Produktdokumentation
XenMobile
Server 10
PDF anzeigen

Anmeldeinformationsanbieter

August 12, 2022
Beitrag von:
C C

Anmeldeinformationsanbieter sind die Zertifikatkonfigurationen, die Sie in den verschiedenen Teilen des XenMobile-Systems verwenden. Anmeldeinformationsanbieter definieren die Quellen, Parameter und Lebenszyklen von Zertifikaten. Die entsprechenden Vorgänge finden unabhängig davon statt, ob Zertifikate Teil der Gerätekonfiguration oder eigenständig sind (d. h. per Push auf Geräte übertragen werden).

Die Geräteregistrierung schränkt den Lebenszyklus von Zertifikaten ein. Das bedeutet, dass vor einer Registrierung keine Zertifikate von XenMobile ausgegeben werden, allerdings eventuell im Rahmen der Registrierung. Außerdem werden Zertifikate, die von der internen PKI im Zusammenhang mit einer Registrierung ausgegeben wurden, gesperrt, wenn die Registrierung widerrufen wird. Nach dem Ende der Verwaltungsbeziehung verbleiben keine gültigen Zertifikate.

您可以在一张Anmeldeinformationsanbieter-Konfiguration an verschiedenen Stellen verwenden, eine Konfiguration kann daher beliebig viele Zertifikate zugleich steuern. Dies läuft dann bei der Bereitstellungsressource und der Bereitstellung zusammen. Wenn beispielsweise der Anmeldeinformationsanbieter P auf Gerät D im Rahmen der Konfiguration C bereitgestellt wird, gelten die Ausstellungseinstellungen von P für das auf Gerät D bereitgestellte Zertifikat. Gleichermaßen gelten die Erneuerungseinstellungen von D, wenn C aktualisiert wird. Die Sperreinstellungen für D gelten, wenn C gelöscht oder wenn D widerrufen wird.

Dies bedeutet, dass der Anmeldeinformationsanbieter in XenMobile Folgendes bestimmt:

  • Die Quelle für Zertifikate.
  • Die Methode des Bezugs von Zertifikaten: Signieren eines neuen Zertifikats oder Abruf (Wiederherstellung) eines vorhandenen Zertifikat-/Schlüsselpaars.
  • Die Parameter für die Ausstellung/Wiederherstellung von Zertifikaten. Beispielsweise CSR-Parameter wie Schlüssellänge, Schlüsselalgorithmus und Zertifikaterweiterungen.
  • Die Art und Weise, in der Zertifikate auf Geräten bereitgestellt werden.
  • Die Sperrbedingungen. Zwar werden alle Zertifikate bei Beenden der Verwaltungsbeziehung in XenMobile gesperrt, durch die Konfiguration kann jedoch auch eine frühere Sperrung festgelegt sein. Zum Beispiel kann die Konfiguration festlegen, dass ein Zertifikat widerrufen wird, wenn die zugehörige Gerätekonfiguration gelöscht wird. Außerdem kann unter bestimmten Bedingungen die Sperrung eines Zertifikats in XenMobile an die Back-End-PKI (Public Key-Infrastruktur) gesendet werden. Das bedeutet, dass die Zertifikatsperrung in XenMobile eine Zertifikatssperrung in der PKI verursachen kann.
  • Erneuerungseinstellungen Zertifikate, die über einen bestimmten Anmeldeinformationsanbieter bezogen werden, können automatisch erneuert werden, wenn sie kurz vor dem Ablauf stehen. Unabhängig davon können Benachrichtigungen ausgegeben werden, wenn sich das Ablaufdatum nähert.

Welche Konfigurationsoptionen verfügbar sind, hängt hauptsächlich davon ab, welche PKI-Entität und Ausstellungsmethode Sie für einen Anmeldeinformationsanbieter ausgewählt haben.

Methoden der Zertifikatausstellung

Sie können ein Zertifikat durch Signieren erhalten, dies wird als Ausstellungsmethode bezeichnet.

Bei dieser Methode werden ein privater Schlüssel und eine Zertifikatsignieranforderung (CSR) erstellt und die CSR zum Signieren an eine Zertifizierungsstelle (ZS) übermittelt. XenMobile unterstützt die Signiermethode sowohl für MS-Zertifikatdiensteentitäten als auch eigenverwaltete Zertifizierungsstellen.

Ein Anmeldeinformationsanbieter verwendet die Signiermethode für die Zertifikatausstellung.

Zertifikatbereitstellung

Es有请来两Arten der ZertifikatbereitstellungXenMobile: zentral und verteilt. Im verteilten Modus wird Simple Certificate Enrollment Protocol (SCEP) verwendet. Dies ist nur möglich, wenn der Client das Protokoll unterstützt (nur iOS). Der verteilte Modus ist in bestimmten Situationen verbindlich.

Damit ein Anmeldeinformationsanbieter die verteilte Bereitstellung mit SCEP unterstützt, ist ein spezieller Konfigurationsschritt, nämlich das Einrichten von Registrierungsstellenzertifikaten (RA-Zertifikate), erforderlich. RA-Zertifikate sind erforderlich, weil XenMobile bei Verwendung des SCEP-Protokolls als Delegate (erweiterte Registrierungsstelle) für die tatsächliche Zertifizierungsstelle fungiert. XenMobile muss dem Client nachweisen, dass die Berechtigung hierzu vorliegt. Diese Berechtigung ist durch das Hochladen der o. g. Zertifikate für XenMobile gegeben.

Es sind zwei unterschiedliche Zertifikatrollen erforderlich (die allerdings durch ein einzelnes Zertifikat erfüllt werden können): RA-Signatur und RA-Verschlüsselung. Für diese Rollen gilt Folgendes:

  • Das RA-Signaturzertifikat muss eine digitale Signatur mit X.509-Schlüsselverwendung haben.
  • Das RA-Verschlüsselungszertifikat muss die X.509-Schlüsselchiffrierung haben.

Zum Konfigurieren von RA-Zertifikaten für einen Anmeldeinformationsanbieter laden Sie die Zertifikate in XenMobile hoch und verknüpfen sie mit dem Anmeldeinformationsanbieter.

静脉Anmeldeinformationsanbieter unterstutzt已经死去rteilte Bereitstellung nur, wenn er ein für Zertifikatrollen konfiguriertes Zertifikat hat. Jeder Anmeldeinformationsanbieter kann so konfiguriert werden, dass er den zentralen Modus oder den verteilten Modus bevorzugt oder den verteilten Modus erfordert. Das Resultat hängt vom Kontext ab: Unterstützt dieser den verteilten Modus nicht und der Modus wird vom Anmeldeinformationsanbieter erfordert, schlägt die Bereitstellung fehl. Erfordert der Kontext den verteilten Modus, aber der Anmeldeinformationsanbieter unterstützt diesen nicht, schlägt die Bereitstellung fehl. In allen anderen Fällen wird der als bevorzugt festgelegte Modus verwendet.

Die folgende Tabelle zeigt die SCEP-Verteilung in XenMobile:

Kontext SCEP unterstützt SCEP erforderlich
iOS-Profildienst Ja Ja
Registrierung für die iOS-Mobilgeräteverwaltung Ja Nein
iOS-Konfigurationsprofile Ja Nein
SHTP-Registrierung Nein Nein
Konfigurieren von SHTP Nein Nein
Registrierung von Windows Tablet Nein Nein
Konfiguration von Windows Tablet Nein, mit Ausnahme der Wi-Fi-Richtlinie, die für Windows 10 und Windows 11 unterstützt wird Nein

Zertifikatsperre

Es gibt drei Arten der Sperre.

  • Interne SperreDie interne Sperre wirkt sich auf den von XenMobile gepflegten Zertifikatstatus aus. XenMobile berücksichtigt diesen Status beim Bewerten eines vorgelegten Zertifikats und beim Bereitstellen von OCSP-Statusinformationen für ein Zertifikat. Die Konfiguration des Anmeldeinformationsanbieters bestimmt, wie sich diverse Bedingungen auf diesen Status auswirken. Beispielsweise kann durch den Anmeldeinformationsanbieter festgelegt sein, dass Zertifikate als gesperrt gekennzeichnet werden, wenn sie vom Gerät gelöscht wurden.
  • Extern weitergegebene Sperre:Eine Sperrung dieser Art (auch “Revocation XenMobile”) gilt für von einer externen PKI bezogene Zertifikate. Das Zertifikat wird in der PKI gesperrt, wenn es unter den in der Konfiguration des Anmeldeinformationsanbieters festgelegten Bedingungen intern von XenMobile gesperrt wird.
  • Extern durchgeführte Sperre:Eine Sperrung dieser Art (auch “Revocation PKI”) gilt ebenfalls nur für von einer externen PKI bezogene Zertifikate. Beim Auswerten des Status von Zertifikaten fragt XenMobile diesen bei der PKI ab. Ist das Zertifikat gesperrt, wird es von XenMobile intern ebenfalls gesperrt. Bei diesen Methoden wird das OCSP-Protokoll verwendet.

Diese drei Arten schließen einander nicht aus, sondern ergänzen einander. Eine externe Sperre kann eine interne Sperre zur Folge haben. Eine interne Sperre wirkt sich möglicherweise auf eine externe Sperre aus.

Zertifikaterneuerung

Eine Zertifikaterneuerung besteht aus der Sperre des bestehenden Zertifikats und der Ausstellung eines neuen Zertifikats.

In XenMobile wird vor Sperrung des vorhandenen Zertifikats versucht, das neue Zertifikat abzurufen, um eine Dienstunterbrechung zu vermeiden, wenn die Ausstellung fehlschlägt. Bei verteilter (SCEP-gestützter) Bereitstellung erfolgt die Sperrung auch erst, wenn das Zertifikat erfolgreich auf einem Gerät installiert wurde. Andernfalls erfolgt die Sperrung, bevor das neue Zertifikat an das Gerät gesendet wird. Die Sperrung ist unabhängig vom Erfolg oder Fehlschlagen der Zertifikatinstallation.

Die Sperrungskonfiguration erfordert die Angabe eines bestimmten Zeitraums (in Tagen). Wenn ein Gerät eine Verbindung herstellt, wird vom Server geprüft, ob dasNotAfter-Datum für das Zertifikat nach dem aktuellen Datum minus dem angegebenen Zeitraum liegt. Wenn das Zertifikat diese Bedingung erfüllt, versucht XenMobile, das Zertifikat zu erneuern.

Erstellen eines Anmeldeinformationsanbieters

Die Schritte beim Konfigurieren eines Anmeldeinformationsanbieters variieren hauptsächlich nach ausgewählter ausstellender Entität und Ausstellungsmethode. Sie können zwischen Anmeldeinformationsanbietern unterscheiden, die eine interne oder eine externe Entität verwenden:

  • Eigenverwaltete, XenMobile-interne Entitäten sind interne Entitäten. Die Ausstellungsmethode bei eigenverwalteten Zertifizierungsstellen ist immer “sign”. Das bedeutet, dass bei jeder Ausstellung von XenMobile ein neues Schlüsselpaar mit dem für die Entität ausgewählten ZS-Zertifikat signiert wird. Ob das Schlüsselpaar auf dem Gerät oder auf dem Server generiert wird, hängt von der ausgewählten Verteilungsmethode ab.

  • Zu den externen Entitäten, die Teil der Unternehmensinfrastruktur sind, gehört die Microsoft-Zertifizierungsstelle.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben und dann aufEinstellungen > Anbieter für Anmeldeinformationen.

  2. Klicken Sie auf der SeiteAnbieter für AnmeldeinfoaufHinzufügen.

    Die SeiteAnbieter für Anmeldeinformationen: Allgemeine Informationenangezeigt.

  3. Führen Sie auf der SeiteAnbieter für Anmeldeinformationen: Allgemeine Informationenfolgende Schritte aus:

    • Name:Geben Sie einen eindeutigen Namen für die neue Anbieterkonfiguration ein. Unter diesem Namen wird die Konfiguration anschließend in anderen Teilen der XenMobile-Konsole angezeigt.
    • Beschreibung:Geben Sie eine Beschreibung für den Anmeldeinformationsanbieter ein. Das ist zwar ein optionales Feld, eine Beschreibung kann jedoch nützliche Details über den Anmeldeinformationsanbieter bieten.
    • Ausstellende Entität:Klicken Sie auf die ausstellende Entität.
    • Ausstellungsmethode:Klicken Sie aufZertifikat signierenoderZertifikat abrufen, um die Methode auszuwählen, die für den Bezug von Zertifikaten von der konfigurierten Entität verwendet werden soll. Verwenden Sie für die ClientzertifikatauthentifizierungZertifikat signieren.

    • Wenn dieVorlagenlisteverfügbar ist, wählen Sie die Vorlage aus, die Sie für den Anmeldeinformationsanbieter unter der PKI-Entität hinzugefügt haben.

      Die Vorlagen werden verfügbar, wenn Entitäten der Microsoft-Zertifikatdienste überEinstellungen > PKI-Entitätenhinzugefügt werden.

  4. Klicken Sie aufWeiter.

    Die SeiteAnbieter für Anmeldeinformationen: Zertifikatsignieranforderung将盎ezeigt.

  5. Konfigurieren Sie auf der SeiteAnmeldeinformationsanbieter: Zertifikatsignieranforderungdie folgenden Einstellungen gemäß Ihrer Zertifikatkonfiguration:

    • Schlüsselalgorithmus:Wählen Sie den Schlüsselalgorithmus für das neue Schlüsselpaar. Verfügbare Werte sindRSA,DSAundECDSA.

    • Schlüsselgröße:Geben Sie die Länge des Schlüsselpaars in Bit ein. Diese Angabe ist erforderlich.

      Die zulässigen Werte sind abhängig vom Schlüsseltyp. Die maximale Länge für DSA-Schlüssel beträgt beispielsweise 1024 Bit. Zur Vermeidung falscher Negative, die von der verwendeten Hardware oder Software abhängig sind, erzwingt XenMobile keine Schlüssellängen. Testen Sie Anmeldeinformationsanbieter vor Übernahme in die Produktionsumgebung immer in einer Testumgebung.

    • Signaturalgorithmus:Klicken Sie auf einen Wert für das neue Zertifikat. Welche Werte zulässig sind, hängt vom Schlüsselalgorithmus ab.

    • Antragstellername:erforderlich. Geben Sie den Distinguished Name des Antragstellers für das neue Zertifikat ein. Beispiel:CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation

      Verwenden Sie für die Clientzertifikatauthentifizierung beispielsweise die folgenden Einstellungen:

      • Schlüsselalgorithmus:RSA
      • Schlüsselgröße:2048
      • Signaturalgorithmus:SHA256withRSA
      • Antragsstellername:cn=$user.username

    • Zum Hinzufügen eines Eintrags zur TabelleAlternative Antragsstellernamenklicken Sie aufHinzufügen. Wählen Sie den Typ des alternativen Namens aus und geben Sie einen Wert in der zweiten Spalte ein.

      Geben Sie für die Clientzertifikatauthentifizierung Folgendes an:

      • Typ:Benutzerprinzipalname

      • Wert:$user.userprincipalname

        Wie beim Antragstellernamen können Sie im Wertefeld XenMobile-Makros verwenden.

  6. Klicken Sie aufWeiter.

    Die SeiteAnbieter für Anmeldeinformationen: Verteilung将盎ezeigt.

  7. Führen Sie auf der SeiteAnbieter für Anmeldeinformationen: Verteilungfolgende Schritte aus:

    • Klicken Sie in der ListeZertifikat der ausstellenden ZSauf das angebotene ZS-Zertifikat. Da der Anmeldeinformationsanbieter eine eigenverwaltete Zertifizierungsstelle verwendet, erhält er immer das für die Entität selbst konfigurierte ZS-Zertifikat. Die Aufführung hier erfolgt aus Gründen der Konsistenz mit Konfigurationen, in denen externe Entitäten verwendet werden
    • Wählen Sie fürVerteilungsmodus wähleneine der folgenden Methoden zum Generieren und Verteilen von Schlüsseln aus:
      • Bevorzugt zentralisiert: Schlüssel serverseitig generieren:Citrix empfiehlt diese Option. Sie unterstützt alle von XenMobile unterstützten Plattformen und ist erforderlich, wenn die Citrix Gateway-Authentifizierung verwendet wird. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und auf die Benutzergeräte verteilt.
      • Bevorzugt verteilt: Schlüssel geräteseitig generierenDie privaten Schlüssel werden auf den Benutzergeräten generiert und gespeichert. Beim verteilten Modus wird SCEP verwendet und es ist ein RA-Verschlüsselungszertifikat mit KeyUsage “keyEncryption” sowie ein RA-Signaturzertifikat mit KeyUsage “digitalSignature” erforderlich. Das gleiche Zertifikat kann für Verschlüsselung und Signieren verwendet werden.
      • Nur verteilt: Schlüssel geräteseitig generieren:Diese Option funktioniert wie “Bevorzugt verteilt: Schlüssel geräteseitig generieren”, doch da sie anstelle einer Bevorzugung eine Ausschließlichkeit definiert, steht keine Option zur Verfügung, wenn die geräteseitige Schlüsselgenerierung fehlschlägt oder nicht verfügbar ist.

    Wenn SieBevorzugt verteilt: Schlüssel geräteseitig generierenoderNur verteilt: Schlüssel geräteseitig generierenausgewählt haben, klicken Sie auf das gewünschte RA-Signaturzertifikat und das RA-Verschlüsselungszertifikat. Das gleiche Zertifikat kann für beides verwendet werden. Es werden neue Felder für diese Zertifikate eingeblendet.

  8. Klicken Sie aufWeiter.

    Die SeiteAnbieter für Anmeldeinformationen: XenMobile-Sperrung将盎ezeigt. Auf dieser Seite konfigurieren Sie die Bedingungen, unter denen XenMobile Zertifikate, die über diese Anbieterkonfiguration ausgestellt wurden, intern als gesperrt kennzeichnet.

  9. Führen Sie auf der SeiteAnbieter für Anmeldeinformationen: XenMobile-Sperrungfolgende Schritte aus:

    • Wählen Sie fürAusgestellte Zertifikate widerrufeneine der Optionen zur Angabe des Zeitpunkts aus, an dem Zertifikate gesperrt werden sollen.

    • Soll XenMobile eine Benachrichtigung bei Sperrung des Zertifikats senden, legen Sie fürBenachrichtigung sendendie EinstellungEinfest und wählen Sie eine Benachrichtigungsvorlage aus.

    • 我要是das Zertifikat贝Sperrung军队XenMobilen der PKI gesperrt werden soll, legen Sie fürZertifikat in PKI widerrufendie OptionEinfest und klicken Sie in der ListeEntitätauf eine Vorlage. Die Liste “Entität” enthält alle verfügbaren Entitäten mit Sperrfunktion. Wenn das Zertifikat von XenMobile gesperrt wird, wird ein Sperraufruf an die in der Liste Entity ausgewählte PKI gesendet.

  10. Klicken Sie aufWeiter.

    Die SeiteAnbieter für Anmeldeinformationen: PKI-Sperrung将盎ezeigt. Auf dieser Seite legen Sie fest, welche Aktionen in der PKI auszuführen sind, wenn das Zertifikat gesperrt wird. Darüber hinaus können Sie eine Benachrichtigung einrichten.

  11. Führen Sie auf der SeiteAnbieter für Anmeldeinformationen: PKI-Sperrungfolgende Schritte aus, wenn Sie Zertifikate über die PKI sperren möchten:

    • Ändern Sie die EinstellungPrüfen der externen Zertifikatsperre aktiviereninEin. Zusätzliche Felder für die Sperrung werden angezeigt.

    • Klicken Sie in der ListeOCSP Responder für ZS-Zertifikatauf den Distinguished Name (DN) des Zertifikatantragstellers.

      Sie können XenMobile-Makros für Werte im DN-Feld verwenden. Beispiel:CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • Klicken Sie in der ListeWenn Zertifikat widerrufen wirdauf eine der folgenden Optionen zum Festzulegen der in der PKI bei Sperrung des Zertifikats auszuführenden Aktionen:

      • Nichts tun
      • Zertifikat erneuern.
      • Gerät widerrufen und löschen

    • Wenn XenMobile eine Benachrichtigung bei Sperrung des Zertifikats senden soll, legen Sie fürBenachrichtigung sendendie EinstellungEinfest.

      Sie können eine von zwei Benachrichtigungsoptionen auswählen:

    • 麻省理工学院Benachrichtigungsvorlage wählenkönnen Sie einen vorhandenen Benachrichtigungstext auswählen und ggf. anpassen. Die entsprechenden Vorlagen sind in der Liste Benachrichtigungsvorlage.
    • 麻省理工学院Geben Sie die Benachrichtigungsdetails einkönnen Sie einen eigenen Text eingeben. Neben der E-Mail-Adresse des Empfängers und dem Text können Sie festlegen, wie oft die Benachrichtigung gesendet wird.

  12. Klicken Sie aufWeiter.

    Die SeiteAnbieter für Anmeldeinformationen: Verlängerung将盎ezeigt. Auf dieser Seite können Sie für XenMobile die Ausführung folgender Schritte festlegen:

    • Zertifikat erneuern. Sie können optional bei Erneuerung des Zertifikats eine entsprechende Benachrichtigung senden und optional bereits abgelaufene Zertifikate von diesem Vorgang ausschließen.
    • Versand einer Benachrichtigung für Zertifikate, deren Ablauf kurz bevorsteht

  13. Gehen Sie auf der SeiteAnbieter für Anmeldeinformationen: Verlängerungfolgendermaßen vor, um Zertifikate bei Ablauf zu verlängern:

    Legen Sie fürZertifikate erneuern, wenn sie ablaufendie OptionEinfest. Weitere Felder werden angezeigt.

    • Geben Sie im FeldZertifikat erneuern, wenn es indie Zeit vor Ablauf des Zertifikats in Tagen ein, zu der die Erneuerung erfolgen soll.
    • Wählen Sie optionalBereits abgelaufene Zertifikate nicht erneuernaus. In diesem Zusammenhang bedeutet “bereits abgelaufen”, dass dasNotAfter-Datum in der Vergangenheit liegt, und nicht, dass das Zertifikat gesperrt wurde. XenMobile erneuert keine Zertifikate, nachdem sie intern gesperrt wurden.

    Wenn XenMobile eine Benachrichtigung bei Verlängerung des Zertifikats senden soll, legen SieBenachrichtigung sendenaufEinfest. Wenn XenMobile eine Benachrichtigung bei anstehendem Ablauf des Zertifikats senden soll, legen SieBenachrichtigen, wenn Zertifikat bald abläuftaufEinfest. Sie können für beide Einstellungen eine von zwei Benachrichtigungsoptionen auswählen:

    • Benachrichtigungsvorlage wählen:Wählen Sie einen vorhandenen Benachrichtigungstext aus und passen Sie ihn ggf. an. Die entsprechenden Vorlagen sind in der Liste Benachrichtigungsvorlage.
    • Geben Sie die Benachrichtigungsdetails ein:Geben Sie einen eigenen Text ein. Geben Sie die E-Mail-Adresse des Empfängers, eine Nachricht und die Häufigkeit für das Senden der Benachrichtigung an.

    Geben Sie im FeldBenachrichtigung bei Zertifikatablauf indie Zeit vor Ablauf des Zertifikats in Tagen ein, zu der die Benachrichtigung gesendet werden soll.

  14. Klicken Sie aufSpeichern.

    在Der Tabelle Der Anmeldei Der neue Anbieter将nformationsanbieter angezeigt.

Anmeldeinformationsanbieter
August 12, 2022
Beitrag von:
C C
August 12, 2022
Beitrag von:
C C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.