Déploiement d'un Netscaler VPX

Note sur la version du Netscaler

Allez sur le site de Citrix, sur Téléchargements Netscaler Gateway

Ici on télécharge la dernière version.
Il ne faut pas faire attention au fait que cela soit sous la catégorie "firmware"

Téléchargez la version qui correspond à votre système de virtualisation

Il est préférable d'accepter le contrat

Lancez le téléchargement

Vous allez récupérer un fichier ZIP

Décompressez le zip. Vous allez récupérer des fichiers de ce type

Deployez un ovf

Pointez sur celui précédemment téléchargé

Cliquez sur Suivant etc

Assignez les cartes réseaux

La première carte réseau sera celle utilisée pour le management (NSIP), aussi placez la bien dans le vlan d'admin que vous aurez préparé pour l'occasion

Dans le cas présent on ne va garder qu'une seule et unique carte réseau car les 3 adresses Ip sont dans le même Vlan. L'unique carte réseau recevra donc 3 Ip.

Allumez votre Netscaler

Renseignez l'adresse IP de votre Netscaler.
Cela correspondra à son adresse NSIP, cad celle dédiée à l'interface d’administration

Entrez ensuite le masque, la gateway etc ...
Vous arriverez sur ce type d'affichage :

Appuyez sur 4 puis Entrée pour sauvegarder et faire prendre en compte la configuration

L'adresse que vous avez paramétré doit répondre à un test ping.
Ouvrez un navigateur et accédez à l'adresse ip en http dans un premier temps.

Authentifiez vous. Le login et mot de passe par défaut son :
Login : nsroot
Password : nsroot

Suite à quoi vous arriverez sur cet écran

On va dérouler le Wizard. cliquez sur le Step 2

On va maintenant renseigner l'adresse Ip de l'interface SNIP, cad celle qui communiquera avec le réseau interne qui comportera notamment les serveurs Citrix.

Après sa configuration, sauf blocage FW spécifique, l'adresse ip doit répondre au ping

Cliquez sur la 3ème partie du Wizard

Entrez l'IP publique du Netscaler (VIP) et son nom

Il faudra par la suite rebooter le boitier

On va maintenant récupérer la licence nécessaire pour faire fonctionner le netscaler.
Commencez par relever l'adresse MAC de la carte réseau de votre Netscaler.
Notez bien cette adresse MAC définitivement dans un coin ne serait-ce par la suite que pour gérer quelle licence est affectée à quel Netscaler

Loggez vous sur le portail Citrix puis cliquez sur "Activate and Allocate Licenses"

Lancez une recherche sur Netscaler

Cochez la licence voulue, ici une VPX 10, ce qui veut dire qu'elle est faite pour une appliance virtuelle qui supporte un flux de 10mb

Entrez la clé MAC de la carte réseau de votre Netscaler sans séparateurs. Ne mettez pas de caractère : ou autre

Confirmez le téléchargement

Récupérez le fichier de licence

Sur le Netscaler commencez maintenant le début de la déclaration de la licence

Cliquez sur Browse

Rebootez après l'import

Après injection de la licence et reboot, les fonctionnalités disponibles s'affichent

Allez maintenant modifier le mot de passe du compte nsroot comme montré ci-dessous

Entrez le nouveau mot de passe.
Evitez les mots de passe trop complexes du type l^H,l~;r90
dans mon cas il n'était plus reconnu par la suite, ce qui a rendu l'accès impossible

Sauvegardez la modification

Il faut indiquer l'ip de votre serveur DNS.
Pour cela allez comme montré ci-dessous :

Indiquez son IP et ajoutez

Effacez l'ancienne entrée si elle n'est pas bonne

Activez SSL en faisant un clic droit sur la Feature et cliquez sur Enable Feature

Si vous avez un certificat généré par OpenSSL via EzSSL :
On va commencer par récupérer le certificat de l'autorité de certification en important le certificat .p12 qui a été généré pour le Netscaler. En effet si on importe tel quel le certificat de l'autorité de certification dans Netscaler cela ne fonctionnera pas.

Lancez mmc.exe et accédez au composant de gestion des certificats ordinateur

Retirez le filtre pour voir les extensions .P12 et sélectionnez le certificat .p12 dédié à votre Netscaler

Entrez le mot de passe du certificat et marqué celui-ci comme exportable

Exportez le certificat de l'autorité de certification

Prenez le premier format

Exportez le certificat avec un nom sans espaces et caractères spéciaux

Au préalable si vous avez déjà des imports de certificats sur le Netscaler qui n'ont pas fonctionné, lancez winscp et allez sous /flash/nsconfig/ssl

On va maintenant utiliser le Netscaler pour convertir le certificat .P12 dédié au Netscaler pour le passer en.PEM.

Pour cela cliquez sur Import PKCS#12

Au niveau de PKCS12 File cliquez sur Local

Allez chercher le certificat du Netscaler en p12 pour le convertir en .pem

Entrez un nom qui se termine en .pem pour l'export
Entrez le mot de passe du certificat
Il n'est pas nécessaire de renseigner l'encoding format
Cliquez sur OK

On va maintenant prendre le root ca. Cliquez sur Install

Donnez un nom sans espace underscore ni caractères spéciaux,
cochez le format DER
Cliquez sur Install

Le certificat root doit apparaitre dans la liste

On va maintenant aller chercher le certificat du Nescaler en lui même.
Recliquez sur Install

Réservation DNS

Reportez le nom du certificate file name dans le champ Key File Name.
Donnez un nom (premier champ), entrez le mot de passe du certificat et cliquez sur Install

Prendre le fichier .pem issu de la conversion précédemment réalisée

Cela fait on va associer le certificat du netscaler avec celui de l'authorité de certification dont il est issu.
Pour cela faite un clic droit sur le certificat du Netscaler et cliquez sur Link

Sélectionnez le certificat de l'autorité de certification avec qui il faut l'associer et cliquez sur Ok.

Autre cas de figure :
Vous avez non pas un certificat issu d'une autorité de certification privé mais d'un vrai provider de certificats.

Dans ce cas, allez sur Certificate-key pair

Cliquez sur Install

Allez chercher votre certificat en local

Si vous en avez, sélectionnez votre fichier chain qui permet d'indiquer quel certificat est le père ou le fils d'un autre

Donnez lui un nom et cliquez sur Install

Dans l'interface il apparait alors ainsi

Si vous avez une autorité de certification intermédiaire, vous devez avoir un second fichier chain. Déclarez le également

Ceci fait, on va maintenant déclarer le certificat qui sera utilisé par votre Netscaler.
C'est ici un Wildcard (*.mydomain.local par exemple).
En premier essai on avait utilisé un fichier .pem, mais par la suite si on essayait de l'utiliser on avait ce message d'erreur :

La solution est donnée par l'article suivant :
http://support.citrix.com/article/CTX126403

Pour que cela fonctionne, importez le fichier .cer

Déclarez en même temps le fichier .key associé

Sélectionnez le etc ...

Nommez l'ensemble, entrez le mot de passe qui protège les certificats et cliquez sur Install

Le certificat qui sera utilisé pour le Netscaler apparait.

Si à l'import vous avez l'erreur
Certificate with key size greater than RSA512 or DSA512 bits not supported

L'article CTX125548 dont le lien est
http://support.citrix.com/article/CTX125548

indique que cela peut être votre licence qui est en cause. Dans mon cas j'utilisais une licence de démo

On va maintenant l'associer aux fichiers chain qui permettent de dire qui est le père du fils
Faites un clic droit dessus puis cliquez sur Link

Le fichier chain doit s'associer automatiquement

De même faites un link sur chain1 si vous avez un chain2 qui va avec

On vient de voir que l'on a déclaré un certificat via le netscaler à partir d'un .cer et d'un .key
Avec openssl on peut faire un .p12 à partir du .cer et d'un .key.
On importera ce .p12 par la suite quand on débutera la procédure "XenApp and XenDesktop" "Get Started" car bizarrement, si on le fait avant, le .p12 n'est pas accepté.
Les commandes de conversion sont :

Au niveau du StoreFront, si ce n'est pas fait, activez l’authentification unique de Netscaler Gateway

Cliquez sur Ajoutez un boitier Netscaler Gateway

Donnez le nom à titre indicatif de votre Netscaler,
Indiquez son URL d'accès

On va définir l'adresse du STA.
Cliquez sur "Ajouter"

Mettez le FQDN de votre DDC (et non pas celui du Netscaler)

Autorisez l'accès distant au niveau de votre Store et indiquez votre Netscaler

Sut le Netscaler cliquez maintenant sur XenApp "and XenDesktop" puis "Get Started"

Sélectionnez StoreFront et cliquez sur Continue

Pour la Netscaler Gateway IP Address, indiquez l'adresse de la patte externe.
Le Virtual Server Name n'a pas grande importance, c'est pour repérer l'interface par la suite.

Le site robinhobo indique lui la même chose

Pour l'instant on ne met pas en place de load balancing. Cochez "No"

Indiquez le certificat à utiliser.
On l'a importé en amont dans cette procédure

Indiquez l'adresse IP de votre AD,
son nom sous forme DC=mydomain etc ...

Si le compte que vous avez indiqué pour interroger l'AD n'est pas admin du schéma de l'AD, quand vos utilisateurs essayeront de se connecter, ils auront le message d'erreur
"Informations d'identification incorrectes. Réessayez"

L'article suivant permet de lever des doutes sur le process d'authent
http://support.citrix.com/article/CTX114999

Reportez les informations comme indiqué

On demandera ensuite le type de ferme.
Même si vous mettrez par la suite à disposition des applications XenApp, indiquez XenDesktop

Indiquez l'adresse de votre DDC

Au final cliquez sur Done

Si vous avez associé plusieurs cartes réseaux à votre Netscaler,
(ce qui n'est pas conseillé)
il faut lui indiquer quelle carte est sur quelle Vlan.
Pour cela allez sous le menu indiqué.

L'opération est décrite dans cette article :
http://support.citrix.com/article/CTX136926

Cliquez sur Add

Nommez le Vlan
Entrez son numéro
Associez la ou les cartes réseaux concernées