XXX供电局Citrix XenDesktop虚拟桌面平台PKI虚拟化组件实施方案

XXX供电局

虚拟桌面平台PKI/CA系统虚拟化组件实施方案

北京江南天安科技有限公司

Citrix XenDesktop

版本控制

版本 V1.0 时间 2013-12-25 编制/修订 湛志成 审核 批准 孔文峰 修改说明

目录

1. 概述......................................................................................................................... 4 2. 项目实施内容......................................................................................................... 4 3. 实施环境................................................................................................................. 4

3.1. 人员要求 ...................................................................................................... 4 3.2. Vmware平台环境要求 ................................................................................ 5 3.3. 使用环境建议 .............................................................................................. 5

3.3.1. 虚拟桌面配置要求............................................................................ 5 3.3.2. RDP协议结合智能卡移除锁定工作站策略 .. 错误！未定义书签。 3.3.3. 终端机“智能卡移除-锁定工作站”策略 .... 错误！未定义书签。 4. 实施详细方案......................................................................................................... 6 4.1. 实施时间计划 .............................................................................................. 6 4.2. 实施前工作准备 .......................................................................................... 7

4.2.1. USB KEY设备采购改造 ..................................................................... 7 4.2.2. 虚拟化桌面平台搭建........................................................................ 7 4.2.3. 桌面终端系统安装部署.................................................................... 7 4.2.4. AD域PKI改造 ................................................................................... 7 4.2.5. AD域策略准备 .................................................................................. 7 4.3. 实施部署详细步骤 ...................................................................................... 8

4.3.1. LRA终端PKI组件安装 ..................................................................... 8 4.3.2. LRA终端制证 .................................................................................... 8 4.3.3. AD域帐号属性修改 ........................................ 错误！未定义书签。 4.3.4. Citrix XenDesktop配置 ...................................................................... 8 4.3.5. 安装虚拟桌面模板.......................................... 错误！未定义书签。 4.3.6. 池设置.............................................................. 错误！未定义书签。 4.4. 检查列表 .................................................................................................... 35 4.5. 常见故障处理 ............................................................................................ 35 5. 项目风险及防范................................................................................................... 36

5.1. 部署后的影响范围 .................................................................................... 36 5.2. 可能的风险 ................................................................................................ 36 5.3. 风险防范 .................................................................................................... 37 6. 项目管理方法....................................................................................................... 37

1. 概述

广东电网公司于2005年进行了PKI/CA证书中心系统的部署并于2011年初完成改造，在全省范围内进行PKI/CA系统的推广。基于PKI智能卡的强身份验证在广东电网办公内网得到了广泛使用。

近几年以来，随着虚拟桌面技术的发展与逐步成熟，越来越多的组织机构开始使用虚拟桌面系统来解决当前桌面终端运行模式带来的问题，虚拟桌面系统构建了一个与硬件无关的用户桌面计算环境，通过对虚拟桌面进行集中的运行维护、管理控制，从而实现桌面终端系统的高安全性、安可用性和低管理维护性。

江南天安开发出PKI智能卡虚拟化组件，支持Citrix XenDesktop虚拟桌面平台实现PKI智能卡登录，加强了终端及虚拟桌面的安全。

2. 项目实施内容

? AD域配置Citrix管理模板

1) 配置瘦客户机Citrix智能卡登录策略 ? Citrix XenDesktop平台智能卡配置

1) XenDesktop IIS服务配置 2) XenDesktop配置

? LRA发证终端PKI虚拟化组件安装

1) 安装FU UKEY、FT UKEY驱动

2) 更新广东电网USB KEY证书使用助手 ? 瘦终端PKI虚拟化组件安装

1) 安装FU UKEY驱动

2) 安装广东电网USB KEY证书使用助手 3) 安装配置Receiver Enterprise

? Citrix XenDesktop桌面PKI虚拟化组件安装

1) 创建虚拟机模板

2) 在模板安装FU UKEY驱动，广东电网USB KEY证书使用助手

3) 部署模板

3. 实施环境

3.1. 人员要求

根据北京江南天安公司对整个项目的规划和人员的组织结构，我方建议供电

局建立与之相适应的项目组，以配合该项目的顺利实施，项目组组成人员如下表：

人员角色 项目负责人 PKI/CA系统管理员 虚拟桌面管理员 AD域管理员 桌面终端管理员 网络管理员 人数 1 1 1 1 1 1 职责 负责整个项目的事务性管理各方的工作 负责与PKI/CA相关的协调工作 负责与虚拟桌面相关的协调工作 负责与AD域相关的协调工作 负责与桌面终端相关的协调工作 负责与网络相关的协调工作 PKI虚拟化涉及PKI/CA系统、虚拟桌面系统、AD域系统、桌面终端系统，需要以下系统厂家协同实施，实施工程人员组成如下表：

应用系统厂家 PKI/CA系统 虚拟桌面系统 AD域系统 桌面终端系统

人数 1 1 1 1 职责 负责与PKI/CA的部署配置 负责与虚拟桌面的部署配置 负责与AD域相关的的部署配置 负责与桌面终端相关的的部署配置 3.2. Citrix XenDesktop平台环境要求

环境项目 Citrix XenDesktop版Citrix XenDesktop 5.6 本 虚拟桌面连接方式 Receiver连接，版本Citrix Receiver Enterprise 3.4 要求 3.3. 使用环境建议

3.3.1. 虚拟桌面配置要求 3.3.1.1. 问题描述

在测试过程中，发现若虚拟桌面的性能太低，会导致启动、注销等操作出现

卡顿现象。

3.3.1.2. 建议

CPU要求：2个CPU以上 内存要求：2G内存以上

3.3.2. Citrix Receiver策略模板密码传递设置 3.3.2.1. 问题描述

Citrix Receiver策略模板有“Local user name and password”配置项，通过启用“Enable pass-through authentication”和“Allow pass-through authentication for all ICA connectios”，可以在登录虚拟桌面时传递用户密码或PIN码，减少用户输入密码次数。

当用户使用用户名和密码登录瘦终端，同时使用智能卡登录Receiver时，在虚拟桌面登录窗口中传递的PIN码将是当前用户的密码，会导致虚拟桌面提示：“系统无法让您登录。尝试使用此智能卡时发生错误。您可以在事件中志中查找到详细信息。请向系统管理员报告此错误。”点击确定后会看到PIN码输入框中有传递的密码（PIN码长度为用户密码长度，管理员可以此判断）。

3.3.2.2. 建议

如果瘦客户机环境不是仅使用智能卡登录域（PKI单轨），取消“Local user name and password”，让用户在虚拟桌面登录窗口自行输入PIN码登录。

如果瘦客户机环境仅使用智能卡登录域，启用“Local user name and password”，可以让用户更便捷登录到虚拟桌面。

4. 实施详细方案

4.1. 实施时间计划

序号 1 2 3 项目阶段 项目启动 实施前准备工作 安装部署 开始日期 完成日期 4 5 6 测试与联调 上线切换 上线后技术支持 4.2. 实施前工作准备

4.2.1. USB KEY设备采购改造

广东电网目前内网环境使用的USB KEY为FT格式，不支持虚拟化。需要采购支持虚拟化的FU格式USB KEY。或者将FT格式USB KEY回收，由江南天安进行设备内部格式改造。 支持虚拟化USB KEY在广东电网USB KEY证书助手2.6.0.x中识别为：FU SCR2000A。

4.2.2. 虚拟化桌面平台搭建

搭建虚拟化桌面平台环境，按照虚拟平台使用智能卡设定配置平台环境。

4.2.3. 桌面终端系统安装部署

桌面终端安装部署操作系统，要求操作系统为微软windows xp/win7操作系统。

4.2.4. AD域PKI改造

AD域经过PKI改造，可以使用UKEY进行域登录。

4.2.5. AD域策略准备

在AD域中使用Active Directory用户和计算机管理工具，建立瘦客户机OU，将瘦客户机计算机移动到OU中，预备为该OU实施智能卡登录域策略。

4.3. 实施部署详细步骤

4.3.1. LRA终端PKI组件安装

详见《PKI虚拟化组件部署安装手册》

4.3.2. LRA终端制证

为FU UKEY颁发数字证书。

详见《广东电网公司PKI证书中心升级改造项目RA系统使用说明手册》

4.3.3. Citrix XenDesktop配置 4.3.3.1. 添加IIS web证书

1） 打开IIS管理器，在服务器主页，双击打开“服务器证书”

2） 在操作任务栏，点击“创建证书申请”

3） 输入证书信息，其中通用名称必须为服务器FQDN，点击“下一步”

4） 选择默认设置，点击“下一步”

5） 为证书申请指定文件名，点击“完成”

6） 提交给CA颁布证书，获得证书文件（过程略） 7） 点击“完成证书申请”

8） 指定获得的证书文件，点击“确定”

2) 点击“启动Powershell”

3) 在powershell命令行输入： Add-PSSnapincitrix*

set-brokersite –TrustRequestsSentToTheXmlServicePOrt $True

4.3.3.4. 修改xml端口

1) 以管理员身份运行命令行窗口命令CMD，进入citrix broker目录，默认为c:\\program files\\citrix\\broker\\serivce

2) 执行brokerservice.exe –show查看当前xml端口

3) 修改wi port为8080，wissl port为8443 Brokerservice.exe –wiport 8080 wisslport 8443

4.3.3.5. 配置interface

1) 导航窗口选择 Access -> Citrix Web Interface ->XenApp Services站点，选择PNAgent Site,点击“服务器场”

2) 选择“Farm1”，点击“编辑”

3) 修改XML通信端口为“8080”，点击“确定”

4) 点击“确定”完成修改

5) 点击“身份验证方法”

6) 按需要选择身份验证方法

4.3.4. 在AD域控配置citrix管理模板

1) 安装了receiver后，在receiver安装目录里有icaclient.adm的管理模板，可以通过配置管理模版开启citrix智能卡登录功能。文件位置默认是：c:\\Program Files\\Citrix\\ICA Client\\Configuration\\icaclient.adm。将该文件拷贝到域控服务器上。

4.3.5. Citrix 虚拟桌面VDA安装

创建虚拟机，安装UKEY驱动，CSP，虚拟桌面代理。

4.3.5.1. 加入域

（过程略）

4.3.5.2. 安装UKEY驱动

详见《PKI虚拟化组件部署安装手册》

4.3.5.3. 安装CSP软件

详见《PKI虚拟化组件部署安装手册》

4.3.5.4. 安装citrix虚拟桌面代理

1) 运行desktop光盘安装程序，点击“安装虚拟桌面代理”

2) 点击“高级安装”

3) 勾选“接受条款和条件”，点击“下一步”

4) 选择“虚拟桌面代理”，点击“下一步”

5) 取消“Citrix Receiver”选项，点击“下一步”

6) 根据需要选择是否启用“Personal vDisk”，默认不选择，点击“下一步”

7) 选择“手动输入控制器位置”，输入xen desktop 服务器FQDN地址

8) 如果正确解析xen desktop服务器，安装程序提示“已解析所有控制器地址”，

点击“确定”。

9) 选择虚拟桌面配置，点击“下一步“

10) 配置完成，点击“安装”

11) 安装成功，点击“关闭”，重新启动计算机。

4.3.6. 虚拟桌面部署（略）

根据用户需要，由Citrix Xendesktop运维人员部署虚拟桌面，并进行授权。

4.3.7. 瘦终端配置 4.3.7.1. 安装UKEY驱动

详见《PKI虚拟化组件部署安装手册》

4.3.7.2. 安装CSP软件

详见《PKI虚拟化组件部署安装手册》

4.3.7.3. 安装Citrix Receiver Enterprise3.4

1) 从官网下载citrix receiver enterprise3.4 （或使用安装包里的citrix receiver enterprise3.4）

2) 运行CitrixreceiverEnterprise.exe，点击“安装”

3) 安装程序自动安装完成 4) 点击托盘的receiver图标

5) 点击“高级”，展开选项

6) 右键“online plug-in”设置

7) 点击“更改服务器”

8) 输入DDC服务器地址，点击“更新”

9) 右键“online plug-in”设置，点击“选项”

10) 选择“智能卡登录”，点击“确定”

4.4. 检查列表

序号 1 2 3 4 5 6 7 8 9 检查项目 USB KEY格式改造 证书颁发 IIS web证书 IIS身份验证方法 配置XML信任 修改XML端口 配置interface 虚拟桌面性能 PKI虚拟桌面组件安装 要求策略 改造为FU 格式 为FU UKEY颁发证书 使用可信CA颁发IIS Web证书 配置额外的身份验证方法 Powershell添加XML信任 修改xml端口为8080 配置智能卡认证 配置Farm XML端口为8080 1、2核、2G内存以上 1、安装USB KEY驱动 2、安装广东电网USB KEY证书助手 配置receiver为智能卡登录 配置citrix策略模板 检查结果 10 11 瘦终端receiver配置 AD域策略设置 4.5. 常见故障处理

1) “系统无法让您登录。尝试使用此智能卡时发生错误。您可以在事件中志中查找到详细信息。请向系统管理员报告此错误。”点击确定后会看到PIN码输

入框中有录入的密码。

原因：瘦客户机应用了“Local user name and password”策略，用户使用用户名和密码登录瘦客户机，根据策略，用户密码作为PIN码传递虚拟桌面尝试登录，导致PIN码校验失败。

解决办法：重新输入正确PIN码登录。

5. 项目风险及防范

5.1. 部署后的影响范围

影响范围包括：使用瘦终端的用户，及通过终端连接虚拟桌面的业务系统

5.2. 可能的风险

1) 用户不能登录操作系统，无法使用业务系统

2) 用户锁定虚拟桌面前未保存作业，不能解锁导致未保存工作内容丢失

5.3. 风险防范

1) 在不同终端及虚拟池进行测试，验证智能卡登录的功能和稳定性； 2) 指导用户养成良好的工作习惯，在锁定工作站前保存作业；

3) 在出现智能卡登录异常的情况下，可开启用户名帐号登录策略，通过帐号名

密码方式登录系统，保存作业，重启计算机恢复正常使用环境。

6. 项目管理方法

6.1. 项目组织

项目领导委员会

项目领导委员会的任务是宏观监控整个项目的实施。对于项目进程中不可避免的重大变更，由项目领导委员会来批准这些变更的实施，从而确保项目最大限度地如期完成。我们建议组委会成员由：

? 供电局信息中心领导

? 北京江南天安科技有限公司技术部门主管领导

供电局项目经理

供电局项目经理需对项目的计划及实施负责。包括：

? 负责协调和安排信息系统管理部内部项目组成员工作 ? 为项目组织必要的资源 ? 变更控制的协调工作

? 负责审批、确认和签署项目提交文档

供电局实施小组

供电局实施小组职责包括：

? 进行监督、管理项目实施，及时反馈用户的意见和建议。 ? 接受安装、配置、客户化等项内容的技术转移实施任务

江南天安项目经理

北京江南天安科技有限公司项目经理需对项目的计划及实施负责。包括：

? 负责所有的项目组成员的工作安排

? 召开项目会议，定期向项目领导委员会提交工程进度报告 ? 组织必要的资源

? 保证工程按期提交验收 ? 变更控制的协调工作 ? 编制项目计划

? 根据已批准的计划对项目进度进行监督和汇报

江南天安实施小组

江南天安实施小组职责包括：

? 完成安装、配置、客户化等实施任务

江南天安培训小组

江南天安培训小组职责包括：

? 完成培训、技能传递任务

江南天安质量控制小组 江南天安质量控制组职责包括：

? 监督项目总体进度；

? 在保证项目实施进度的前提下，监督、控制项目实施的质量； ? 确保项目实施能够达到项目预期目标；

6.2. 文档管理

1) 2) 3) 4)

各方的文档范围控制规定由各方的项目负责人负责执行；

各个项目小组的负责人负责管理相关组成员的文档交换和使用事宜； 项目的最终文档需经各方审核后，由投标方提交招标方； 未经双方项目经理许可，双方小组成员不得擅自交换文档；

6.3. 项目变更管理

变更管理计划的目的是为在项目生命周期内进行任何必要的变更而确定一个处理流程，以对变更进行管理和维护。

变更管理计划由以下部分组成：

? 变更开始

变更请求可由项目组中任何一方提出。变更请求描述提出变更的经项目领导组评估。

? 变更评估

项目领导组批准进行变更的评估。评估将检查变更对项目各个因素的影响，

并在变更请求中将评估结果形成文档。评估者要特别注意决定：

? ? ? ? ? ? ? ? ?

对项目范围和项目进度的可能变更 对硬件和软件环境的变更 如果不实施变更的影响

对变更的任何其它可能的选择 与变更有关的所有成本包括：

对硬件和网络配置、能力和性能的影响 其它的软件产品 任何进度延迟的成本

任何其它版本、集成或测试周期的全部成本

? 对项目文档的变更 ? 其它的培训需求 ? 变更批准

对于这个项目所有的变更请求将在项目组讨论会议上讨论。所有变更请求需要双方项目经理的批准或拒绝。

? ? ? ?

拒绝

批准实施

要求详尽的效果分析、其它信息或澄清

讨论的结果通知所有相关人员，变更请求的状态在变更登记表中更新

? 变更实现

实现人员 (由项目经理安排) 要保证正确的实现和对变更的任何必要的接受测试。

不包括在变更实现内的人员根据需要将进行任何必要的变更验证。 ? 变更结束

结束变更请求之前，需要确认：

? 实施已完成

? 采取了其它正确的行动

? 根据需要产生了新的或更新的项目文档

6.4. 问题管理

当产生一个问题时，项目组成员有责任把问题报告给项目经理。项目经理要在项目问题日志中记录这个问题，并交给相关人员处理跟踪这个问题。

问题日志将如信息管理计划中所述在客户回顾会议和项目组会议上审阅。根据需要，问题将按客户和项目经理的判断在相关组织内升级。

6.5. 项目风险规避

甲乙双方在整个项目过程中应该保持了良好的沟通。对项目事项、进度、政策风险、存在的问题和对策、文档质量要求等进行有效沟通，针对项目变化及时做出相应的调整。

甲乙双方需要保证人力资源的配备，如果部分项目成员出现意外情况，没有按时完成工作计划时，应及时投入后备人员参与项目，避免造成进度延误。

6.6. 项目实施质量保证

项目质量管理主要从满足项目客户要求的角度制定质量目标和质量计划，并考虑相关的质量保证和质量控制措施。

质量保证主要考虑在方案设计和实施过程中，对实施过程进行标准化，为提高改善确保实施质量提供了统一的质量标准。

本文来源：https://www.bwwdw.com/article/68n3.html