StoreFront是思杰桌面云的网页组件。在安装思杰桌面云的时候通常由于生产环境的需要而多台服务器,并且创建VIP来起到负载均衡的作用。StoreFront需要使用http协议来传递数据,为了保证数据安全又要改成https协议。那么这样又要牵扯到证书问题。我打算在本文中记录这些操作的配置。
目前假设已经有一个比较完整的vdi环境了。 并且在这个环境中包含了两台StoreFront,这两台StoreFront加入了一个服务组,并且能够互相同步自己的配置。并且环境中还有NetScaler和CA服务器,能够有能力建立自签的根证书和证书。
在规划中,这两台StoreFront的域名为sf1和sf2,而如果它们之间创建了vip,则域名为sf。
在我的测试环境中,我在一台Windows的服务器上建立了ac服务。
为了说明方便,我先做一个单台的storefront使用https协议。
当然根证书可以有很多种途径的生成方法,这里只是举例而已。
为了完成单台StoreFront的HTTPS访问,可能需要做以下操作。
1.申请证书
2.StoreFront绑定证书
3.StoreFront设置默认Https访问
4.在客户访问端信任证书的根证书
申请证书
证书申请的地方在iis管理器中去创建申请,这里没有规定需要在指定的IIS服务器中去申请,任意的IID都可以去创建证书申请。(并不是一定要图片中的服务器。)
在申请证书的“通用名称”中,应该填写需要申请证书的网站的域名。那么当前我们需要填入的是sf的域名。
生成了一个字符串文件,是用来给sf申请证书用的。
证书的字符串文件可以在任意IIS上生产,不过现在要在CA上去申请证书。
下图中,“保存的申请”部分填写上面生成的txt的内容。而证书模板改成web服务器。
证书是一个cer文件。双击后可以看到
完成证书申请
将网站的443端口与该证书绑定
如果你用过https去访问该主机(默认443端口),那么显示的就是这张证书。
访问这个网页
信任根证书
这张证书是由我的AC服务器来签发的,所以这样证书的根证书是AC的证书。当然目前而言根证书是不受信任的,那么它办法的证书也是不受信任的。
我们可以下载AC服务器的根证书。
选择下载CA证书,
目前根证书是不受信任的,需要把根证书安装到受信任的证书中去。
只有信任根证书的电脑才回去信任由这张根证书开出的证书。
例如下图。
(Chrome浏览器只信任公认的根证书,私人的根证书即使安装了也是不受信任的。不过可以在IE上看到证书已经受信任了。)
在StoreFront上配置默认https访问
接下来要做的是多台的sf HTTPS访问。
通过负载均衡器生成VIP,为VIP绑定域名,通过访问该域名来随机指定指定集群中的一台SF响应访问。
可以有很多方法去实现sf网页服务的负载均衡,本文中负载均衡是由netscacler实现的。
同时证书也要改成vip的域名的证书。
为了实现这个功能,可能以下操作:
1.使用Netscaler建立负载均衡,生成vip
2.为vip绑定域名,并且为此域名设置证书,绑定该证书。
3.StoreFront设置默认Https访问
参考文档:https://www.carlstalhood.com/storefront-load-balancing-netscaler-12/
在Netscaler创建负载均衡
首先在Netscaler中创建Monitors