目前10.5版本的NetScaler与10.1之前的版本在根证书的使用方式上有些许区别。
10.1之前的版本只需要将根证书放置在证书目录就可以了。但是到了10.5版本,根证书必须与每个监视器、服务、虚拟服务器挂钩,不再是散养的方式了。而且在导入界面对于第一次接触10.5版本的人(包括我自己)会有些误导。对PKI加密系统比较熟悉的人可能看仔细点就能够知晓,但是对于不是太了解证书体系的人来说,只会越来越糊涂。而且官方的文档也没有非常清楚对整个过程作step by step的描述,怎么笼统怎么来。并且由于CA根证书的使用方式发生了改变,变得更加严谨了。所以证书吊销机构的配置也被提了上来。虽然以前也需要设置,但不配也没多大关系。现在不行了。

在NetScaler上面安装证书有多种方式,这里就只介绍一下由NetScaler创建密钥申请证书直到完成证书安装的过程。如果使用现成的证书来安装,请务必保证所导入的证书包含有一个对应的私钥。
在我的整个配置过程中,由于是出于实验目的,就只申请了一张Wildcard通配符证书,用以简化整个配置流程。在实际生产环境中是绝对不能使用Wildcard证书的,因为这样做证书所代表的安全体系就没有意义了。

在NetScaler上面,证书的申请从创建密钥开始:
在NetScaler的管理页面上依次选择:Traffic Management -> SSL -> Create RSA Key,
attachimg.gif wKiom1Sr39bw1OC0AApxFzJMCWg499_small.jpg

1.jpg (417.23 KB)

2015-1-6 21:15



在RSA 密钥设置页面,填入密钥文件的名字(以 .key结尾),密钥的长度。(注:微软的PKI加密体系从Server 2012开始只支持长度大于等于2048位的密钥)
attachimg.gif wKioL1Sr4JfAe5QTAAkm-AqbxQU542_small.jpg

2.jpg (372.41 KB)

2015-1-6 21:15



在SSL页面选择“Create Certificate Signing Requset (CSR)”,使用刚才建立的密钥文件创建证书的申请文件,
attachimg.gif wKiom1Sr39iAZXy9AApsIWAA4us830_small.jpg

3.jpg (416.57 KB)

2015-1-6 21:15



填入证书申请文件的名字,在“Key Filename”选项,选择“Browse”,选中刚才创建的密钥文件(.key文件),
attachimg.gif wKioL1Sr4JiiIVrJAAlBaIm_ro0681_small.jpg

4.jpg (161.29 KB)

2015-1-6 21:15



attachimg.gif wKiom1Sr39rQ_tSeAAn9UoEbyfk498_small.jpg

5.jpg (168.39 KB)

2015-1-6 21:15



在下方“Country”部分选择正确的国家地区,在“Common Name”选项填入你所为之申请的服务器名(这里我使用通配符来简化流程,实际环境中是严格禁止的,必须与服务器名对应)。之后点击“Create”,
attachimg.gif wKioL1Sr4JrhTKNtAAhE_lZrs6s933_small.jpg

6.jpg (340.78 KB)

2015-1-6 21:15



创建完申请文件后选择在SSL页面选择”Manage Certificates / Keys / CSRs",浏览刚才创建的申请文件,并复制文件内容,
attachimg.gif wKiom1Sr39yT-5YyAApEu0iifxY638_small.jpg

7.jpg (410.85 KB)

2015-1-6 21:15



attachimg.gif wKioL1Sr4JyD5O1UAApcdeXde-4657_small.jpg

8.jpg (422.31 KB)

2015-1-6 21:15



attachimg.gif wKiom1Sr392zSjIgAAqe7whNIpY946_small.jpg

9.jpg (414.57 KB)

2015-1-6 21:15



向授信根提交申请文件的内容,生成并下载最终的服务器证书。
attachimg.gif wKioL1Sr4J7x2OOAAAlxZwjsYug615_small.jpg

10.jpg (358.66 KB)

2015-1-6 21:15



attachimg.gif wKiom1Sr39-yuOKYAAmJmGFc8dA836_small.jpg

11.jpg (381.44 KB)

2015-1-6 21:15



attachimg.gif wKioL1Sr4J-zFlPdAAgVkTK5lh0287_small.jpg

12.jpg (318.88 KB)

2015-1-6 21:15



attachimg.gif wKiom1Sr3-Dx3zS8AAjcxyrcZmw236_small.jpg

13.jpg (349.77 KB)

2015-1-6 21:15



将刚才复制的申请文件的内容黏贴进证书申请页面,将证书模板改为“服务器模板”
attachimg.gif wKioL1Sr4KDyuyI8AAnGF6bpTpk161_small.jpg

14.jpg (384.42 KB)

2015-1-6 21:15



证书生成之后下载Base 64 格式的证书文件
attachimg.gif wKiom1Sr3-Lxx-E6AAg_H8CWCQs232_small.jpg

15.jpg (324.25 KB)

2015-1-6 21:15



将下载的证书文件上传至NetScaler,
attachimg.gif wKioL1Sr4KLh0J2nAApbz13qTnk907_small.jpg

16.jpg (421.44 KB)

2015-1-6 21:15



attachimg.gif wKiom1Sr3-TBHJyTAApZdYvyFF0400_small.jpg

17.jpg (425.56 KB)

2015-1-6 21:15



证书上传完毕之后,进入“Traffic Management" -> "SSL" -> "Certificates"页面,选择”Install“,安装服务器证书
attachimg.gif wKioL1Sr4KTBWl2PAAnNvHyyUwE350_small.jpg

18.jpg (396.48 KB)

2015-1-6 21:15



在证书安装页面,填入证书密钥对的名称(NetScaler作为负载均衡器,是一个多业务平台,所以它使用密钥与证书对来保证对应的服务器的合法性)。选择刚才上传的服务器证书文件,以及申请该服务器证书所使用的密钥。
attachimg.gif wKiom1Sr3-WjiazRAAqu4BAmMWk632_small.jpg

19.jpg (433.32 KB)

2015-1-6 21:15



attachimg.gif wKioL1Sr4KXie1O-AAmzSMER7Nk228_small.jpg

20.jpg (166.92 KB)

2015-1-6 21:15



安装完成后检查证书与密钥是否匹配,如果显示”Valid“,说明证书与密钥匹配,可以被使用了。
attachimg.gif wKiom1Sr3-eTZ0iaAAoznaMc8e8553_small.jpg

21.jpg (411.2 KB)

2015-1-6 21:15



CA证书与证书吊销列表的安装:
NetScaler上面的负载均衡虚拟服务器使用服务器证书(刚才创建的)来向用户保证自身的合法性。同时使用CA证书向后端实际应用或web服务器保证自身作为一个用户的合法性。
在CA证书的使用上,之前已经提到过,10.1版本之前只需要导入CA证书就可以了。在10.5版本中,导入之后还需要安装该CA证书。

首先前往授信根下载CA证书与证书吊销列表(CRL)
attachimg.gif wKioL1Sr6cbTbiy4AAjxBCHx6Jk603_small.jpg

22.jpg (358.08 KB)

2015-1-6 21:54



attachimg.gif wKiom1Sr6QehfM2GAAgy91pPGiM763_small.jpg

23.jpg (325.13 KB)

2015-1-6 21:54



将CA证书文件上传至NetScaler
attachimg.gif wKioL1Sr6cjRD3viAAmzQryglm8960_small.jpg

24.jpg (388.85 KB)

2015-1-6 21:54



attachimg.gif wKiom1Sr6Qngg901AAmPykqEVtw858_small.jpg

25.jpg (393.83 KB)

2015-1-6 21:54



attachimg.gif wKioL1Sr6cng9RyCAAmOD4f1gX8328_small.jpg

26.jpg (394.92 KB)

2015-1-6 21:54



在”Certificates"页面安装CA证书
attachimg.gif wKiom1Sr6QvAA2MLAAjCHMC7U6Y892_small.jpg

27.jpg (357.46 KB)

2015-1-6 21:54



填入CA证书对的名称,由于CA证书并不包含任何密钥,仅包含了授信根的数字签名,所以这里不用匹配密钥文件。
attachimg.gif wKiom1Sr6QygqB_3AAiUlCrpUDM712_small.jpg

28.jpg (350.65 KB)

2015-1-6 21:54


attachimg.gif wKioL1Sr6czQ5iinAAjpxADqzlA225_small.jpg

29.jpg (158.29 KB)

2015-1-6 21:54



在"CRL“页面,选择”Add“,添加证书吊销列表(证书吊销列表必须与CA证书上的授信根的数字签名一致,否则吊销列表不生效)
attachimg.gif wKiom1Sr6Q6z9QcqAAi0B9D3rSQ201_small.jpg

30.jpg (354.98 KB)

2015-1-6 21:54



填入证书吊销列表名称,上传证书吊销列表文件
attachimg.gif wKioL1Sr6c7iZuGQAAgvnGzlmJ0344_small.jpg

31.jpg (334.52 KB)

2015-1-6 21:54



attachimg.gif wKiom1Sr6Q_QaPBVAAgXy_h6XzY040_small.jpg

32.jpg (329.08 KB)

2015-1-6 21:54



选择正确的CA证书(刚才创建的)
attachimg.gif wKioL1Sr6dCA5tveAAhJuUSHdmM367_small.jpg

33.jpg (338.67 KB)

2015-1-6 21:54



检查吊销列表的可用性
attachimg.gif wKiom1Sr6RGxCo4aAAi91hVc3mw714_small.jpg

34.jpg (354.71 KB)

2015-1-6 21:54




到这里,整个证书的申请和安装过程就结束了。在整个实验的后期验证公共网络对接Citrix虚拟化环境时还会介绍自签名证书的使用。因为使用微软的证书时,如果设备没有加域会要求做一些AD上的操作。一台设备还好,如果数量多就抓狂了。而且在实际生产环境里,面对公共网络的负载均衡服务器URL地址与NetScaler Gateway的URL地址都会使用购买的第三方证书(配置简单功能强大)。

下一次的更新会间隔比较久,我要考驾照理论。之后的内容就是XenDesktop DDC的负载均衡配置了。配置完成之后直至实验结束,DDC的负载均衡服务器将会直接替代所有物理DDC的连接需求(有负载均衡器了,为啥还要手动一个一个往StoreFront里添加呢