NetScaler y los TLS

Hola a todos,

He tenido un caso un tanto curioso y bastante raro de explicar, ya que hemos empezado por un error, y hemos acabado en otros (creo que es lo típico que cuando solucionas un error, aparecen otros que estaban latentes en background).

Tengo una arquitectura XenDesktop 7.8 (XD) con StoreFront 3.6 (SF) y un NetScaler Gateway 11.1 (NS), todo por HTTPS con un RootCA local y Wildcard para el HTTPS externo.

Me indican que cuando intentan acceder por Receiver, no es posible hacerlo, así que nos ponemos manos a la obra para ver que ocurre.

Modificamos la configuración de Storefront en NetScaler. Modificamos la configuración para que vaya por puerto no seguro (pasamos de https a http), probamos y funciona por Receiver, pero al intentar acceder por Receiver Web, nos muestra la siguiente URL con la pantalla del navegador en blanco.

https://MI_IP_PUBLICA/cgi/setclient?wica

El tema es raro, ya que se ha utilizado el Wizard para generar la conexión NS-SF, y esta siempre funciona perfectamente…. pero esta vez no…

Volvemos a la configuración de todo por HTTPS y volvemos a comprobar que desde Receiver no funciona, pero mi sorpresa es comprobar que por Web, tampoco…

Inicio una búsqueda por Google, y encuentro que desde hace algún tiempo, IIS no es compatible con TLS1.2, aquí tenemos 2 opciones a llevar a cabo:

  • Deshabilitar TLS1.2 en NS: Este cambio, no es posible, ya que poco a poco quieren introducir más aplicaciones a balancear en NS, y algunas son servidores antiguos, con TLS 1.0 y TLS1.2
  • Modificar IIS para que acepte TLS1.2: Este es el cambio a realizar, para no tener que tocar un elemento de red en DMZ y que ha futuro afecte a otros servicios.

Para llevar a cabo la configuración, realizaremos 2 acciones:

  1. Modificación del registro de Windows, para que acepte TLS1.2:
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "Enabled" -value 1 -PropertyType "DWord"
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

Modificar las politicas PL_WB y PL_OS de NetScaler y en la pestaña de Publish Application, modificar la URL de https://MiStoreFront/ a http://MiStoreFront en el campo de Web Interface.

Deja un comentario