Citrix StoreFront的負載均衡和HTTPS訪問

StoreFront是思傑桌面雲的網頁組件。在安裝思傑桌面雲的時候一般因爲生產環境的須要而多臺服務器，而且建立VIP來起到負載均衡的做用。StoreFront須要使用http協議來傳遞數據，爲了保證數據安全又要改爲https協議。那麼這樣又要牽扯到證書問題。我打算在本文中記錄這些操做的配置。

目前假設已經有一個比較完整的vdi環境了。 而且在這個環境中包含了兩臺StoreFront，這兩臺StoreFront加入了一個服務組，而且可以互相同步本身的配置。而且環境中還有NetScaler和CA服務器，可以有能力創建自籤的根證書和證書。
在規劃中，這兩臺StoreFront的域名爲sf1和sf2，而若是它們之間建立了vip，則域名爲sf。

---

在個人測試環境中，我在一臺Windows的服務器上創建了ac服務。

爲了說明方便，我先作一個單臺的storefront使用https協議。
固然根證書能夠有不少種途徑的生成方法，這裏只是舉例而已。

爲了完成單臺StoreFront的HTTPS訪問，可能須要作如下操做。
1.申請證書
2.StoreFront綁定證書
3.StoreFront設置默認Https訪問
4.在客戶訪問端信任證書的根證書

申請證書

證書申請的地方在iis管理器中去建立申請，這裏沒有規定須要在指定的IIS服務器中去申請，任意的IID均可以去建立證書申請。（並非必定要圖片中的服務器。）
在申請證書的「通用名稱」中，應該填寫須要申請證書的網站的域名。那麼當前咱們須要填入的是sf的域名。




生成了一個字符串文件，是用來給sf申請證書用的。
證書的字符串文件能夠在任意IIS上生產，不過如今要在CA上去申請證書。



下圖中，「保存的申請」部分填寫上面生成的txt的內容。而證書模板改爲web服務器。


證書是一個cer文件。雙擊後能夠看到

完成證書申請

將網站的443端口與該證書綁定

若是你用過https去訪問該主機（默認443端口），那麼顯示的就是這張證書。

訪問這個網頁

信任根證書

這張證書是由個人AC服務器來簽發的，因此這樣證書的根證書是AC的證書。固然目前而言根證書是不受信任的，那麼它辦法的證書也是不受信任的。
咱們能夠下載AC服務器的根證書。

選擇下載CA證書，

目前根證書是不受信任的，須要把根證書安裝到受信任的證書中去。




只有信任根證書的電腦纔回去信任由這張根證書開出的證書。
例以下圖。

（Chrome瀏覽器只信任公認的根證書，私人的根證書即便安裝了也是不受信任的。不過能夠在IE上看到證書已經受信任了。）

在StoreFront上配置默認https訪問

---

接下來要作的是多臺的sf HTTPS訪問。
經過負載均衡器生成VIP，爲VIP綁定域名，經過訪問該域名來隨機指定指定集羣中的一臺SF響應訪問。
能夠有不少方法去實現sf網頁服務的負載均衡，本文中負載均衡是由netscacler實現的。
同時證書也要改爲vip的域名的證書。
爲了實現這個功能，可能如下操做：
1.使用Netscaler創建負載均衡，生成vip
2.爲vip綁定域名，而且爲此域名設置證書，綁定該證書。
3.StoreFront設置默認Https訪問

在Netscaler建立負載均衡

參考文檔：https://www.carlstalhood.com/storefront-load-balancing-netscaler-12/

操做基本屬於重複上面提供的文檔，故此能夠直接看文檔。
Netscaler作負載均衡可能須要完成如下步驟。
1.在Netscaler上建立ServiceGroup，Monitor，VirtualServer。
其中：
ServiceGroup決定了這個負載均衡之中所包含的主機，將它們的IP信息寫入一個組中。

Monitors用於加載到Service Group中，讓這個負載均衡不只僅是一個443端口的負載均衡，而是一個StoreFront的負載均衡，這樣Netscaler能夠更加具體的檢查服務的狀態，而不是單單的檢查端口是否可以訪問。

VirtualServer建立了一個VIP，VIP是虛擬IP的意思，經過建立這個VIP，讓客戶端訪問這個VIP，負載均衡器會根據主機的運行狀況，分配到服務器中的其中一臺。
Monitors綁定在ServiceGroup上，ServiceGroup綁定在VirtualServer上。

2.VIP的證書建立，並綁定於StoreFront。
在創建負載均衡以後，咱們經過VIP來訪問StoreFront，我會在DNS中爲VIP建立一個域名，而且根據這個域名，爲StoreFront建立證書，根據這張證書導出pfx，而且導入到其餘StoreFront中去。

首先在Netscaler中建立Monitors

要注意，填寫Monitor Store部分的時候，Store名要和StoreFront中對應，

接下來添加Server

Servers中添加的是須要負載均衡的服務器ip地址和其餘信息。

添加Service Group

添加完成後，進入這個Service Group而且添加成員。

進入添加框，選擇服務器，我建立的是是Server，因此我這裏選擇的是Server Based，而且經過添加按鈕把前面輸入的服務器輸入到中間去。

端口是443，咱們是https訪問。

接下來選擇爲Service Group選擇Monitor選項卡，一旦點選，網頁下方出現Monitors的選項。

咱們選擇StoreFront

建立vip

建立完成以後，顯示的頁面如此。

在最下方，選擇咱們前面建立的ServiceGroup

接下來會要求選擇證書，咱們尚未作。因此咱們如今要作一下。

VIP的域名不會由任何的服務和程序去生成，這個是由咱們本身定義的，因此要在DNS中手工添加解析。

證書建立的過程和單臺的同樣。不過填寫域名的時候，須要填寫VIP的域名。


這是第一臺證書就這麼完成了。以後的服務器的操做不能重複以前的過程，由於就算證書的製做過程是同樣的，證書中的密鑰也有區別，所以要從第一臺服務器中導出證書。導出的證書爲pfx文件，而且包含密碼。

在第二臺中導入張pfx證書。


同理第二臺上依舊添加此證書。而且若是有更多臺，重複這個操做。

在完成全部的證書操做以後，能夠進入netscaler查看，若是配置正確，全部的443端口應該都是起來的。（下圖中選擇的是TCP，實際上應該選擇SSL）

（排錯）
在配置完成全部的配置以後，ServiceGroup，Services通通都是UP，可是VitrualServer爲Down。
臨時解決方法：
能夠將ServiceGroup，Services，VIP的協議通通改爲TCP協議，端口配成443，這樣能夠完成負載均衡的轉發。可是因爲沒有配置證書，只是單純的tcp協議轉發，Netscaler沒有辦法解析通過它的加密報文，沒有辦法對數據進行更加細節的操做。

是否ssl服務被打開？
有一個黃顏色感嘆號表明該服務沒有啓動，右鍵點擊SSL，啓動該服務。