Citrix StoreFront的负载均衡和HTTPS访问

StoreFront是思杰桌面云的网页组件。在安装思杰桌面云的时候一般因为生产环境的须要而多台服务器，而且建立VIP来起到负载均衡的做用。StoreFront须要使用http协议来传递数据，为了保证数据安全又要改为https协议。那么这样又要牵扯到证书问题。我打算在本文中记录这些操做的配置。

目前假设已经有一个比较完整的vdi环境了。 而且在这个环境中包含了两台StoreFront，这两台StoreFront加入了一个服务组，而且可以互相同步本身的配置。而且环境中还有NetScaler和CA服务器，可以有能力创建自签的根证书和证书。
在规划中，这两台StoreFront的域名为sf1和sf2，而若是它们之间建立了vip，则域名为sf。

---

在个人测试环境中，我在一台Windows的服务器上创建了ac服务。

为了说明方便，我先作一个单台的storefront使用https协议。
固然根证书能够有不少种途径的生成方法，这里只是举例而已。

为了完成单台StoreFront的HTTPS访问，可能须要作如下操做。
1.申请证书
2.StoreFront绑定证书
3.StoreFront设置默认Https访问
4.在客户访问端信任证书的根证书

申请证书

证书申请的地方在iis管理器中去建立申请，这里没有规定须要在指定的IIS服务器中去申请，任意的IID均可以去建立证书申请。（并非必定要图片中的服务器。）
在申请证书的“通用名称”中，应该填写须要申请证书的网站的域名。那么当前咱们须要填入的是sf的域名。




生成了一个字符串文件，是用来给sf申请证书用的。
证书的字符串文件能够在任意IIS上生产，不过如今要在CA上去申请证书。



下图中，“保存的申请”部分填写上面生成的txt的内容。而证书模板改为web服务器。


证书是一个cer文件。双击后能够看到

完成证书申请

将网站的443端口与该证书绑定

若是你用过https去访问该主机（默认443端口），那么显示的就是这张证书。

访问这个网页

信任根证书

这张证书是由个人AC服务器来签发的，因此这样证书的根证书是AC的证书。固然目前而言根证书是不受信任的，那么它办法的证书也是不受信任的。
咱们能够下载AC服务器的根证书。

选择下载CA证书，

目前根证书是不受信任的，须要把根证书安装到受信任的证书中去。




只有信任根证书的电脑才回去信任由这张根证书开出的证书。
例以下图。

（Chrome浏览器只信任公认的根证书，私人的根证书即便安装了也是不受信任的。不过能够在IE上看到证书已经受信任了。）

在StoreFront上配置默认https访问

---

接下来要作的是多台的sf HTTPS访问。
经过负载均衡器生成VIP，为VIP绑定域名，经过访问该域名来随机指定指定集群中的一台SF响应访问。
能够有不少方法去实现sf网页服务的负载均衡，本文中负载均衡是由netscacler实现的。
同时证书也要改为vip的域名的证书。
为了实现这个功能，可能如下操做：
1.使用Netscaler创建负载均衡，生成vip
2.为vip绑定域名，而且为此域名设置证书，绑定该证书。
3.StoreFront设置默认Https访问

在Netscaler建立负载均衡

参考文档：https://www.carlstalhood.com/storefront-load-balancing-netscaler-12/

操做基本属于重复上面提供的文档，故此能够直接看文档。
Netscaler作负载均衡可能须要完成如下步骤。
1.在Netscaler上建立ServiceGroup，Monitor，VirtualServer。
其中：
ServiceGroup决定了这个负载均衡之中所包含的主机，将它们的IP信息写入一个组中。

Monitors用于加载到Service Group中，让这个负载均衡不只仅是一个443端口的负载均衡，而是一个StoreFront的负载均衡，这样Netscaler能够更加具体的检查服务的状态，而不是单单的检查端口是否可以访问。

VirtualServer建立了一个VIP，VIP是虚拟IP的意思，经过建立这个VIP，让客户端访问这个VIP，负载均衡器会根据主机的运行状况，分配到服务器中的其中一台。
Monitors绑定在ServiceGroup上，ServiceGroup绑定在VirtualServer上。

2.VIP的证书建立，并绑定于StoreFront。
在创建负载均衡以后，咱们经过VIP来访问StoreFront，我会在DNS中为VIP建立一个域名，而且根据这个域名，为StoreFront建立证书，根据这张证书导出pfx，而且导入到其余StoreFront中去。

首先在Netscaler中建立Monitors

要注意，填写Monitor Store部分的时候，Store名要和StoreFront中对应，

接下来添加Server

Servers中添加的是须要负载均衡的服务器ip地址和其余信息。

添加Service Group

添加完成后，进入这个Service Group而且添加成员。

进入添加框，选择服务器，我建立的是是Server，因此我这里选择的是Server Based，而且经过添加按钮把前面输入的服务器输入到中间去。

端口是443，咱们是https访问。

接下来选择为Service Group选择Monitor选项卡，一旦点选，网页下方出现Monitors的选项。

咱们选择StoreFront

建立vip

建立完成以后，显示的页面如此。

在最下方，选择咱们前面建立的ServiceGroup

接下来会要求选择证书，咱们尚未作。因此咱们如今要作一下。

VIP的域名不会由任何的服务和程序去生成，这个是由咱们本身定义的，因此要在DNS中手工添加解析。

证书建立的过程和单台的同样。不过填写域名的时候，须要填写VIP的域名。


这是第一台证书就这么完成了。以后的服务器的操做不能重复以前的过程，由于就算证书的制做过程是同样的，证书中的密钥也有区别，所以要从第一台服务器中导出证书。导出的证书为pfx文件，而且包含密码。

在第二台中导入张pfx证书。


同理第二台上依旧添加此证书。而且若是有更多台，重复这个操做。

在完成全部的证书操做以后，能够进入netscaler查看，若是配置正确，全部的443端口应该都是起来的。（下图中选择的是TCP，实际上应该选择SSL）

（排错）
在配置完成全部的配置以后，ServiceGroup，Services通通都是UP，可是VitrualServer为Down。
临时解决方法：
能够将ServiceGroup，Services，VIP的协议通通改为TCP协议，端口配成443，这样能够完成负载均衡的转发。可是因为没有配置证书，只是单纯的tcp协议转发，Netscaler没有办法解析通过它的加密报文，没有办法对数据进行更加细节的操做。

是否ssl服务被打开？
有一个黄颜色感叹号表明该服务没有启动，右键点击SSL，启动该服务。