Note sur la version du Netscaler
VPX signifie que l'appliance est virtuelle
Netscaler V10 signifie qu'il supporte un flux de 10Mb/s,
un V100 signifie qu'il supporte un flux de 100Mb/s etc ...
Allez sur le site de Citrix, sur Téléchargements Netscaler Gateway
Ici on télécharge la dernière version.
Il ne faut pas faire attention au fait que cela soit sous la catégorie "firmware"
Téléchargez la version qui correspond à votre système de virtualisation
Il est préférable d'accepter le contrat
Lancez le téléchargement
Vous allez récupérer un fichier ZIP
Décompressez le zip. Vous allez récupérer des fichiers de ce type
Deployez un ovf
Pointez sur celui précédemment téléchargé
Cliquez sur Suivant etc
Assignez les cartes réseaux
La première carte réseau sera celle utilisée pour le management (NSIP), aussi placez la bien dans le vlan d'admin que vous aurez préparé pour l'occasion
Dans le cas présent on ne va garder qu'une seule et unique carte réseau car les 3 adresses Ip sont dans le même Vlan. L'unique carte réseau recevra donc 3 Ip.
Allumez votre Netscaler
Renseignez l'adresse IP de votre Netscaler.
Cela correspondra à son adresse NSIP, cad celle dédiée à l'interface d’administration
Entrez ensuite le masque, la gateway etc ...
Vous arriverez sur ce type d'affichage :
Appuyez sur 4 puis Entrée pour sauvegarder et faire prendre en compte la configuration
L'adresse que vous avez paramétré doit répondre à un test ping.
Ouvrez un navigateur et accédez à l'adresse ip en http dans un premier temps.
Authentifiez vous. Le login et mot de passe par défaut son :
Login : nsroot
Password : nsroot
Suite à quoi vous arriverez sur cet écran
On va dérouler le Wizard. cliquez sur le Step 2
On va maintenant renseigner l'adresse Ip de l'interface SNIP, cad celle qui communiquera avec le réseau interne qui comportera notamment les serveurs Citrix.
Après sa configuration, sauf blocage FW spécifique, l'adresse ip doit répondre au ping
Cliquez sur la 3ème partie du Wizard
Entrez l'IP publique du Netscaler (VIP) et son nom
Il faudra par la suite rebooter le boitier
On va maintenant récupérer la licence nécessaire pour faire fonctionner le netscaler.
Commencez par relever l'adresse MAC de la carte réseau de votre Netscaler.
Notez bien cette adresse MAC définitivement dans un coin ne serait-ce par la suite que pour gérer quelle licence est affectée à quel Netscaler
Loggez vous sur le portail Citrix puis cliquez sur "Activate and Allocate Licenses"
Lancez une recherche sur Netscaler
Cochez la licence voulue, ici une VPX 10, ce qui veut dire qu'elle est faite pour une appliance virtuelle qui supporte un flux de 10mb
Entrez la clé MAC de la carte réseau de votre Netscaler sans séparateurs. Ne mettez pas de caractère : ou autre
Confirmez le téléchargement
Récupérez le fichier de licence
Sur le Netscaler commencez maintenant le début de la déclaration de la licence
Cliquez sur Browse
Rebootez après l'import
Après injection de la licence et reboot, les fonctionnalités disponibles s'affichent
Allez maintenant modifier le mot de passe du compte nsroot comme montré ci-dessous
Entrez le nouveau mot de passe.
Evitez les mots de passe trop complexes du type l^H,l~;r90
dans mon cas il n'était plus reconnu par la suite, ce qui a rendu l'accès impossible
Sauvegardez la modification
Il faut indiquer l'ip de votre serveur DNS.
Pour cela allez comme montré ci-dessous :
Indiquez son IP et ajoutez
Effacez l'ancienne entrée si elle n'est pas bonne
Activez SSL en faisant un clic droit sur la Feature et cliquez sur Enable Feature
Si vous avez un certificat généré par OpenSSL via EzSSL :
On va commencer par récupérer le certificat de l'autorité de certification en important le certificat .p12 qui a été généré pour le Netscaler. En effet si on importe tel quel le certificat de l'autorité de certification dans Netscaler cela ne fonctionnera pas.
Lancez mmc.exe et accédez au composant de gestion des certificats ordinateur
Retirez le filtre pour voir les extensions .P12 et sélectionnez le certificat .p12 dédié à votre Netscaler
Entrez le mot de passe du certificat et marqué celui-ci comme exportable
Exportez le certificat de l'autorité de certification
Prenez le premier format
Exportez le certificat avec un nom sans espaces et caractères spéciaux
Au préalable si vous avez déjà des imports de certificats sur le Netscaler qui n'ont pas fonctionné, lancez winscp et allez sous /flash/nsconfig/ssl
On va maintenant utiliser le Netscaler pour convertir le certificat .P12 dédié au Netscaler pour le passer en.PEM.
Pour cela cliquez sur Import PKCS#12
Au niveau de PKCS12 File cliquez sur Local
Allez chercher le certificat du Netscaler en p12 pour le convertir en .pem
Entrez un nom qui se termine en .pem pour l'export
Entrez le mot de passe du certificat
Il n'est pas nécessaire de renseigner l'encoding format
Cliquez sur OK
On va maintenant prendre le root ca. Cliquez sur Install
Donnez un nom sans espace underscore ni caractères spéciaux,
cochez le format DER
Cliquez sur Install
Le certificat root doit apparaitre dans la liste
On va maintenant aller chercher le certificat du Nescaler en lui même.
Recliquez sur Install
Réservation DNS
Votre certificat pour Netscaler doit correspondre à un nom de dommaine comme netscaler.mydomain.local
Pensez maintenant à déclarer l'ip publique (celle côté internet) affectée à votre Netscaler avec le nom indiqué dans votre certificat, soit ici pour l'exemple netscaler.mydomain.local
Reportez le nom du certificate file name dans le champ Key File Name.
Donnez un nom (premier champ), entrez le mot de passe du certificat et cliquez sur Install
Prendre le fichier .pem issu de la conversion précédemment réalisée
Cela fait on va associer le certificat du netscaler avec celui de l'authorité de certification dont il est issu.
Pour cela faite un clic droit sur le certificat du Netscaler et cliquez sur Link
Sélectionnez le certificat de l'autorité de certification avec qui il faut l'associer et cliquez sur Ok.
Autre cas de figure :
Vous avez non pas un certificat issu d'une autorité de certification privé mais d'un vrai provider de certificats.
Dans ce cas, allez sur Certificate-key pair
Cliquez sur Install
Allez chercher votre certificat en local
Si vous en avez, sélectionnez votre fichier chain qui permet d'indiquer quel certificat est le père ou le fils d'un autre
Donnez lui un nom et cliquez sur Install
Dans l'interface il apparait alors ainsi
Si vous avez une autorité de certification intermédiaire, vous devez avoir un second fichier chain. Déclarez le également
Ceci fait, on va maintenant déclarer le certificat qui sera utilisé par votre Netscaler.
C'est ici un Wildcard (*.mydomain.local par exemple).
En premier essai on avait utilisé un fichier .pem, mais par la suite si on essayait de l'utiliser on avait ce message d'erreur :
La solution est donnée par l'article suivant :
http://support.citrix.com/article/CTX126403
Pour que cela fonctionne, importez le fichier .cer
Déclarez en même temps le fichier .key associé
Sélectionnez le etc ...
Nommez l'ensemble, entrez le mot de passe qui protège les certificats et cliquez sur Install
Le certificat qui sera utilisé pour le Netscaler apparait.
Si à l'import vous avez l'erreur
Certificate with key size greater than RSA512 or DSA512 bits not supported
L'article CTX125548 dont le lien est
http://support.citrix.com/article/CTX125548
indique que cela peut être votre licence qui est en cause. Dans mon cas j'utilisais une licence de démo
On va maintenant l'associer aux fichiers chain qui permettent de dire qui est le père du fils
Faites un clic droit dessus puis cliquez sur Link
Le fichier chain doit s'associer automatiquement
De même faites un link sur chain1 si vous avez un chain2 qui va avec
On vient de voir que l'on a déclaré un certificat via le netscaler à partir d'un .cer et d'un .key
Avec openssl on peut faire un .p12 à partir du .cer et d'un .key.
On importera ce .p12 par la suite quand on débutera la procédure "XenApp and XenDesktop" "Get Started" car bizarrement, si on le fait avant, le .p12 n'est pas accepté.
Les commandes de conversion sont :
On en fait un .p12 à partir du .cer avec l'aide de la clé privée
openssl pkcs12 -export -in monfichier.cer -inkey monfichier.key -out moncertificatenp12.p12
Du .p12 on en fait un .pem
openssl pkcs12 -in moncertificatenp12.p12 -nodes -out moncertificatenpem.pem
Bizarrement du .p12 on en refait un .pem
openssl pkcs12 -export -in moncertificatenpem.pem -out moncertificatenp12bis.p12
Lien vers le fichier : cliquez ici
Au niveau du StoreFront, si ce n'est pas fait, activez l’authentification unique de Netscaler Gateway
Cliquez sur Ajoutez un boitier Netscaler Gateway
Donnez le nom à titre indicatif de votre Netscaler,
Indiquez son URL d'accès
On va définir l'adresse du STA.
Cliquez sur "Ajouter"
Mettez le FQDN de votre DDC (et non pas celui du Netscaler)
Autorisez l'accès distant au niveau de votre Store et indiquez votre Netscaler
Sut le Netscaler cliquez maintenant sur XenApp "and XenDesktop" puis "Get Started"
Sélectionnez StoreFront et cliquez sur Continue
Pour la Netscaler Gateway IP Address, indiquez l'adresse de la patte externe.
Le Virtual Server Name n'a pas grande importance, c'est pour repérer l'interface par la suite.
Le site robinhobo indique lui la même chose
Pour l'instant on ne met pas en place de load balancing. Cochez "No"
Indiquez le certificat à utiliser.
On l'a importé en amont dans cette procédure
Indiquez l'adresse IP de votre AD,
son nom sous forme DC=mydomain etc ...
Si le compte que vous avez indiqué pour interroger l'AD n'est pas admin du schéma de l'AD, quand vos utilisateurs essayeront de se connecter, ils auront le message d'erreur
"Informations d'identification incorrectes. Réessayez"
L'article suivant permet de lever des doutes sur le process d'authent
http://support.citrix.com/article/CTX114999
Reportez les informations comme indiqué
On demandera ensuite le type de ferme.
Même si vous mettrez par la suite à disposition des applications XenApp, indiquez XenDesktop
Indiquez l'adresse de votre DDC
Au final cliquez sur Done
Si vous avez associé plusieurs cartes réseaux à votre Netscaler,
(ce qui n'est pas conseillé)
il faut lui indiquer quelle carte est sur quelle Vlan.
Pour cela allez sous le menu indiqué.
L'opération est décrite dans cette article :
http://support.citrix.com/article/CTX136926
Cliquez sur Add
Nommez le Vlan
Entrez son numéro
Associez la ou les cartes réseaux concernées
Pages Web
Site Web | Description |
---|---|
Robinhobo.com | Configurer un Netscaler 10.5 avec la partie Storefront 2.5.2 |
Téléchargement(s)
Nom | Site Web d origine | Description |
---|---|---|
Netscaler_adresse_VIP.vsd... | Schéma Visio indiquant quelle adresse IP il faut entrer pour la VIP pour un Netscaler |