一、背景介绍

相信很多人和我一样,开始在自己的局域网内搭建一个测试环境,随便起了一个域名(我用的是contoso.com),但是到安全服务器对外发布的时候就会遇到很多问题,下面我就将我遇到的问题进行一个分享。首先,介绍下我的环境拓扑。局域网内使用的是contoso.com域名,因为要测试安全服务器,所以对外发布的域名为view.xxx.com.cn,并解析到解析到221.xx.xx.xx地址,公网用户通过view.xxx.com.cn连接安全服务器进行访问


wKiom1cVqVvi1v9RAAF6bny7w6g719.jpg


二、盘点遇到的坑

1.VCS和安全服务器的设置

安全服务器的安装,不必赘述,在安装完成后它会让你去进行设置,此时VCS的PCOIP安全网关,一定要是VCS服务器本身的IP地址

wKiom1cVqV3BVpKcAAH6f93e-ko011.jpg


其次,安全服务器上的对外地址填写的是公网可以解析到的地址,这里的PCOIP网关IP地址是你在哪个公网IP打开TCP443、8443、4172和UDP的4172端口映射,这里就填那个IP的地址


wKioL1cVqhzCoOE9AAE677poXkg245.jpg


然后,坑来了!!此时你发现使用外网能够正常将安全服务器添加到horizon view client中,但是在内网中却不行,原因就是内网中安全服务器和VCS在解析view.xxxx.com.cn域名时总是解析到了221.xxx.xxx.xxx的公网地址上,所以内网中不能正常添加,解决的方法是在安全服务器和VCS的本地host文件中手动将view.xxxx.com.cn域名指定到他本身的IP地址上


wKiom1cVqV7A2b2uAADvHWkgyIY923.jpg


2.证书的问题

当我们搭建好安全服务器(security.contoso.com)后,为他申请完证书,此时你会发现在面板中,关于安全服务器的警告仍然存在,打开后提示证书名称不匹配


wKioL1cVqh7yEgjYAAFVBpyjPUg613.jpg


出现问题的原因是申请证书时,申请的名称是security.contoso.com,但此时安全服务器外部URL填写的是view.xxxx.com.cn,于是重新为安全服务器申请一张view.xxxx.com.cn的证书,并删除原有security.contoso.com证书,我们可爱的绿色又回来了


wKiom1cVqWHTthLaAAGo8XAYqcQ331.jpg


此时再去验证,会发现证书警告消除。当然,如果你一开始内外网是一个域名就不会存在该问题


wKioL1cVqiCw21YzAADC40Q5Wpg250.jpg


最后还有个未解决的地方,怎么在手机上添加信任的根证书颁发机构,小米通过MIUI可以导入,水果手机一直没找都在哪里添加