Blog Agility

Configurando o Citrix EdgeSight para comunicação SSL com os agentes

Configurando o Citrix EdgeSight para comunicação SSL com os agentes

01Habilitar a comunicação SSL entre o servidor EdgeSight e os seus agentes é um passo importante para garantir a segurança das informações do ambiente, incluindo senhas, cookies de sessão e desta maneira não comprometer a conta administrativa do ambiente. Vamos ver abaixo como!


Habilitar a comunicação SSL entre o servidor EdgeSight e os seus agentes é um passo importante para garantir a segurança das informações do ambiente, incluindo senhas, cookies de sessão e desta maneira não comprometer a conta administrativa do ambiente. Vamos ver abaixo como!


Habilitando e configurando o suporte a SSL

Ao instalar o Citrix EdgeSight, recebemos um alerta durante a verificação de pré-requisitos informando que o suporte a SSL não poderá ser usado pois não existe nenhum certificado SSL instalado no servidor, conforme imagem a seguir:

02
Imagem 1 – pré-requisitos de instalação

Para que o SSL possa ser utilizado, é necessário instalar um certificado SSL no servidor EdgeSight e configurar o IIS para exigir a comunicação SSL criptografada. Para isto precisamos executar o procedimento de geração e instalação do certificado SSL conforme veremos nos próximos passos:

 

  1. Abrir a console do IIS Manager e abrir a console “Server Certificates”:03
    Imagem 2 – IIS Manager 
  2. Para gerar o novo certificado SSL é necessário criarmos uma requisição de certificado SSL que será enviado para uma Autoridade Certificadora (CA). Clicar na opção “Create Certificate Request”04
    Imagem 3 – Create Certificate Request 
  3. Preencher as informações que serão utilizadas para gerar o novo certificado. O campo “Common Name” deve ser o FQDN do servidor EdgeSight:05
    Imagem 4 – Distinguished Name 
  4. No próximo passo escolhemos o tamanho da chave criptográfica, neste caso usaremos 2048:06
    Imagem 5 – Bit Length 
  5. Agora escolhemos um nome para o arquivo de requisição:07
    Imagem 6 – File Name
     
  6. Com o arquivo de requisição em mãos, enviaremos à Autoridade Certificadora (CA) para que o certificado SSL seja gerado para o nosso servidor EdgeSight. Neste caso estamos usando uma CA Microsoft, mas poderíamos usar um certificado comercial, gerado por uma CA de mercado como por exemplo a VeriSign. Neste exemplo, acessamos a CA via browser e selecionamos a opção “Request a Certificate”:08
    Imagem 7 – Request a Certificate 
  7. Na próxima tela, selecionar a opção “Advanced Certificate Request”:09
    Imagem 8 – Advanced Certificate Request
     
  8. Selecionar a opção “Submit a certificate request…”09
    Imagem 9 – Submit a Request 
  9. Agora devemos abrir o arquivo gerado no passo 5 com um editor de texto, e copiar todo o seu conteúdo:11
    Imagem 10 – Cert-Request 
  10. Colar o conteúdo da requisição de certificado na console da CA, no campo “Saved Request”:12
    Imagem 11 – Saved Request 
  11. No campo “Certificate Template”, selecionar a opção “Web Server”:13
    Imagem 12 – Web Server 
  12. Feito isso, faremos o download do certificado gerado na opção “Download Certificate”:14
    Imagem 13 – Download Certificate 
  13. Também faremos o download na opção “Download Certificate Chain”. Este arquivo será usado adiante:15
    Imagem 14 – Download Certificate Chain 
  14. 14. Agora vamos instalar o certificado gerado no servidor EdgeSight. Para isso acessamos a console IIS Manager novamente e selecionamos a opção “Complete Certificate Request”:16
    Imagem 15 – Complete Certificate Request 
  15. Na próxima tela, indicamos o arquivo do certificado gerado nos passos anteriores e o nome do servidor EdgeSight:17Imagem 16 – CA Response
  16. Abrindo o certificado instalado, podemos perceber que existe uma mensagem           de erro dizendo que o certificado não pode ser validado por uma CA confiável:18
    Imagem 17 – Certificado error 
  17. Para resolver este problema, vamos instalar o arquivo com a cadeia de certificados que fizemos download no passo 13. Dentro da console MMC com o Snap-in de certificados, selecionamos a pasta “Trusted Root Certificate Autorithies” e clicamos na opção “Import Certificate”:19
    Imagem 18 – Import Certificate Chain 
  18. A seguir selecionamos o arquivo que contém a cadeia de certificados:20
    Imagem 19 – Certificate Chain Import 
  19. Ao término da importação do certificado teremos a (CA) na lista de Autoridades Certificadoras Confiáveis:21
    Imagem 20 – Import Successful 
  20. Agora já podemos configurar o servidor EdgeSight para solicitar que as conexões sejam seguras, para isso na console IIS Manager selecionamos a opção “Bindings”:22
    Imagem 21 – Bindings 
  21. Em “Site Bindings” clicar na opção “Add”:23
    Imagem 22 – Add Bindings 
  22. Adicionar os parâmetros HTTPS e PORT conforme imagem a seguir e selecionar o certificado do servidor EdgeSight que será usado nas conexões seguras entre o servidor EdgeSight e o seus agentes:24
    Imagem 23 – Add site Bindings
  23. Para finalizar a configuração, na opção “SSL Settings” configuramos o parâmetro “Require SSL”, conforme imagem a seguir:25
    Imagem 24 – Require SSL Settings 
  24. Feito isso, durante a instalação do servidor EdgeSight teremos todos os pré-requisitos validados, incluindo o suporte às conexões SSL:26
    Imagem 25 – Validação final 
  25. Agora podemos instalar os agentes com a opção de conexão segura através da linha de comando. Para isto incluímos a opção de “Server_Port=443” e “Connection_Flags=1” conforme imagem a seguir:27
    Imagem 26 – Instalação do agente 
  26. Após a instalação podemos verificar as configurações do agente através do painel de controle, na opção “Citrix System Monitoring Agent”:28
    Imagem 27 – Painel de Controle 
  27. Podemos ver que o agente agora está configurado para comunicação segura através de criptografia SSL :29
    Imagem 28 – Use SSL Encryption

O processo para configuração da comunicação segura entre o servidor EdgeSight e os seus agentes é um pouco trabalhoso, porém extremamente importante de ser realizado em ambientes que requerem um nível de segurança mais alto, protegendo assim as informações sensitivas com a comunicação criptografada usando SSL.