Habilitar a comunicação SSL entre o servidor EdgeSight e os seus agentes é um passo importante para garantir a segurança das informações do ambiente, incluindo senhas, cookies de sessão e desta maneira não comprometer a conta administrativa do ambiente. Vamos ver abaixo como!
Habilitar a comunicação SSL entre o servidor EdgeSight e os seus agentes é um passo importante para garantir a segurança das informações do ambiente, incluindo senhas, cookies de sessão e desta maneira não comprometer a conta administrativa do ambiente. Vamos ver abaixo como!
Habilitando e configurando o suporte a SSL
Ao instalar o Citrix EdgeSight, recebemos um alerta durante a verificação de pré-requisitos informando que o suporte a SSL não poderá ser usado pois não existe nenhum certificado SSL instalado no servidor, conforme imagem a seguir:
Imagem 1 – pré-requisitos de instalação
Para que o SSL possa ser utilizado, é necessário instalar um certificado SSL no servidor EdgeSight e configurar o IIS para exigir a comunicação SSL criptografada. Para isto precisamos executar o procedimento de geração e instalação do certificado SSL conforme veremos nos próximos passos:
- Abrir a console do IIS Manager e abrir a console “Server Certificates”:
Imagem 2 – IIS Manager - Para gerar o novo certificado SSL é necessário criarmos uma requisição de certificado SSL que será enviado para uma Autoridade Certificadora (CA). Clicar na opção “Create Certificate Request”
Imagem 3 – Create Certificate Request - Preencher as informações que serão utilizadas para gerar o novo certificado. O campo “Common Name” deve ser o FQDN do servidor EdgeSight:
Imagem 4 – Distinguished Name - No próximo passo escolhemos o tamanho da chave criptográfica, neste caso usaremos 2048:
Imagem 5 – Bit Length - Agora escolhemos um nome para o arquivo de requisição:
Imagem 6 – File Name - Com o arquivo de requisição em mãos, enviaremos à Autoridade Certificadora (CA) para que o certificado SSL seja gerado para o nosso servidor EdgeSight. Neste caso estamos usando uma CA Microsoft, mas poderíamos usar um certificado comercial, gerado por uma CA de mercado como por exemplo a VeriSign. Neste exemplo, acessamos a CA via browser e selecionamos a opção “Request a Certificate”:
Imagem 7 – Request a Certificate - Na próxima tela, selecionar a opção “Advanced Certificate Request”:
Imagem 8 – Advanced Certificate Request - Selecionar a opção “Submit a certificate request…”
Imagem 9 – Submit a Request - Agora devemos abrir o arquivo gerado no passo 5 com um editor de texto, e copiar todo o seu conteúdo:
Imagem 10 – Cert-Request - Colar o conteúdo da requisição de certificado na console da CA, no campo “Saved Request”:
Imagem 11 – Saved Request - No campo “Certificate Template”, selecionar a opção “Web Server”:
Imagem 12 – Web Server - Feito isso, faremos o download do certificado gerado na opção “Download Certificate”:
Imagem 13 – Download Certificate - Também faremos o download na opção “Download Certificate Chain”. Este arquivo será usado adiante:
Imagem 14 – Download Certificate Chain - 14. Agora vamos instalar o certificado gerado no servidor EdgeSight. Para isso acessamos a console IIS Manager novamente e selecionamos a opção “Complete Certificate Request”:
Imagem 15 – Complete Certificate Request - Na próxima tela, indicamos o arquivo do certificado gerado nos passos anteriores e o nome do servidor EdgeSight:Imagem 16 – CA Response
- Abrindo o certificado instalado, podemos perceber que existe uma mensagem de erro dizendo que o certificado não pode ser validado por uma CA confiável:
Imagem 17 – Certificado error - Para resolver este problema, vamos instalar o arquivo com a cadeia de certificados que fizemos download no passo 13. Dentro da console MMC com o Snap-in de certificados, selecionamos a pasta “Trusted Root Certificate Autorithies” e clicamos na opção “Import Certificate”:
Imagem 18 – Import Certificate Chain - A seguir selecionamos o arquivo que contém a cadeia de certificados:
Imagem 19 – Certificate Chain Import - Ao término da importação do certificado teremos a (CA) na lista de Autoridades Certificadoras Confiáveis:
Imagem 20 – Import Successful - Agora já podemos configurar o servidor EdgeSight para solicitar que as conexões sejam seguras, para isso na console IIS Manager selecionamos a opção “Bindings”:
Imagem 21 – Bindings - Em “Site Bindings” clicar na opção “Add”:
Imagem 22 – Add Bindings - Adicionar os parâmetros HTTPS e PORT conforme imagem a seguir e selecionar o certificado do servidor EdgeSight que será usado nas conexões seguras entre o servidor EdgeSight e o seus agentes:
Imagem 23 – Add site Bindings - Para finalizar a configuração, na opção “SSL Settings” configuramos o parâmetro “Require SSL”, conforme imagem a seguir:
Imagem 24 – Require SSL Settings - Feito isso, durante a instalação do servidor EdgeSight teremos todos os pré-requisitos validados, incluindo o suporte às conexões SSL:
Imagem 25 – Validação final - Agora podemos instalar os agentes com a opção de conexão segura através da linha de comando. Para isto incluímos a opção de “Server_Port=443” e “Connection_Flags=1” conforme imagem a seguir:
Imagem 26 – Instalação do agente - Após a instalação podemos verificar as configurações do agente através do painel de controle, na opção “Citrix System Monitoring Agent”:
Imagem 27 – Painel de Controle - Podemos ver que o agente agora está configurado para comunicação segura através de criptografia SSL :
Imagem 28 – Use SSL Encryption
O processo para configuração da comunicação segura entre o servidor EdgeSight e os seus agentes é um pouco trabalhoso, porém extremamente importante de ser realizado em ambientes que requerem um nível de segurança mais alto, protegendo assim as informações sensitivas com a comunicação criptografada usando SSL.