame Presentation Server. Prima di poter utilizzare il relay SSL, devi eseguire alcune operazioni preliminari:
I capitoli seguenti descrivono le diverse operazioni da eseguire.
1. Certificati di sicurezza SSLI responsabili della sicurezza nella tua azienda dovrebbero essere in grado di procurarti i certificati di sicurezza SSL necessari per il funzionamento del relay SSL. I certificati devono essere emessi da un’istituzione attendibile, la cosiddetta autorità di certificazione (CA). Il tipo di autorità di certificazione dipende da diversi fattori: La tua azienda può emettere certificati di sicurezza SSL? La tua azienda ha già una relazione d’affari con un’autorità di certificazione esterna? Il sistema operativo Windows offre diverse possibilità per la configurazione di autorità di certificazione I costi dei certificati di sicurezza e la necessità di disporre di un’autorità di certificazione ufficiale Per ogni server che esegue Presentation Server con il relay SSL devi ottenere un certificato unico dall’autorità di certificazione. Il certificato è emesso con il nome DNS completo di ogni server (FQDN). Inoltre devi installare il certificato dell’autorità di certificazione su ogni client che si connette al server. Ricevi questo certificato dalla stessa autorità di certificazione che ha emesso il certificato per il server. L’interfaccia web e i client di Presentation Server offrono il supporto nativo per le autorità di certificazione seguenti:
Se utilizzi i certificati delle autorità di certificazione sopra elencate, l’installazione dei certificati dell’autorità di certificazione sui client non è necessaria. Richiesta di un certificato SSLDopo la scelta dell’autorità di certificazione, puoi preparare la richiesta del certificato tramite l’utilità di amministrazione del server web. La richiesta è salvata in formato CSR (Certificate Signing Request) e inviata all’autorità di certificazione per la firma digitale. L’autorità di certificazione ritorna il certificato firmato e una parola d’ordine. IMPORTANTE: il nome per il certificato SSL deve corrispondere al nome DNS completo del server (FQDN). Per inviare la richiesta ed importare il certificato puoi utilizzare l’assistente di Internet Information Services (snap-in Gestione Internet Information Services (IIS)). Se invece utilizzi un’autorità di certificazione in linea (per esempio Microsoft Enterprise Certificate Services) puoi utilizzare l’assistente per la richiesta e ’installazione diretta del certificato. Procedura: Avvia lo snap-in di IIS:
Seleziona il Sito Web predefinito e scegli Proprietà dal menù contestuale.
Seleziona il registro Protezione directory e clicca sul pulsante Certificato server.
Clicca su Avanti per procedere.
Seleziona l’opzione Crea nuovo certificato e clicca su Avanti.
Seleziona l’opzione Preparare la richiesta per l’invio posticipato e clicca su Avanti. Questa opzione salva la richiesta in un file che devi spedire manualmente all’autorità di certificazione. Se utilizzi un’autorità di certificazione in linea, puoi selezionare la seconda opzione. In questo modo la richiesta sarà inviata direttamente.
Nella casella Nome devi inserire un nome per il certificato SSL. In questa casella non è necessario inserire il nome DNS completo, ma puoi utilizzare solo il nome del server. Nella casella Lunghezza in bit puoi scegliere la lunghezza da utilizzare per la crittografia del certificato. Ad una lunghezza maggiore corrisponde una maggiore sicurezza. Citrix raccomanda un valore minimo di 1024 bit. Se utilizzi un valore superiore assicurati che sia supportato da tutti i client.
Immetti i dati della tua organizzazione.
Inserisci il nome comune (common name, CN). Il nome comune è il nome DNS completo (FQDN) del server su cui è installato il certificato SSL.
Imetti i dati geografici nelle rispettive caselle.
Scegli la cartella in cui salvare la richiesta e clicca su Avanti.
Verifica i dati immessi e clicca su Avanti per salvare il file.
Clicca su Fine per terminare l’assistente.
La richiesta appena salvata può essere ora inviata ad una qualsiasi autorità di certificazione.
2. Installazione del certificatoLe versioni del relay SSL fornite con MetaFrame XP Feature Release 2 o superiore utilizzano l’implementazione SChannel di Microsoft. In questo modo, il relay SSL utilizza lo stesso archivio di IIS per il salvataggio dei certificati. Per installare il certificato SSL puoi utilizzare sia l’assistente di IIS, sia lo snap-in MMC. L’assistente di IIS prosegue con il processo avviato come descritto nel capitolo 1. Questo capitolo descrive le due procedure. Installazione del certificato con l’assistente di IIS: Apri le Proprietà del Sito Web predefinito come descritto nel capitolo precedente e clicca su Certificato server.
Clicca su Avanti per iniziare la procedura di importazione del certificato.
Seleziona l’opzione Elabora la richiesta in sospeso e installa il certificato. Questa opzione è disponibile solo se hai eseguito i passi descritti nel capitolo precedente.
Con il pulsante Sfoglia seleziona il certificato che hai ricevuto dall’autorità di certificazione.
Immetti il numero della porta TCP da utilizzare per il sito web. La porta predefinita è 443.
Verifica i dati immessi e clicca su Avanti se sono corretti.
Il certificato è stato importato correttamente. Clicca su Fine per terminare l’assistente.
Installazione del certificato con lo snap-in MMC: Per aprire la console di gestione dei certificati, apri il menù Avvio e scegli Esegui.... Inserisci mmc e clicca su OK per avviare la Microsoft Management Console.
Immagine della Microsoft Management Console vuota:
Clicca su File e scegli Aggiungi/Rimuovi snap-in....
Clicca su Aggiungi per visualizzare l’elenco degli snap-in disponibili.
Seleziona lo snap-in Certificati dalla lista e clicca su Aggiungi.
Seleziona l’opzione Account del computer e clicca su Avanti.
Seleziona l’opzione Computer locale (se stai eseguendo la console sul server terminal) oppure Altro computer se stai eseguendo la console sul client locale. In quest’ultimo caso devi inserire il nome del server terminal nella casella relativa.
Clicca su OK per confermare la scelta dello snap-in.
Vista generale dello snap-in Certificati:
A questo punto puoi importare il certificato ricevuto dall’autorità di certificazione. Apri la cartella Personale e clicca Certificati con il pulsante destro del mouse. Scegli Tutte le attività e Importa....
L’assistente per l’importazione dei certificati:
Seleziona il certificato con il pulsante Sfoglia e clicca su Avanti per procedere.
Inserisci la parola d’ordine per il certificato.
Assicurati che sia selezionata la cartella Personale come visualizzato nell’immagine seguente.
Clicca su Fine per terminare l’assistente ed importare il certificato.
Il messaggio seguente indica che l’importazione è avvenuta con successo.
Il certificato è visibile nella parte destra dello snap-in. Con un doppio clic è possibile aprirlo e verificarne le proprietà
3. Modifica della porta SSLIl relay SSL di Citrix utilizza la porta TCP 443 (porta predefinita per le connessioni SSL). La maggior parte dei firewall sono già configurati per l’utilizzo di questa porta di comunicazione. Puoi comunque configurare il relay per l’utilizzo di un’altra porta TCP. In questo caso assicurati che tutti i firewall tra il client ed il server siano correttamente configurati anche per la porta del relay. NOTA: Microsoft Internet Information Services (IIS) riserva automaticamente la porta TCP 443 per le connessioni SSL. Se vuoi utilizzare il relay SSL e IIS sullo stesso server, devi configurare una porta di comunicazione differente per uno dei due servizi. La procedura seguente mostra i passi necessari per modificare la porta di comunicazione SSL di IIS. Per poter modificare la configurazione SSL, il server IIS deve avere un certificato IIS installato (vedi la procedura descritta nel capitolo 2). Avvia lo snap-in di IIS:
Seleziona il Sito Web predefinito e scegli Proprietà dal menù contestuale.
Seleziona la scheda Sito Web. Nella casella Porta SSL puoi inserire un valore differente da 443 da utilizzare per la connessione SSL di IIS, in modo da evitare conflitti con il relay SSL. Infine clicca su OK per salvare le impostazioni.
La configurazione della porta SSL per il relay è descritta nel capitolo seguente.
4. Configurazione del relay SSLPer configurare il relay SSL avvia l’utilità di configurazione dalla barra di amministrazione MetaFrame:
Nel registro Relay Credentials (Credenziali del relay), attiva l’opzione Enable SSL relay per attivare il relay. Seleziona il certificato SSL installato sul server nella casella Server Certificate (certificato server).
Nel registro Connection (Connessione), inserisci l’indirizzo IP o il nome DNS completo del server che esegue il relay SSL. Utilizza il tasto New per inserire un nuovo valore, il tasto Delete per eliminare un valore dalla lista oppure il tasto Edit per modificare un valore esistente.
Seleziona il gruppo di crittografia nel registro Chipersuites.
La procedura seguente mostra i passi necessari per modificare la porta di comunicazione SSL del relay. Avvia l’utilità di configurazione dalla barra di amministrazione MetaFrame:
Seleziona il registro Connection (Connessione) ed inserisci il numero della porta SSL da utilizzare nella casella Relay Listening Port.
Per configurare la porta SSL su 443 senza HTTPS:
Il relay SSL utilizza la porta SSL 443 riservandola prima di IIS, anche quando il server è riavviato.
IMPORTANTE: Se modifichi il numero della porta SSL del relay, devi immettere lo stesso valore per
la proprietà SSLProxyHost nel file Appsrv.ini del client di Presentation Server.
Links
|
