Teil 3: App-V Infrastruktur mit Citrix NetScaler mit Verschlüsselung nach Außen

Dies ist der vorletzte Teil und wir beschreiben eine hochverfügbare verschlüsselte App-V Infrastruktur mit einer Verschlüsselung nach außen.

Die Vorteile gegenüber einem Microsoft NLB sind, dass auch Services überwacht werden und auch das Lastverhalten berücksichtigt wird. Mit der Netscaler VPX Express Edition steht eine Kostenlose Lösung dafür mit bis zu 20 Mbit Bandbreite bereit.

In dieser Konfigurationsvorlage wird http im Backend gesprochen und SSL https nach außen.

Dazu muss zunächst die zuvor beschriebene Anleitung umgesetzt werden (Konfiguration des NetScaler Load Balancing). Anschließend geht es mit dem Import der Zertifikate werter.

Weitere Teile

Teil 1: App-V Infrastruktur mit Citrix NetScaler Load Balancing (optional Verschlüsselt)
Teil 2: App-V Infrastruktur mit Citrix NetScaler unverschlüsseltes App-V Load Balancing
Teil 3: App-V Infrastruktur mit Citrix NetScaler mit Verschlüsselung nach Außen
Teil 4: App-V Infrastruktur mit Citrix NetScaler und vollständiger Verschlüsselung

Der Port spielt diesmal keine Rolle. Wir nutzen in diesem Beispiel Port 4491

Für den Servernamen appv.uran.local und dem zugehörigen Stammzertifikat muss ein Zertifikat erzeugt worden sein.

3.1 Zertifikate importieren (NetScaler)

Wir benötigen das Root Zertifikat der CA und ein Zertifikat für den virtuellen Server. Der Name (comman Name) des NLB soll appv.uran.local sein. Das Zertifikat wird in der CA erzeugt und muss mit dem privaten Schlüssel exportiert werden. Hier im pfx format für das Serverzertifikat und als als „cer“ ohne privaten Schlüssel für das Root. Im Folgenden Bild ist eine gültige Zertifikatkette zu erkennen

1. Im NetScaler Traffic Management => SSL und rechts „Manage Certificates“ wählen

2. Über Upload das Root und das vServer Zertifikat hochladen
3. Zur Installation des Serverzertifikates nach NetScaler Traffic Management => SSL => Certificates => Server Certificates navigieren und auf der rechten Seite oben „Install“ wählen

4. Appliance als Quelle wählen und das zuvor hochgeladene Zerifikat in der Liste auswählen. Hier ist das „export.pfx“. Nun noch das Passwort für den privaten Schlüssel angeben.
5. Abschließend mit „Install“ das Zertifikat importieren. Es sollte nun in der Liste unter „Server Certificates“ auftauchen und mit dem „Common Name“ angezeigt werden

Anschließend muss das Rootzertifikat importiert werden. Die Prozedur entspricht der gerade durchgeführten nur ist kein Kennwort notwendig, da dass Stammzertifikat keinen privaten Schlüssel benötigt.

1. Nach NetScaler Traffic Management => SSL => Certificates => CA Certificates navigieren
2. “Install” wählen
3. Das Stammzertifikat angeben – dazu Appliance auswählen
4. Mit “Install” importieren
5. Das Stammzertifikat muss in der Liste auftauchen

3.2 Anlegen der Virtuellen Load Balancer für https

Es wird unter der gleichen IP Adresse wie für den http Zugriff ein neuer Virtueller Server angelegt. Diesmal mit dem Protokoll SSL.

In der Tat wird hier der neue Server mit der gleichen IP wie für den http Zugriff konfiguriert.

Für den https Zugang:
AppVHttps: 192.168.1.214 Port 4491

1. Zu Traffic Management => Load Balancing => Virtual Servers => Add
2. Die IP Adresse 192.168.1.214 eintragen
3. Als Protokoll hier SSL wählen

Anmerkung: Hier auch SSL/TSC eigentlich wird ein eigener Monitor benötigt

4. Nun bei Load Balancing Service Group die Gruppe „AppvHttp“ eintragen und binden
5. Jetzt als Server Certificate „Appv.uran.local“ wählen und als „CA Certificate“ das Stammzertifikat der CA
6. Beide Zertifikate binden
7. Abschließend auf der rechten Seite „+ Method“ wählen und das Lastverhalten beispielsweise wie folgt eintragen. Leastconnection wählt den Server mit der geringsten Anzahl Verbindungen.

3.3 Konfiguration des Service Principal Name (SPN) für den unverschlüsselten Zugriff

Wenn Services in einem Netzwerk bereitstellt werden, in denen das Kerberos-Protokoll zur gegenseitigen Authentifizierung verwendet wird, müssen Sie einen Dienstprinzipalnamen (SPN) für den Servicepunkt erstellt werden. Das AD weiß darüber über welches Konto eine Authentifizierung erfolgen kann.

Für jedes Konto und jeden Service darf ein solcher Eintrag nur einmal existieren.

Setspn -s http/<computername>.<domainname>:<port> <domain-account>

Optional, wenn noch kein Computerkonto „appv“ angelegt wurde

1. Zunächst ein Computerkonto „appv“ im AD anlegen (Beispielsweise in einer CN=appv,OU=Servers,OU=uran,DC=uran,DC=local). Wenn das noch nicht erfolgt ist!
2. In der MMC unter View die „Advanced Features“ aktivieren
3. Nun in den Eigenschaften des Computers „Trust this computer for delegatrion to any service (Kerberos only)“ aktivieren

SPN https setzen

Anmerkung: Der Switch „-C“ verweist auf ein Computerkonto

setspn -C -A https/appv.uran.local:4491 uran\appv

Die Domäne "DC=uran,DC=local" wird überprüft.

Dienstprinzipalnamen (SPN) für CN=appv,OU=Servers,OU=uran,DC=uran,DC=local werden registriert.
https/appv.uran.local:4491
Aktualisiertes Objekt

Prüfen des SPN:

setspn -Q https/appv.uran.local:4491

Die Domäne "DC=uran,DC=local" wird überprüft.
CN=appv,OU=Servers,OU=uran,DC=uran,DC=local
https/appv.uran.local:4491
http/appv.uran.local:8091

3.4 Test der Konfiguration

Abschließend Services und Server herunterfahren. Der App-V Webservice appv.uran.local:4491 muss immer erreichbar bleiben