Ce post vient à la suite de ;
- Fondamentaux – Certificat racine SSL sous MAC
- Vidéo – creation basique d’un certificat SSL à partir d’une autorité certifiante Microsoft
- Les fondamentaux – Architecture Citrix Secure Gateway – Part 1
- Les fondamentaux – Architecture Citrix Secure Gateway – Part 2
- Vidéo – installation basique de Citrix Secure Gateway 3.1 sous Windows 2003
- Vidéo – création et configuration basique d’un site Web Interface 5.2 pour Citrix Secure Gateway

Ca faisait longtemps que je n’avais pas fait la manipulation de création de certificat ssl autosigné avec openssl, pour mes Citrix Access gateway en l’occurence. En cherchant sur le Net, j’ai eu du mal à trouver des bonnes infos, mais j’avoue j’ai pas cherché longtemps non plus

D’abord je tiens à remercier les sites suivants, pour m’avoir remis les idées en place :
- http://blog.taragana.com/index.php/archive/openssl-how-to-create-self-signed-certificate/fr/
- http://www.floury.net/wordpress/wordpress/?p=39

Il y a cependant juste des petites erreurs d’écriture sur les lignes de commandes qu’ils nous donnent. Donc je me permet d’ecrire une version qui fonctionne aussi.

Méthode
Je me suis servi d’un serveur Windows 2003 SP2 pour installer une version d’openssl trouvé sur le site http://www.slproweb.com. Le pré-requis, en ce qui me concerne fut d’installer Visual C++ 2008 Redistributables uniquement.

En suivant les commandes données sur les 2 sites, que je cite au-dessus, j’ai corrigé comme suit :
Résultat :

A bientot,
Patrice Jacques-gustave

Ce post vient à la suite de :
- Vidéo – creation basique d’un certificat SSL à partir d’une autorité certifiante Microsoft
- Les fondamentaux – Architecture Citrix Secure Gateway – Part 1
- Les fondamentaux – Architecture Citrix Secure Gateway – Part 2
- Vidéo – installation basique de Citrix Secure Gateway 3.1 sous Windows 2003
- Vidéo – création et configuration basique d’un site Web Interface 5.2 pour Citrix Secure Gateway

En me balladant dans un AppleStore, je me suis souvenu que quelqu’un m’avait dit un jour qu’il était difficile de mettre son certificat racine privée dans le magasin local MAC. Après une petite recherche rapide sur internet je suis tombé sur un article disponible sur le site de Microsoft :
http://support.microsoft.com/kb/887413/fr

Je l’ai donc testé en live chez des amis, qui n’utilisent que des MAC. Cela marche très bien et c’est très rapide à mettre en place

Démarche :
J’ai fait le test sur un Macbook sous Mac OS 10.5.8.

Via le spootlight, j’ai tapé le mot « trouseau », et cliqué sur « trousseau d’accès ».
J’ai glissé mon certificat racine dans le magasin suivant :
Je me suis alors connecté à un serveur XenApp 5 pour Windows 2008 64bit via une connexion SSL d’une Citrix Secure Gateway. Le client ICA que j’ai utilisé est le dernier en date disponible sur le site de Citrix :

A bientôt,
Patrice Jacques-gustave

Un des sujets qui fonctionne le mieux sur ce site concerne Citrix Secure Gateway, passerelle VPN SSL logiciel gratuit chez Citrix.

La vidéo qui suit vient à la suite de l’article « video-installation-basique-de-web-interface-5-2-pour-iis/« /

Dans cet exemple, je vous montre les options à configurer pour que vos utilisateurs passent obligatoirement par une Citrix Secure Gateway.

Bonne lecture,
Durée de la vidéo : 03 minutes 43 sec | format (flash en .swf) 1024×786 pixels
Taille de la vidéo : 1,02 Mo | Auteur : tescitrixoupas | Date de création : 14 Janvier 2010

Pour ceux qui ne savent pas encore installer une Citrix Secure Gateway, lisez :
Les fondamentaux – Architecture Citrix Secure Gateway – Part 1
Les fondamentaux – Architecture Citrix Secure Gateway – Part 2
Vidéo – installation basique de Citrix Secure Gateway 3.1 sous Windows 2003
Vidéo – creation basique d’un certificat SSL à partir d’une autorité certifiante Microsoft

Retrouvez toutes les vidéos dans la section Téléchargement.

A bientôt,
Patrice Jacques-gustave

Vous trouverez dans ce post et dans la base vidéothèque, une vidéo d’installation de Citrix Secure Gateway 3.1. Je me sers de Citrix Secure Gateway pour mes maquettes XenApp et XenDesktop.

Petit rappel:
Citrix Secure Gateway est une passerelle VPN SSL logiciel que vous pouvez installer soit sous Windows ou Unix (mais très peu de sites l’utilisent dans ce mode, car plus long à mettre en place et offrant moins de fonctionnalités, je sais même plus si c’est maintenu d’ailleurs .
Ce soft est dans les distributions de XenApp ou en téléchargement sur le site de Citrix dans la Section XenApp. Et c’est gratuit. Pour vos maquettes XenApp ou XenDesktop, c’est idéal pour commencer à tester des connections externes sécurisées sous Citrix. Puis de passer sous Access Gateway ou Netscaler quand vous voulez aller plus loin dans la sécurité des accès.

Les pré-requis pour une passerelle Citrix Secure Gateway sont les suivants;
- Une Windows 2003 en workgroup avec les dernières mise à jour
- Le certificat racine de l’autorité de certification qui a généré le certificat serveur destiné à la passerelle Citrix Secure Gateway
- Le certificat serveur destiné à la passerelle Citrix Secure Gateway pour le chiffrement de la session externe

Note: en ce qui me concerne j’arrête un max de service Windows qui ne servent pas dans ce type d’architecture. Ce qui me permet d’utiliser un Windows 2003 virtuel sous Virtual PC avec une mémoire de 192Mo. Au final, ma VM consomme environ 145 Mo à tout casser.

Techniquement comment ça marche ?
Voir Les fondamentaux – Architecture Citrix Secure Gateway – Part 1 et Les fondamentaux – Architecture Citrix Secure Gateway – Part 2

Les ports utilisés sont:
443 pour les connections externes
80 (par défaut) pour la communication avec le Secure Ticket Authority
80 (par défaut) pour la communication avec la Web Interface

Bonne lecture,
Durée de la vidéo : 3 minutes 46 secondes

Retrouvez cette vidéo et les autres sur la page Téléchargement de ce site en accès libre.

A bientôt
Patrice Jacques-gustave

Je continue dans la lancée d’une mise en place de Citrix Secure Gateway. Cette article suit donc le post « Les fondamentaux – Architecture Citrix Secure Gateway – Part 1″.

Une fois que vous avez en tête les différents composant, je vais vous décrire comment techniquement tout cela s’enchaîne. Tout ce que je décris en dessous se déroule en très peu de seconde, mais il s’en passe des choses en fait, bonne lecture à tous:

1- l’utilisateur ouvre un navigateur Web et lance une URL en HTTPS. L’url correspond au nom FQDN d’une passerelle Citrix Secure Gateway (tescitrixoupas.demo.fr par exemple),

2- La passerelle CSG envoie son certificat serveur vers le navigateur Web. Le poste utilisateur doit donc posséder le certificat racine de l’entité certifiante qui a créée le certificat serveur,

3- Une fois la liaison SSL établie, la passerelle CSG présente la page d’authentification de la Web Interface. Donc par défaut, l’utilisateur est en HTTPS vers la CSG et CSG communique en HTTP avec la Web Interface (ce flux peut être aussi sécurisé par un certificat SSL),

4- L’utilisateur entre son identification, Web Interface soumet cette identification au serveur XenApp via le port XML de XenApp. XenApp interroge l’Active Directory ou la NDS Novell ou la base SAM local, et si le compte est valide, il retourne la liste des applications aux-quelles l’identifiant à droit et l’envoie à la Web Interface,

5- La Web Interface construit donc une page HTML avec les icônes des applications publiées.

6- L’utilisateur clique sur une icône d’application publiée,

7- Web Interface interroge le serveur XenApp, pour connaître l’adresse IP du serveur XenApp de la ferme le plus disponible à l’instant T,

8- Web Interface soumet cette adresse IP au Secure Ticket Authority. le STA sotcke cette adresse IP et donne un ticket de session tronqué à Web Interface,

9- Web Interface construit un fichier de connexion .ica à partir d’un fichier template. Ce fichier de connexion .ica comprend l’adresse FQDN de la passerelle CSG, le ticket de session STA tronqué, l’identifiant du STA (qui n’est exploitable que par la CSG), le nom de l’application publiée et pleins d’autres options de session. Ce fichier est envoyé via le canal SSL vers le poste utilisateur,

10- Ce fichier .ica est interprété par un client Citrix. Ce dernier tente d’ouvrir une session ICA sous SSL vers la passerelle CSG,

11- La passerelle CSG envoie son certificat serveur vers le poste utilisateur. le poste utilisateur doit donc avoir le certificat racine de l’autorité de certification qui à créée le certificat serveur de la passerelle CSG,

12- une fois le tunnel SSL créée, le client ICA ouvre une session ICA vers la passerelle CSG en présentant les informations contenu dans le fichier .ica. La passerelle CSG envoie le ticket de session STA vers celui qui l’a créée et lui demande si ce ticket de session est bien valide. Si oui le STA envoie l’adresse IP du serveur XenApp, qu’il avait stocké à la demande de la Web Interface, à la passerelle CSG,

13- la passerelle établie une connexion ICA sous le port 1494 vers le serveur XenApp.

Donc l’utilisateur se connecte toujours à la passerelle CSG en ICA sous SSL (port 443) et la passerelle CSG se connecte en ICA (port 1494 ou 2598).

J’espère que ça vous éclaire un peu plus

A bientôt pour la partie 3

PS: je vais décrire ce type de connexion sécurisée en plusieurs partie, histoire de ne pas faire de long article (chiant à lire )

Patrice Jacques-gustave

Je vous met en ligne la création d’un certificat SSL serveur pour, par exemple, votre passerelle SSL Citrix Secure Gateway. Pour rappel, quand vous achetez votre XenApp, vous avez un soft vous permettant de créer une passerelle VPN SSL pour vos connections Citrix ICA. Du coup dans la vidéo je vous met la création du certificat SSL et la configuration de Citrix Secure Gateway.

Dans l’exemple, je suis sur un Windows 2003, jouant le rôle d’autorité de certification et en même temps de passerelle vpn SSL Citrix. A ne pas faire en production, n’est ce pas !

Pour faire bref, l’idée est que depuis l’extérieur de l’entreprise je me connecte en SSL vers une Web Interface au travers de Citrix Secure Gateway. Je ne me connecte donc jamais en ICA directement sur un des serveurs XenApp dans le LAN. Seul la Citrix Secure Gateway peut le faire.

Alors à la question que l’on me pose souvent ; « Quand remets tu les concepts d’infra en ligne ? », ma réponse pour le moment est, dès que j’ai un plus de temps Mais c’est prévue pas de soucis…

En attendant, je continue à mettre en ligne des vidéos d’installations et de configuration. ET pour faire plaisir à Pierre de www.citrixtools.net, j’ai rajouté une barre de navigation permettant de surfer sur la vidéo . Par contre du coup elle est plus grosse en taille (mais toujours de bonne qualité), je verrais bien comment optimiser plus tard…

Bonne lecture,
Durée de la vidéo : 02 minutes 44 minutes

Pour télécharger toutes les vidéos, allez dans la section Téléchargement en haut à droite du site.

Sinon faites un clic droite et « enregistrez la cible sous » : [download#24]

Patrice Jacques-gustave