Bonjour.
Je dispose de srvctx(Serveur WI + ACM), csg (Secure Gateway), DC (controleur de domaine).
DC = Authorité de certificat.
J’ai suivi ce tutoriel: http://www.msterminalservices.org/articles/Install-Configure-Citrix-Web-Interface-Secure-Gateway-Part1.html en installant DC comme authorité de certificat (sous 2003 serveur).
A la config. du Secure Gateway, après choix de Metaframe PS, j’ai le message “Secure gateway n’a pas détecté le certificat serveur sur le serveur…veuillez l’installer…(SG did not detect a server certificate on this server…)”.
Auriez vous une solution ou un tutoriel plus clair que ça?
comment as-tu pu suivre cet article si tu n’a pas IIS instalé sur ta CSG ???
perso, je n’ai pas tutoriel mais le plus simple serait de générer le certificat depuis n’importe quelle machine en allant sur http://tondc/certsrv de sélectionner une demande de certificat en utilisant un formulaire, de prendre serveur web comme type de certificat, de MARQUER la clef comme exportable !! et de valider le certificat si ton DC ne le fait pas tout seul (cela nécessite que le CA ait été installé en type Entreprise) et de reprendre l’importation du certificat à l’étape idoine sur le tutoriel que tu as indiqué (“After purchasing the SSL Server Certificate from your preferred Certificate Authority, the Certificate needs to be installed on the Web Interface / Secure Gateway Server…”)
Bon, voici ce que j’ai fait:
(1):- Sur DC (CA), Gestionnaire de sites IIS/ Onglet sécurité du répertoire/ création de certificat/… jusqu’à la création du fichier certext.txt.
Sur le navigateur du DC, j’ai fait http://mondc/certsrv / Demande de certificat Avancé / Copier/collé le contenu du certext.txt dans la zone de texte, puis choisi Serveur Web comme type de serveur et j’ai généré(dans le C: du DC) et installé le certificat certnew.cer.
(2):- Sur le serveur CSG(où IIs é activé aussi), http://mondc/certsrv / Demande de certif en utilisant le formulaire/ Serveur Web et enregistrement dans le magazin…
Mais au bout du compte, on me dit: “The issuer of the certificate is not trusted”.
Est ce qu’à partir de (1):-, je peur copier le fichier certnew.cer dans le serveur CSG puis l’installer et faire la même chose avec le serveur WI?
Autre chose, je ne vois pas où "Marquer la clef comme exportable"
Merci
Bonjour,
Regarde cette doc : Doc Fgagne elle date un peu mais le plus important c’est la création d’un certificat.
dans ce cas là, WI et CSG sont séparés…
j’ai joint ici un step by step pour l’utilisation des certificats. cela concerne SSL Relay mais s’applique très bien à SG 3.0 lorsqu’il est seul sur une machine (je veux dire sans WI) c’est dans l’appendix A
attention, les étapes concernant key2pem.exe ne s’appliquent plus
Merci, je vais lire la doc, tester puis je vous dirais.
Voici un résumé des actions:
- Installation du certificat sur le CSG.
- Installation complete du Secure Gateway (pa de sécu entre SG et WI)
- Dans “Sécurité de Répertoire” ds les propriétés par défaut du IIS (dans CSG), g coché “requérir le canal securisé ssl”
- Configuration dans WI: **Paserelle Directe; …
Quand je me connecte à partir d’un PC dans la LAN https://192.168.12.202 (IP CSG), je tombe sur la page d’erreur suivante:
euh ya IIS sur ton CSG ?? c’est pas conseillé car la tu configure ton IIS pour faire du SSL et ce n’est pas le but…
IIS ne DOIT pas écouter sur le 443 pour ne pas faire conflit avec le port par défaut de SG3.0
ensuite comment tu accedes à la WI? via la SG ? (cela depend de la config de la SG)
J’essaie d’accéder à la WI via SG (mode Indirect) par contre, quand je coche la case “secure traffic betwween csg and WI (port 443)”, ça pass pas.
- Dans WI, j’ai activé “Gateway Direct” et renseigné le FQDN du CSG + le serveur STA.
J’ai aussi installé le certificat (certnew.cer) généré depuis http://mondc/certsrv, "télécharger le certificat de l’autorité"
Y-a t-il une config à faire ds le gestionnaire de IIS?
Est ce que la création du site sous ACM doit aparaitre sous la forme https://serveurWI/citrix/platform?
Finalement j’ai réinstallé CSG car je voyais trop d’instances de certificat dans le systeme.
- J’accède à WI via CSG mais sans sécuriser le traffic entre CSG et WI (port 80). (voir image diagnostics CSG)
En interne je me connecte et lance les applis sans problème.
Je vais tester les connexions et lancement d’applis depuis l’extérieur.
Par contre j’ai vu une erreur dans le journal d’evenements au niveau de CSG (voir erreur CSG1.JPG).
Si tout se passe bien, je vais retenter de sécuriser le traffic entre CSG et WI