NetScaler Gateway
Web/SaaS 和 TCP/UDP 应用程序都支持 NetScaler Gateway 配置。您可以创建 NetScaler Gateway 或更新现有 NetScaler Gateway 配置以实现 Secure Private Access。建议您在应用这些更改之前创建 NetScaler 快照或保存 NetScaler 配置。
有关 Web/SaaS 和 TCP/UDP 应用程序的 NetScaler Gateway 配置的详细信息,请参阅以下主题:
与 ICA 应用程序的兼容性
为支持 Secure Private Access 插件而创建或更新的 NetScaler Gateway 也可用于枚举和启动 ICA 应用程序。在这种情况下,您必须配置 Secure Ticket Authority (STA) 并将其绑定到 NetScaler Gateway。
注意:
STA 服务器通常是 Citrix Virtual Apps and Desktops 部署的一部分。
有关详细信息,请参阅以下主题:
- 在 NetScaler Gateway 上配置 Secure Ticket Authority
- 常见问题解答:Citrix Secure Gateway/NetScaler Gateway Secure Ticket Authority
支持智能访问标签
注意:
- 仅当您的 NetScaler Gateway 版本低于 14.1-25.56 时,本节中提供的信息才适用。
- 如果您的 NetScaler Gateway 版本为 14.1—25.56 及更高版本,则可以使用 CLI 或 GUI 在 NetScaler Gateway 上启用 Secure Private Access 插件。有关详细信息,请参阅在 NetScaler Gateway 上启用 Secure Private Access 插件。
在以下版本中,NetScaler Gateway 会自动发送标签。您不必使用网关回调地址来检索智能访问标签。
- 13.1—48.47 及更高版本
- 14.1—4.42 及更高版本
智能访问标签作为标头添加到 Secure Private Access 插件请求中。
在这些 NetScaler 版本上,使用开关 ns_vpn_enable_spa_onprem
或 ns_vpn_disable_spa_onprem
启用/禁用此功能。
-
您可以使用命令进行切换(FreeBSD shell):
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
-
运行以下命令(FreeBSD shell),为 HTTP 标注配置启用 SecureBrowse 客户端模式。
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
-
如果访问被拒绝,则启用重定向到“访问受限”页面。
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
-
使用 CDN 上托管的“访问受限”页面。
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
-
要禁用,请再次运行相同的命令。
-
要验证开关处于开启还是关闭状态,请运行
nsconmsg
命令。 -
要在 NetScaler Gateway 上配置智能访问标签,请参阅配置上下文标签。
在 NetScaler 上保留 Secure Private Access 插件设置
要在 NetScaler 上保留 Secure Private Access 插件设置,请执行以下操作:
- 创建或更新文件 /nsconfig/rc.netscaler。
-
将以下命令添加到该文件中。
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
- 保存该文件。
重新启动 NetScaler 时,会自动应用 Secure Private Access 插件设置。
在 NetScaler Gateway 上启用 Secure Private Access 插件
从 NetScaler Gateway 14.1—25.56 及更高版本开始,您可以使用 NetScaler Gateway CLI 或 GUI 在 NetScaler Gateway 上启用 Secure Private Access 插件。此配置取代了 2407 之前版本中使用的 nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
旋钮。
CLI:
在命令提示符下,键入以下命令:
set vpn parameter -securePrivateAccess ENABLED
GUI:
- 导航到 NetScaler Gateway > 全局设置 > 更改全局 NetScaler Gateway 设置。
- 单击安全选项卡。
- 在“Secure Private Access”中,选择已启用。
上载公共网关证书
如果无法从 Secure Private Access 计算机访问公共网关,则必须将公共网关证书上载到 Secure Private Access 数据库。
执行以下步骤上载公共网关证书:
- 使用管理员权限打开 PowerShell 或命令提示符窗口。
- 将目录更改为 Secure Private Access 安装文件夹下的 Admin\AdminConfigTool 文件夹(例如,cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
-
运行以下命令:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
已知限制
- 现有的 NetScaler Gateway 可以使用脚本进行更新,但可能有无限数量的 NetScaler 配置,单个脚本无法涵盖。
- 请勿在 NetScaler Gateway 上使用 ICA 代理。配置 NetScaler Gateway 时,此功能将被禁用。
- 如果您使用部署在云中的 NetScaler,则必须对网络进行更改。例如,允许 NetScaler 与其他组件在特定端口上进行通信。
- 如果您在 NetScaler Gateway 上启用 SSO,请确保 NetScaler 使用私有 IP 地址与 StoreFront 通信。您可能需要使用 StoreFront 专用 IP 地址向 NetScaler 添加 StoreFront DNS 记录。