配置 Ivanti Cloud Services Appliance

Ivanti Cloud Services Appliance (CSA) 是一款通过 Internet 提供安全通信和功能的 Internet 设备。它就像是一个集中点，控制台和受管设备通过各自的 Internet 连接在此处相连，即使以上设备在防火墙后或使用代理访问 Internet 时也是如此。

阅读此主题后，您将了解以下内容：

配置核心服务器以使用云服务设备
管理客户端证书
创建按需的远程控制代理数据包

访问 Ivanti 社区的 CSA 文章，获取更多 CSA 信息：

使用多台云服务设备

可以安装多台 CSA。例如，可以安装多台 CSA 来平衡工作负载。配置核心服务器来使用多台 CSA 时，受管设备可以使用任意配置的 CSA 连接至核心。受管设备使用的 CSA 取决于设备代理配置中指定的 CSA。没有自动负载平衡或故障转移。如果要平衡 CSA 负载，为每台 CSA 创建自定义代理配置，然后有选择地部署这些代理配置。

配置核心服务器以使用云服务设备

Cloud Services Appliance (CSA) 可以作为 VMWare 虚拟机映像单独购买。安装 CSA 后，需要配置核心服务器才能使用。

仅核心服务器的管理控制台提供配置 > 管理云服务设备选项。其他控制台没有此选项。仅具有 Ivanti 管理员权限的用户可以修改 CSA 配置。

将云服务设备连接至核心服务器

在核心服务器的管理控制台中，单击配置 > 管理云服务设备。
在云服务设备选项卡上，指定 CSA 信息。
如果 CSA 使用不同于公共地址的内部地址（比如处于 DMZ 类型的环境中），则指定 CSA 内部名称和 CSA 内部 IP 地址。
如果核心服务器将通过代理连接至 CSA，则选择使用代理并指定代理设置。
单击应用。如果 CSA 设置正确，新的 CSA 将显示在列表中。

而且可以选择列表中的任意 CSA，并在右侧更改其设置。完成更改后，单击应用。核心服务器将连接至 CSA，然后通过在 CSA 上安装核心服务器的安装证书来注册 CSA。

管理客户端证书

要通过 CSA 进行连接，每台受管设备都需要有效的数字证书。如果您的核心已启用基于证书的客户端安全，受管设备上的 Ivanti 代理也需要有效证书才能解密安全核心数据。这些证书在代理安装过程中自动生成，但默认为未批准状态，可防止通过 CSA 进行通信以及安全核心数据解密。

可通过禁止或删除这些设备证书，管理已被授予证书的设备列表。使用搜索框轻松筛选列表。

批准设备证书，允许 CSA 访问和安全核心数据解密。核心服务器默认在未批准的证书数量达到 10 个或以上时通知您。可在对话框底部自定义或禁用该通知。

禁止设备证书以暂时停止其使用 CSA 与核心服务器通信或解密安全核心数据。如果要恢复访问，可在稍后取消禁止。

如果删除设备证书，则会将其从列表中移除。证书仍保留在设备上。如果该设备在以后尝试重新连接或运行安全扫描（触发重新连接尝试），证书将重新出现在列表中。

禁止或删除的设备如果位于与核心服务器相同的网络，且动态确定连接路由选项的设置在客户端连接性设置下的代理设置工具中已经选中，则仍可以与核心服务器通信。

还有一个选项可自动批准新证书。不推荐使用该选项，因为它将为所有新设备提供核心访问权限。但是，在一些情况下，管理员可能需要临时启用该选项，如注册大量设备时。

批准、禁止或删除设备证书

在核心服务器的管理控制台中，单击配置 > 管理云服务设备。
在管理客户端证书选项卡中，选择要批准、禁止或删除的设备。可以使用 Shift ＋单击或者 Ctrl ＋单击一次选择多个设备。
单击批准所选项批准所选设备证书。
单击禁止所选项禁止所选设备证书。
单击删除所选项将所选设备证书从核心服务器删除。
完成后，单击应用。

创建按需的远程控制代理数据包

您可以创建一个按需的远程控制代理数据包，尚未配置成通过 CSA 进行连接的设备可下载该数据包。由此便可通过 CSA 远程控制设备。

远程控制可下载代理分为两部分：

要使用的 CSA。
指定允许使用的远程控制功能的远程控制设置文件

创建远程控制数据包时，确保在安全设置中选择本地模板或 Windows NT 安全。CSA 不支持集成安全。

创建按需的远程控制代理

单击配置 > 管理云服务设备。
在远程控制代理选项卡中，选择要使用的 CSA 和远程控制设置。
单击创建。
指定要保存远程控制代理的位置。
单击保存。