XXX供电局
虚拟桌面平台PKI/CA系统虚拟化组件实施方案
北京江南天安科技有限公司
Citrix XenDesktop
版本控制
版本 V1.0 时间 2013-12-25 编制/修订 湛志成 审核 批准 孔文峰 修改说明
目录
1. 概述......................................................................................................................... 4 2. 项目实施内容......................................................................................................... 4 3. 实施环境................................................................................................................. 4
3.1. 人员要求 ...................................................................................................... 4 3.2. Vmware平台环境要求 ................................................................................ 5 3.3. 使用环境建议 .............................................................................................. 5
3.3.1. 虚拟桌面配置要求............................................................................ 5 3.3.2. RDP协议结合智能卡移除锁定工作站策略 .. 错误!未定义书签。 3.3.3. 终端机“智能卡移除-锁定工作站”策略 .... 错误!未定义书签。 4. 实施详细方案......................................................................................................... 6 4.1. 实施时间计划 .............................................................................................. 6 4.2. 实施前工作准备 .......................................................................................... 7
4.2.1. USB KEY设备采购改造 ..................................................................... 7 4.2.2. 虚拟化桌面平台搭建........................................................................ 7 4.2.3. 桌面终端系统安装部署.................................................................... 7 4.2.4. AD域PKI改造 ................................................................................... 7 4.2.5. AD域策略准备 .................................................................................. 7 4.3. 实施部署详细步骤 ...................................................................................... 8
4.3.1. LRA终端PKI组件安装 ..................................................................... 8 4.3.2. LRA终端制证 .................................................................................... 8 4.3.3. AD域帐号属性修改 ........................................ 错误!未定义书签。 4.3.4. Citrix XenDesktop配置 ...................................................................... 8 4.3.5. 安装虚拟桌面模板.......................................... 错误!未定义书签。 4.3.6. 池设置.............................................................. 错误!未定义书签。 4.4. 检查列表 .................................................................................................... 35 4.5. 常见故障处理 ............................................................................................ 35 5. 项目风险及防范................................................................................................... 36
5.1. 部署后的影响范围 .................................................................................... 36 5.2. 可能的风险 ................................................................................................ 36 5.3. 风险防范 .................................................................................................... 37 6. 项目管理方法....................................................................................................... 37
1. 概述
广东电网公司于2005年进行了PKI/CA证书中心系统的部署并于2011年初完成改造,在全省范围内进行PKI/CA系统的推广。基于PKI智能卡的强身份验证在广东电网办公内网得到了广泛使用。
近几年以来,随着虚拟桌面技术的发展与逐步成熟,越来越多的组织机构开始使用虚拟桌面系统来解决当前桌面终端运行模式带来的问题,虚拟桌面系统构建了一个与硬件无关的用户桌面计算环境,通过对虚拟桌面进行集中的运行维护、管理控制,从而实现桌面终端系统的高安全性、安可用性和低管理维护性。
江南天安开发出PKI智能卡虚拟化组件,支持Citrix XenDesktop虚拟桌面平台实现PKI智能卡登录,加强了终端及虚拟桌面的安全。
2. 项目实施内容
? AD域配置Citrix管理模板
1) 配置瘦客户机Citrix智能卡登录策略 ? Citrix XenDesktop平台智能卡配置
1) XenDesktop IIS服务配置 2) XenDesktop配置
? LRA发证终端PKI虚拟化组件安装
1) 安装FU UKEY、FT UKEY驱动
2) 更新广东电网USB KEY证书使用助手 ? 瘦终端PKI虚拟化组件安装
1) 安装FU UKEY驱动
2) 安装广东电网USB KEY证书使用助手 3) 安装配置Receiver Enterprise
? Citrix XenDesktop桌面PKI虚拟化组件安装
1) 创建虚拟机模板
2) 在模板安装FU UKEY驱动,广东电网USB KEY证书使用助手
3) 部署模板
3. 实施环境
3.1. 人员要求
根据北京江南天安公司对整个项目的规划和人员的组织结构,我方建议供电
局建立与之相适应的项目组,以配合该项目的顺利实施,项目组组成人员如下表:
人员角色 项目负责人 PKI/CA系统管理员 虚拟桌面管理员 AD域管理员 桌面终端管理员 网络管理员 人数 1 1 1 1 1 1 职责 负责整个项目的事务性管理各方的工作 负责与PKI/CA相关的协调工作 负责与虚拟桌面相关的协调工作 负责与AD域相关的协调工作 负责与桌面终端相关的协调工作 负责与网络相关的协调工作 PKI虚拟化涉及PKI/CA系统、虚拟桌面系统、AD域系统、桌面终端系统,需要以下系统厂家协同实施,实施工程人员组成如下表:
应用系统厂家 PKI/CA系统 虚拟桌面系统 AD域系统 桌面终端系统
人数 1 1 1 1 职责 负责与PKI/CA的部署配置 负责与虚拟桌面的部署配置 负责与AD域相关的的部署配置 负责与桌面终端相关的的部署配置 3.2. Citrix XenDesktop平台环境要求
环境项目 Citrix XenDesktop版Citrix XenDesktop 5.6 本 虚拟桌面连接方式 Receiver连接,版本Citrix Receiver Enterprise 3.4 要求 3.3. 使用环境建议
3.3.1. 虚拟桌面配置要求 3.3.1.1. 问题描述
在测试过程中,发现若虚拟桌面的性能太低,会导致启动、注销等操作出现