派生的凭证

派生凭据为移动设备提供强身份验证。来自智能卡的凭据驻留在移动设备中，而不是卡中。智能卡是一种个人身份验证（PIV）卡。

派生凭据是包含用户标识符（如UPN）的注册证书。Endpoint Management将从凭据提供程序获得的凭据保存在设备上的安全vault中。

端点管理可以使用派生凭据进行设备注册和身份验证。如果为派生凭据配置，端点管理不支持注册邀请或其他注册安全模式。Citrix支持在注册iOS期间使用派生凭据应用程序。

建筑学

对于注册，端点管理连接到组件，如下图所示。

• 在设备注册期间，Secure Hub从派生凭据应用程序获取证书。
• 衍生凭据应用程序在注册期间与凭据管理服务器通信。
• 您可以将相同或不同的服务器用于凭据管理服务器和第三方PKI提供程序。
• 端点管理连接到第三方PKI服务器以获取证书。

需求

• 下载并安装Citrix Secure Hub。

• 基于您派生的证书解决方案，下载并配置应用程序:

  • 对于数据卡：

    • 在您的设备上下载并安装Citrix派生凭据管理器应用程序之前注册端点管理。派生凭据管理器应用程序是Citrix的身份提供程序应用程序。该应用程序的徽标如下所示。

      注:

      Citrix衍生凭据管理器应用程序仅支持新注册。设备用户必须重新注册。

    • 需要在MDM+MAM中注册设备。

  • 对于其他派生凭证提供者:虽然大多数其他凭证解决方案可能与XenMobile兼容，但在将其部署到生产环境之前，请测试集成。
• 必须具有向凭据提供程序服务器颁发证书的机构的根证书。这种设置使端点管理能够在注册期间接受数字签名证书。有关添加证书的信息，请参见证书和身份验证．
  • 如果用户邮箱域与LDAP域不一致，请将邮箱域加入LDAP域域名别名开始设置>LDAP．例如，电子邮件地址的域名为citrix.comLDAP域名为sample.com,设置域名别名到sample.com, citrix.com．
  • 端点管理不支持在共享设备中使用派生凭据。
• 用户身份证明:
  • Subject替代名称字段中的用户名必须格式化为SubjectAltName扩展名的otherName、rfc822Name或dNSName字段。其他字段不支持。有关Subject替代名称的更多信息，请参阅RFC，https://www.ietf.org/rfc/rfc5280.txt．
  • 不支持电子邮件或CN中主题字段中的用户标识。
• 配置用于证书身份验证或证书加安全令牌身份验证的Citrix网关

使派生的凭证

默认情况下，端点管理控制台不包括>派生凭证页面。

为派生凭据启用接口:

• 去设置>服务器属性,添加派生的.credentials.enable作为服务器属性，并将属性值设置为真正的．

配置导出证书

假设您具有计划与端点管理集成的派生凭据提供程序的工作配置。您可以将端点管理配置为与该服务器通信。您还可以选择已添加到端点管理的派生凭据CA证书或导入该证书。

您可以激活该CA证书的联机证书状态协议（OCSP）支持。有关OCSP的更多信息，请参阅中的“自主CA”PKI实体．

1. 在端点管理控制台中，转到> iOS的派生凭证．

2. 为选择派生凭据提供程序选择另外对委托Datacard。类型dcapp://mode=SecureHub在应用程序的URL (iOS)．

3. 可选参数：一些派生凭证提供程序可能要求您为连接提供参数。例如，供应商可能要求您指定后端服务器的url。点击添加提供参数。

4. 为派生凭据指定证书：如果证书已上载到Endpoint Management，请从中选择该证书发行人CA. 否则，单击进口添加证书。的进口证对话框出现了。

5. 在进口证对话框中,单击浏览导航到证书。然后点击浏览导航到私钥文件。

6. 配置设置。
   • 对于Citrix派生的凭据管理器应用程序：用户标识符字段是主题选择的名字，以及用户标识符类型是userPrincipalName．
   • 请与其他派生凭证提供者联系以获取其信息。

7. 您可以选择使用OCSP响应器进行证书撤销检查。出于安全考虑，思杰建议使用OCSP响应器。缺省情况下，是OSP检查从．

   • 如果您激活了对CA证书的OCSP支持，请选择使用自定义OCSP URL. 默认情况下，端点管理从证书中提取OCSP URL（端点管理）使用证书定义进行吊销选项）。要指定响应程序URL，请单击使用自定义然后键入URL。
   • 响应者CA:从…起应答器CA，选择一个证书。或者,单击进口然后使用进口证对话框来定位证书。

8. 点击保存. 这个允许派生的凭证对话框出现了。

   • 要启用派生凭据配置，请单击保存. 要使用派生凭据，还必须配置注册设置。

   • 启用派生凭据配置，然后立即转到设置>注册点击保存并进入注册．

9. 要为注册启用派生凭据，请执行以下操作：设置>注册页面,在预科选择派生凭证(仅iOS)然后点击使可能．

10. 出现一个确认对话框。要启用派生凭据，请选中复选框，然后单击使可能．

11. 要编辑派生凭证注册选项，请转到设置>注册选择派生凭证(仅iOS)然后点击编辑．

启用派生凭据后：在设备注册报告，专栏招生模式显示derived_credentials．

为Secure Mail配置端点管理

要使Secure Mail能够使用派生凭据，请添加LDAP属性客户端属性。有关添加客户端属性的信息，请参阅客户财产．

对客户端属性使用以下信息：

• 关键：SEND_LDAP_ATTRIBUTES
• 值:userPrincipalName = $ {user.userprincipalname}, sAMAccountNAme = $ {user.samaccountname}, displayName = $ {user.displayName}、邮件= $ {user.mail}

在iOS设备上激活从数据卡派生的凭据

注:

使用委托网站时：

• 更换PIV卡时清空浏览器缓存。

1. 要请求新的智能凭据，请使用桌面或任何设备登录到站点。使用智能证书登录按钮。用户将智能卡插入连接到桌面的读卡器中。

2. 从自我管理行动，选择我想注册一个衍生的移动智能证书点击多恩．

3. 在衍生的移动智能证书屏幕,提供身份的名字. 用户可以选择唯一的名称，如用户名或ID号。

4. 选择Citrix DCAPP，然后单击好啊．

   此时会出现二维码激活屏幕，提示用户使用移动设备扫描二维码。

   注:

   默认情况下，派生凭证QR码过期时间为3分钟。

5. 使用派生凭据管理器应用程序在设备上完成激活。

设备注册

在完成本文前面描述的设置之后，用户可以使用派生凭证注册他们的设备。

注:

本节截图以“trustdatacard”为例。

1. 水龙头打开安全中心。出现提示时，键入终结点管理服务器完全限定域名，然后单击下一个．

2. 点击是的,注册. 安全集线器中的设备注册开始。

   如果为派生凭据配置了端点管理，则Secure Hub会提示用户创建并确认Citrix PIN。

   确认Citrix PIN后，将出现衍生凭证设置启动屏幕。按照说明激活智能凭据。

3. 水龙头扫描码. 这个mobile phone camera activates.

   注:

   要扫描二维码，请确保您的相机和麦克风已启用，并且具有所需的访问权限。

4. 在派生的凭据应用程序中，扫描在前面步骤中创建的二维码。

5. 扫描二维码后，就上了导入新证书屏幕出现一个密码对话框，输入密码并单击好吧．

   导入新证书屏幕显示自动填充的字段。

6. 成功添加证书后，在派生的凭证屏幕上,单击开始注册．

7. 在“安全集线器”中，在提示时输入新的PIN。

   验证PIN后，Secure Hub下载证书。按照提示完成注册。

在端点管理控制台中查看设备信息:

• 去管理>设备然后选择要显示命令框的设备。点击显示更多．
• 去分析>仪表板．