XenDesktop7.12配置StoreFront使用HTTPS

在之前的博文中，我们的客户端是使用http协议去登录StoreFront，为了提高安全性，我们可以为StoreFront申请服务器证书配置https加密访问，以及巧用IIS错误页进行https重定向，本文将介绍具体配置过程。 之前的相关博文请见以下链接：

《使用XenCenter 7配置XenServer资源池》 详见http://jiangjianlong.blog.51cto.com/3735273/1893363  、

《XenDesktop7.12发布Win10周年更新版桌面》详见http://jiangjianlong.blog.51cto.com/3735273/1894139 、

《XenDesktop7.12发布应用程序》详见http://jiangjianlong.blog.51cto.com/3735273/1896972

一、测试环境

计算机名	操作系统	IP地址	角色
Xen-dc.long.xen	Win2012R2	192.168.10.50	DC、DNS、DHCP、iSCSi Target、CA
Xenserver01	XenServer  7.0	192.168.10.51	宿主机
Xenserver02	XenServer  7.0	192.168.10.52	宿主机
Xencenter.long.xen	Win2012R2	192.168.10.53	XenCenter、许可证服务器、ISO共享库
XenDesktop.long.xen	Win2012R2	192.168.10.54	XenDesktop7.12服务器（安装DeliveryController、Director、StoreFront、Studio）
APPServer.long.xen	Win2012R2	192.168.10.55	安装VDA for  WindowsServerOS，安装VNC Viewer
Win10.long.xen	Win10周年更新版	DHCP	主映像（安装VDA for  WindowsDesktopOS）
Win10-01.long.xen	Win10周年更新版	DHCP	虚拟桌面
Win10-02.long.xen	Win10周年更新版	DHCP	虚拟桌面
Win10-APP03.long.xen	Win10周年更新版	DHCP	虚拟桌面，安装QQ影音

二、为StoreFront配置服务器证书

本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564

1、打开IIS中的服务器证书功能

2、点击创建证书申请

3、输入相关信息，在通用名称处注意需输入StoreFront服务器的FQDN

4、选择加密服务提供程序，位长最好选择2048，因我是测试环境，就按默认好了

5、指定一个文件名，将生成证书申请信息文件

6、登录CA的web界面，点击申请证书

7、点击高级证书申请

8、点击第二个选项

9、复制上文证书申请信息文件中的全部内容，并选择证书模板为Web服务器，点击提交

10、证书自动颁发，点击下载证书

11、再去到主页下载CA证书

12、将CA证书导入到受信任的根证书颁发机构中

13、回到IIS管理器中，点击完成证书申请

14、浏览到我们上文申请完下载下来的服务器证书，并在好记名称处输入StoreFront服务器的FQDN

15、点击IIS的Default Web Site，再点击绑定

16、点击添加，类型选择https，SSL证书处选择我们上文申请的证书，至此IIS已完成服务器证书的配置

三、更改StoreFront的URL
1、由于我是将Controller和StoreFront安装在同一台机，因此打开Citrix Studio即可，点击Citrix StoreFront节点下的服务器组，点击更改基本URL，默认是http的协议，将其修改为https

2、点击Citrix StoreFront节点下的应用商店，可以看到StoreFront的URL全部已更改为https协议

3、点击Citrix Studio节点下的StoreFront，编辑StoreFront服务器，将URL也改为https，这样才能让所有交付组所绑定的StoreFront的URL都改为https

4、查看交付组，确认StoreFront的URL都已变成https协议，至此已完成StoreFront的URL更改

四、客户端测试
1、在安装了CA证书的客户端，用浏览器使用https协议打开StoreFront Receiver for Web的URL，可以看到已经是加密访问，也能正常登录

2、StoreFront启用https后，就可以使用Citrix Receiver直接登录了，添加账户输入https协议的StoreFront的URL，点击添加

3、输入域账号和密码进行登录

4、登录后点击左边的加号图标添加应用程序或桌面

5、经测试应用程序和桌面都能正常访问

五、巧用IIS错误页进行https重定向

1、StoreFront配置了https后，用户通过浏览器仍可以使用http协议访问，为了自动重定向为使用https协议，可能需要下载安装IIS URL重写模块进行配置，但我发现巧用错误页也能非常简单地就实现这个功能。首先点击StoreWeb的SSL设置，选择要求SSL。这时候客户端如果在浏览器中使用http协议访问会报403错误

2、编辑错误页的403页面，选择以302重定向响应，输入绝对URL即https协议的receiver for web站点的地址

3、经测试能成功重定向为https地址的登录页面

本文出自江健龙的技术博客 http://jiangjianlong.blog.51cto.com/3735273/1897564