Citrix StoreFront的负载均衡和HTTPS访问

Posted 2021-03-05

StoreFront是思杰桌面云的网页组件。在安装思杰桌面云的时候通常由于生产环境的需要而多台服务器，并且创建VIP来起到负载均衡的作用。StoreFront需要使用http协议来传递数据，为了保证数据安全又要改成https协议。那么这样又要牵扯到证书问题。我打算在本文中记录这些操作的配置。

目前假设已经有一个比较完整的vdi环境了。 并且在这个环境中包含了两台StoreFront，这两台StoreFront加入了一个服务组，并且能够互相同步自己的配置。并且环境中还有NetScaler和CA服务器，能够有能力建立自签的根证书和证书。
在规划中，这两台StoreFront的域名为sf1和sf2，而如果它们之间创建了vip，则域名为sf。

---

在我的测试环境中，我在一台Windows的服务器上建立了ac服务。

为了说明方便，我先做一个单台的storefront使用https协议。
当然根证书可以有很多种途径的生成方法，这里只是举例而已。

为了完成单台StoreFront的HTTPS访问，可能需要做以下操作。
1.申请证书
2.StoreFront绑定证书
3.StoreFront设置默认Https访问
4.在客户访问端信任证书的根证书

申请证书

证书申请的地方在iis管理器中去创建申请，这里没有规定需要在指定的IIS服务器中去申请，任意的IID都可以去创建证书申请。（并不是一定要图片中的服务器。）
在申请证书的“通用名称”中，应该填写需要申请证书的网站的域名。那么当前我们需要填入的是sf的域名。




生成了一个字符串文件，是用来给sf申请证书用的。
证书的字符串文件可以在任意IIS上生产，不过现在要在CA上去申请证书。



下图中，“保存的申请”部分填写上面生成的txt的内容。而证书模板改成web服务器。


证书是一个cer文件。双击后可以看到

完成证书申请

将网站的443端口与该证书绑定

如果你用过https去访问该主机（默认443端口），那么显示的就是这张证书。

访问这个网页

信任根证书

这张证书是由我的AC服务器来签发的，所以这样证书的根证书是AC的证书。当然目前而言根证书是不受信任的，那么它办法的证书也是不受信任的。
我们可以下载AC服务器的根证书。

选择下载CA证书，

目前根证书是不受信任的，需要把根证书安装到受信任的证书中去。




只有信任根证书的电脑才回去信任由这张根证书开出的证书。
例如下图。

（Chrome浏览器只信任公认的根证书，私人的根证书即使安装了也是不受信任的。不过可以在IE上看到证书已经受信任了。）

在StoreFront上配置默认https访问

---

接下来要做的是多台的sf HTTPS访问。
通过负载均衡器生成VIP，为VIP绑定域名，通过访问该域名来随机指定指定集群中的一台SF响应访问。
可以有很多方法去实现sf网页服务的负载均衡，本文中负载均衡是由netscacler实现的。
同时证书也要改成vip的域名的证书。
为了实现这个功能，可能以下操作：
1.使用Netscaler建立负载均衡，生成vip
2.为vip绑定域名，并且为此域名设置证书，绑定该证书。
3.StoreFront设置默认Https访问

参考文档：https://www.carlstalhood.com/storefront-load-balancing-netscaler-12/

在Netscaler创建负载均衡

首先在Netscaler中创建Monitors