客户端证书或证书加域认证
Endpoint Management的默认配置是用户名和密码身份验证。要为注册和访问Endpoint Management环境添加另一层安全性,请考虑使用基于证书的身份验证。在Endpoint Management环境中,此配置是安全性和用户体验的最佳组合。证书加域身份验证具有最佳的SSO可能性,再加上Citrix Gateway的双因素身份验证提供的安全性。
为了获得最佳的可用性,您可以将证书+域身份验证与Citrix PIN和Active Directory密码缓存结合起来。因此,用户不必反复输入LDAP用户名和密码。用户输入用户名和密码进行注册、密码过期和帐户锁定。
重要的是:
终端管理不支持用户在终端管理中注册设备后,将认证方式从域认证改为其他认证方式。
如果不允许LDAP,而使用智能卡或类似的方法,则配置证书可以让您将智能卡表示给Endpoint Management。然后,用户使用端点管理为他们生成的唯一PIN进行注册。在用户拥有访问权限后,Endpoint Management将创建用于向Endpoint Management环境进行身份验证的证书并将其部署。
当使用Citrix Gateway仅证书认证或证书加域认证时,可以使用NetScaler for XenMobile向导执行端点管理所需的配置。NetScaler for XenMobile向导只能运行一次。
在高度安全的环境中,在组织外部的公共网络或不安全网络中使用LDAP凭证被认为是对组织的主要安全威胁。对于高度安全的环境,可以选择使用客户端证书和安全令牌的双因素身份验证。有关信息,请参见配置证书和安全令牌认证端点管理.
MAM和MDM+MAM中注册的设备支持客户端证书认证。要对这些设备使用客户端证书身份验证,必须配置Microsoft服务器、端点管理和Citrix网关。按照本文中描述的这些一般步骤进行操作。
微软服务器:
- 将证书管理单元添加到Microsoft管理控制台。
- 将模板添加到CA。
- 从CA服务器创建PFX证书。
端点管理:
- 将证书上传到Endpoint Management。
- 创建基于证书认证的PKI实体。
- 配置凭证提供程序。
- 配置Citrix Gateway下发用户证书进行认证。
有关Citrix Gateway配置的信息,请参阅Citrix ADC文档中的这些文章:
先决条件
创建Microsoft证书服务实体模板时,通过排除特殊字符避免注册设备可能出现的身份验证问题。例如,不要在模板名称中使用这些字符:
: !$ () # % + * ~ ?| {} []- 配置Exchange ActiveSync基于证书的认证,请参见Exchange Server上的Microsoft文档.配置Exchange ActiceSync的CA服务器站点,需要客户端证书。
- 如果使用专用服务器证书来保护到Exchange server的ActiveSync流量,请确保移动设备具有所有根/中间证书。否则,在“安全邮件”中设置邮箱时,基于证书的身份验证将失败。在Exchange IIS控制台中,您必须:
- 添加一个端点管理使用Exchange的网站,并绑定web服务器证书。
- 使用9443端口。
- 对于该网站,您必须添加两个应用程序,一个用于“Microsoft-Server-ActiveSync”,另一个用于“EWS”。对于这两个应用程序,在SSL设置中,选择需要SSL.
将证书管理单元添加到Microsoft管理控制台
打开控制台,然后单击添加/删除管理单元.
添加以下管理单元:
- 证书模板
- 证书(本地计算机)
- 证书-当前用户
- 证书颁发机构(本地)
扩大证书模板.
选择用户模板和复制模板.
提供模板显示名称。
重要的是:
选择在Active Directory中发布证书请在必要时勾选。如果选择此选项,所有用户客户端证书都将在Active Directory中创建,这可能会使您的Active Directory数据库变得混乱。
选择Windows 2003 Server对于模板类型。在Windows 2012 R2服务器下兼容性中,选择证书颁发机构并设置收件人为Windows 2003.
下安全,点击添加然后选择Endpoint Management将用于生成证书的AD用户帐户。
重要的是:
此处只添加服务帐户用户。添加招收只有该AD用户帐户的权限。
如本文后面所述,您将使用服务帐户创建用户.pfx证书。有关信息,请参见从CA服务器创建PFX证书.
下密码学,确保提供密钥大小。稍后在端点管理配置过程中输入密钥大小。
下主题名称中,选择在请求中提供.应用更改,然后保存。
将模板添加到证书颁发机构
去证书颁发机构并选择证书模板.
在右窗格中单击鼠标右键,然后选择要颁发新的>证书模板.
选择在上一步中创建的模板,然后单击好吧把它加入证书颁发机构.
从CA服务器创建PFX证书
使用您登录的服务帐户创建用户.pfx cert。pfx上传到端点管理,然后端点管理代表注册其设备的用户请求用户证书。
下当前用户,扩大证书.
在右窗格中单击鼠标右键,然后单击申请新证书.
的证书登记屏幕上出现了。点击下一个.
选择Active Directory注册策略然后点击下一个.
选择用户模板然后单击招收.
导出在上一步中创建的.pfx文件。
点击是,导出私钥.
选择如果可能,请在证书路径中包含所有证书并选择导出所有扩展属性复选框。
设置上传证书到Endpoint Management时使用的密码。
将证书保存到硬盘驱动器上。
将证书上载到Endpoint Management
在端点管理控制台中,单击右上角的齿轮图标。的设置屏幕上出现了。
点击证书然后点击进口.
输入如下参数:
- 进口:密钥存储库
- 密钥存储库类型:PKCS # 12
- 使用:服务器
- 密钥存储库文件:单击Browse选择刚刚创建的.pfx证书。
- 密码:输入为该证书创建的密码。
点击进口.
验证证书是否正确安装。正确安装的证书显示为用户证书。
创建用于证书认证的PKI实体
在设置,转至>证书管理> PKI实体.
点击添加然后点击微软证书服务实体.的微软证书服务实体:一般信息屏幕上出现了。
输入如下参数:
- 名称:输入任意名称。
- Web注册服务根URL:
https://RootCA-URL/certsrv/(请确保在URL路径中添加最后一个斜杠/。) - certnew。Cer页面名称:certnew。Cer(默认值)
- certfnsh.asp:cerfnsh .asp(默认值)
- 认证类型:客户端证书
- SSL客户端证书:选择要用于颁发端点管理客户端证书的用户证书。如果不存在证书,请按照上述步骤上传证书。
下模板,添加配置Microsoft证书时创建的模板。不要添加空格。
跳过“HTTP参数”,单击CA证书.
选择与您的环境对应的根CA名称。这个根CA是从端点管理客户端证书导入的链的一部分。
点击保存.
配置凭证提供程序
在设置,转至更多>证书管理>证书提供者.
点击添加.
下一般,输入以下参数:
- 名称:输入任意名称。
- 描述:输入任何描述。
- 发行单位:选择前面创建的PKI实体。
- 发布方法:标志
- 模板:选择在PKI实体下添加的模板。
点击证书签署请求然后输入如下参数:
- 关键算法:RSA
- 关键尺寸:2048
- 签名算法:SHA256withRSA
- 主题名称:
cn = $ user.username
为科目替代名称,点击添加然后输入如下参数:
- 类型:主体名称
- 值:
user.userprincipalname美元
点击分布并输入如下参数:
- 签发CA证书:选择签署端点管理客户端证书的颁发CA。
- 选择分发方式:选择偏爱集中式:服务器端密钥生成.
在接下来的两节中,撤销端点管理而且撤销PKI,根据实际情况配置参数。在本例中,这两个选项都被跳过。
点击更新.
启用当证书过期时更新证书.
保持所有其他设置为默认值或根据需要更改。
点击保存.
配置安全邮件以使用基于证书的身份验证
将安全邮件添加到端点管理时,请确保配置下的Exchange设置应用程序设置.
在Endpoint Management中配置Citrix Gateway证书下发
在端点管理控制台中,单击右上角的齿轮图标。的设置屏幕上出现了。
下服务器,点击Citrix网关.
如果尚未添加Citrix Gateway,请单击添加并指定设置:
- 名称:设备的描述性名称。
- 别名:设备的可选别名。
- 外部URL:
https://YourCitrixGatewayURL - 登录类型:选择证书和域
- 密码要求:从
- 默认设置:在
为身份验证而且下发用户证书进行认证中,选择在.
为凭据提供程序,选择提供商,然后单击保存.
若要使用用户证书中的sAMAccount属性作为用户主体名(user Principal Name, UPN)的替代,请在“端点管理”中配置LDAP连接器> LDAP,选择该目录,单击编辑,并选择sAMAccountName在用户按.
启用Citrix PIN和用户密码缓存
启用Citrix PIN和用户密码缓存,请执行设置>客户端属性选中这些复选框:启用Citrix PIN Authentication而且启用用户密码缓存.有关更多信息,请参见客户属性.
为Windows Phone创建企业中心策略
对于Windows Phone设备,必须创建Enterprise Hub设备策略以交付AETX文件和安全Hub客户端。
注意:
确保AETX和安全集线器文件都使用:
- 证书提供者提供的相同的企业证书。
- 与Windows商店开发者帐户相同的发行商ID。
在Endpoint Management控制台中,单击配置>设备策略.
点击添加然后,在更多>端点管理代理,点击企业中心.
在命名策略之后,请确保为企业中心选择正确的. aetx文件和已签名的安全中心应用程序。
将策略分配给交付组并保存。
解决客户端证书配置问题
成功完成上述配置和Citrix Gateway的配置后,用户的工作流程如下所示:
用户注册他们的移动设备。
端点管理提示用户创建一个Citrix PIN。
然后用户会被重定向到应用商店。
当用户启动安全邮件时,端点管理不会提示用户输入邮箱配置的用户凭据。相反,Secure Mail从Secure Hub请求客户端证书,并将其提交给Microsoft Exchange Server进行身份验证。如果终端管理在用户启动安全邮件时提示输入凭据,请检查您的配置。
如果用户可以下载并安装Secure Mail,但是在配置邮箱过程中Secure Mail无法完成配置:
如果Microsoft Exchange Server ActiveSync使用私有SSL服务器证书来保护流量,请验证移动设备上安装的根/中间证书。
验证为ActiveSync选择的身份验证类型为要求客户端证书.
在Microsoft Exchange Server上,检查Microsoft-Server-ActiveSync站点来验证客户端证书映射身份验证是否启用。缺省情况下,客户端证书映射身份验证是禁用的。选择权在下面配置编辑器>安全>认证.
在选择真正的,请务必点击应用更改生效。
检查端点管理控制台中Citrix Gateway的设置:确保下发用户证书进行认证是在这凭据提供程序选择正确的概要文件。
确定客户端证书是否已交付到移动设备
在端点管理控制台中,转到管理>个设备并选择设备。
点击编辑或显示更多.
去交付组节,并搜索此条目:
Citrix网关凭证:请求的凭证,CertId=
验证是否启用客户端证书协商
运行这个
netsh命令显示IIS网站上绑定的SSL证书配置:Netsh HTTP显示sslcert如果的值为协商客户端证书是禁用,执行以下命令开启。
Netsh HTTP delete sslcert ipport=0.0.0.0:443netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=启用VerifyRevocationWithCachedClientCertOnly=禁用UsageCheck=启用clientcertnegotiation=启用例如:
netsh http add sslcert ipport=0.0.0.0:443 certhash=23498dfsdfhaf98rhkjqf9823rkjhdasf98asfk appid={123asd456jd-a12b-3c45-d678-123456lkjhgf} certstorename=ExampleCertStoreName verifyclientcertrevocation=启用VerifyRevocationWithCachedClientCertOnly=禁用UsageCheck=启用clientcertnegotiation=启用
如果无法通过端点管理向Windows Phone 8.1设备交付根证书/中间证书:
- 将根证书/中间证书(.cer)文件通过邮件发送到Windows Phone 8.1设备,并直接安装。
如果在Windows Phone 8.1上无法成功安装安全邮件,请验证以下内容:
- 应用程序注册令牌(。AETX文件)使用Enterprise Hub设备策略通过Endpoint Management交付。
- 应用程序注册令牌是使用来自证书提供者的用于包装安全邮件和签署安全Hub应用程序的相同企业证书创建的。
- 相同的发布者ID用于对安全集线器、安全邮件和应用程序注册令牌进行签名和包装。