Storefront与NetScaler的集成配置 - part2

Storefront与NetScaler的集成配置 - part1

http://kaiqian.blog.51cto.com/blog/236001/1344447

Storefront与NetScaler的集成配置 - part2

http://kaiqian.blog.51cto.com/blog/236001/1344646

Storefront与NetScaler的集成配置 - part3

http://kaiqian.blog.51cto.com/blog/236001/1344793

前文介绍了Storefront与NetScaler配置中的StoreFront方面的配置，本章将介绍NetScaler部分的配置。

1.从download.citrix.com官方网站下载最新的NetScaler Gateway的。对于StoreFront来说，NetSclaer最好使用10.0e和10.1的版本（9.2不支持）。本例中使用的是最新的10.1.122 VPX版本。

2. 启动NetSclaer，配置好IP地址、子网、网关，保存后系统自动重启。本例中：

192.168.40.200

255.255.255.0

192.168.40.254

3. NetScaler重启后，访问http://192.168.40.200，

注：访问NetScaler控制台需要Java支持，如果有报错情况出现，请把Java配置中的“临时Internet文件”中的“将临时文件保存在我的计算机上”，不勾选。

4. 配置好基本配置信息，SubNet IP和子网：本例中：192.168.40.205/24。时区选择：CST+8 Shanghai。NAT也最好配置好统一的时钟服务器。

5. 将的License导入，保存并重启。重启完成后登陆，请先确认license已经导入成功，各项功能都已启用。注：NetScaler VPX 需要是1000以上的版本，否则无法创建512位以上证书，桌面虚拟化项目证书长度不得低于1024，现正在向2048位推进。

6.展开System –> Settings，点击Configuremodes，

7.勾选MAC Based forwarding，点击OK，

8.再点击Configure Basic Features，勾选：SSL Offloading，Load Balancing，NetScaler Gateway，点击OK，

9. 在 Traffice Management - > DNS -> Name Servers，添加内网DNS主机 IP:192.168.50.10

在DNS suffix中，添加域短名：wwco; wwco.local

注：请务必添加一个可用的内部DNS服务器，否则将会导致向内网storefront请求的时候，出现无法解析名称的情况，尽量避免使用IP地址替代DDC/Storefront主机FQDN。

可以在NetScaler上用ping命令检查是否能正确解析到所需要使用到的主机地址。

至此，NetScaler的基础配置完成。下面开始配置前端访问所需要的证书，为公网SSL接入做准备。本例为实验性质，没有购买公网证书，所以本例都是通过Windows CA来完成证书签注。如果是正式环境请从三方机构购买证书。

另外，对于XenDesktop的环境，请不要使用NetScaler自签正式来进行测试，会出现不少意想不到的问题。用户测试阶段可以从三方机构申请临时证书，一般可使用1个月。

1. 打开Traffic Management - > SSL - >SSL Keys - > Create RSA Key，

2. 输入Key Filename：go-internet.key，Key Size： 1024（请注意，不要设定低于1024一下的size，如512） ，点击OK

3. 选择SSL Certificates - > Create CSR，

4. csr文件生成以后，点击Tools下的Manage Certificates/Keys/CSRs，

5. 选择go-internet.csr并download，然后使用文本编辑器打开此文件，显示如下：

6. 通过浏览器打开Windows CA的证书进行申请。本例中，192.168.50.10即DC和Windows CA。http://192.168.50.10/certsrv

7. 选择申请证书 - > 高级证书申请，

8. 将刚才通过文本编辑器打开的csr文件信息拷贝到空白框中，并在“证书模版”处选择“Web服务器”，

9. 证书生成后，选择“Base64编码”，并下载证书，保存名为：go-internet.cer

注：由于前面我们在NetScaler都申请的是PEM格式，如果此处选择DER编码，后面导入时会报错。

10.回到NetSclaer管理控制台，点击在SSL 下的Certificates，选择Install，

11. 输入如下信息：

Certificate-key pair name，后缀名必须为pair

Certificate file name：选择local，并选择刚下载好的go-internet.cer文件

Key File Name，直接选择最开始创建的go-internet.key，

12. Install成功后，点击创建好的pair证书，查看证书的信息确保证书信息无误。

13. 证书配置完成后，点击右上角的 SAVE，确保所有的变更NetScaler都已保存。否则一旦NetScale重启，所有变更都会消失。

注：请经常点击SAVE以保证变更的设定都及时保存。

同时如前文所述，由于本例中Storefront与NetScaler之间通信走SSL，所以需要将Windows CA的root证书导入到NetScaler中，以确保相互信任。

1. 继续访问Windows CA，选择下载CA证书、证书链或CRL

2.指定当前CA证书，编码选择Base 64，点击下载证书，

3.下载后并存只root-ca.cer文件。

4.回到NetScaler控制台，在SSL -> Certificates，点击Install,

5.输入名字和指定证书文件，点击Create安装证书。点击Save保存设定。

注：如果storefront是自签证书，则是将自签那张证书导入即可。

接下来就是配置NetScaler 发布StoreFront。

1. 选择NetSclaer Gateway，选择右侧Configure NetScaler Gateway for Enterprise Store，

2. 在NetScaler Gateway Settings输入外网域名和对应的VIP的IP address，

3. 选择刚才创建好的.pair证书，

4. 选择LDAP认证，输入对应的DC的IP地址，Base DN：dc=wwco,dc=local，等相应信息：

5. 在选择交付类型的时候，选择XenApp/XenDesktop：

选择StoreFront，

Storefront FQDN: storefront.wwco.local

/Citrix/StoreWeb

启用HTTPS（如果未在StoreFront启用HTTPS，请取消勾选）

wwco.local

STA URL: http://ctxxd7.wwco.local

注：STA对应的是XD7 DDC的控制器地址。

6. 支持配置完成，在Virtual Servers下面就可以看到新创建的vServer，

7. 此时通过客户将防火墙策略，将此站点发布到公网，并在公网DNS记录上将外网IP与go.citrixlab.com对应即可。

8.不过这个界面与我们StoreFront的默认界面相比不太一致，感官可能不太好。我们可以通过如下策略修改来完成，

9. 进入NetScaler Gateway Global Settings，Settings - > Change global settings,

10. 在Client Experience 中，在UI Theme中选择 Green Bubble，点击OK，并保存。

11. 再重新访问公网页面，登陆界面将会变成如下UI：

至此，NetScaler与StoreFront的基本配置就完成了，输入你的账号、密码，就可以看到分发的桌面和应用了。

      本文转自sesame.qian  51CTO博客，原文链接：http://blog.51cto.com/kaiqian/1344646，如需转载请自行联系原作者