Citrix DDC添加443端口證書通過SSL加密訪問

在思傑桌面雲的默認情況下，所有Store Front到ddc的通信是通過80端口訪問的，若要改成通過ssl加密的443端口，就要爲443端口綁定證書。

綁定證書首先得有證書，創建證書的步驟可以參考我之前寫的博客，關於爲StoreFront配置證書的操作方法。如果你不知道如何創建證書，請先閱讀下文。
https://blog.51cto.com/181647568/2478022
操作方法是一樣的，區別在於域名的不同。所以在申請證書寫通用名稱的時候應該要填寫ddc的域名。
還有一點是，如果你試圖在ddc上去創建證書或綁定端口，那麼要知道和sf服務器不一樣，默認情況下ddc沒有安裝iis控制檯。所以如果想要圖形化界面完成這個操作，可以安裝iis控制檯，並且綁定證書於443端口。綁定完可以刪除它，也可以留在那裏，這不會影響ddc的工作。
在我的測試環境中，我會有兩臺ddc，其中一臺安裝了iis控制檯，而另外一臺則什麼額外的東西都沒有安裝。第一臺很簡單，我申請了證書，並且通過綁定，綁定在了443端口上。

這裏主要說的是第二種方法，在沒有iis的情況下，通過命令行來完成操作。當然證書還是通過iis向ca申請的，不過ddc上沒有安裝iis控制檯，你可以找一臺擁有iis的機器來完成這個操作，也可以通過其他手段來獲取證書。如果在沒有的環境下，桌面雲中一定包含storefront，所以我們完全可以在storefront中完成證書的申請，然後導入到ddc中。

假設已經在一臺iis上爲兩臺ddc申請了證書，然後將它們導出。

填寫導出的pfx文件路徑和密碼。

現在把這個pfx文件放到ddc中去吧。

雙擊pfx文件並且選擇本地計算機，點擊下一步。


這裏填寫密碼並且勾選紅框部分。點擊下一步。

在最後一個框內點擊完成。
如果要查看這個證書，可以運行命令mmc打開控制檯。並且按ctrl+m。


可以注意的是pfx導入的證書，它的圖案的左上角是有一把小鑰匙的。
接下來就要開始使用命令來爲443端口綁定證書了。
綁定證書的一系列命令如下：(cmd裏運行)

netsh http show sslcert  //查看本機ssl綁定端口的情況

//添加端口綁定
netsh http add sslcert ipport=<ip>:<port> certhash=<cer.hash> appid=<guid>
//例如：
netsh http add sslcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00112233-4455-6677-8899-AABBCCDDEEFF}

//刪除端口綁定
netsh httpdelete sslcert ipport=<ip>:<port>

詳細可以參考
https://www.cnblogs.com/scoluo/p/10190611.html

其中添加的命令包含兩個參數，其中certhash的獲取方法爲：
用上文提到的mmc找到證書，雙擊，在“詳細信息”選項卡中找到指紋。

這裏的指紋每隔兩個字都會有一個空格，不過作爲參數的時候要把空格去掉。

還有一個是appid，這個參數需要填一個guid。關於這個guid的值，網上有兩個說法。
1是說這個爲"Citrix Broker Service"的Product GUID。這個值可以在WMI中查到。
poweshell命令

Get-WmiObject Win32_Product | where {$_.name -like "*broker*"}

用cmd命令獲取

wmic product where Name="Citrix Broker Service" get IdentifyingNumber

還有一說是這個guid取的是註冊表中的Citrix Broker Service中子項的值。

這個方法是用註冊表，通過搜索“Citrix Broker Service”獲取的，GUID即是文件路徑中文件夾的名字。
用powershell獲取

Get-ChildItem HKLM:\software\Classes\Installer\Products | Get-ItemProperty | where {$_.ProductName -match "Citrix Broker Service"} | foreach {$_.PSPath.ToString().Split("\")[6]}

在實際中，我發現可以填任何的guid都不會影響，不過推薦使用第二種方法，從註冊表中獲取，因爲這個是官方手冊裏寫的。

現在命令全了，可以使用netsh加證書了。
（開始排錯）
未能添加SSL證書，錯誤：1312，指定的登錄會話不存在。可能已被終止

發生這個錯誤可能是因爲在IIS完成證書申請的時候，下載的證書加密類型選錯了。我們是用Base64加密申請的，下載下來的證書也得是Base64加密的。需要重新的從CA上下載證書並且導出pfx。
（排錯完成）

證書已經加完了，現在到其他設備上對應的修改一下配置吧。
StoreFrone：
開啓Studio

這裏先把Studio的傳輸類型改爲https。
以下改

如果有配置gateway，需要把配置中gateway的sta也改成https的。
同理netscaler上也要改。

完成。現在可以在storefront和gateway中查看桌面是否能夠連接上。