PKI实体

Endpoint Management Public Key Infrastructure (PKI)实体配置表示执行实际PKI操作(颁发、撤销和状态信息)的组件。这些组件可以是端点管理的内部组件，也可以是外部组件。内部组件被称为任意组件。外部组件是企业基础设施的一部分。

Endpoint Management支持以下类型的PKI实体:

• 通用pki (gpki)

  端点管理GPKI支持包括DigiCert管理的PKI。

• 微软证书服务

• 全权委托证书颁发机构(ca)

Endpoint Management支持以下CA服务器:

• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

常见的PKI概念

无论其类型如何，每个PKI实体都具有以下功能的子集:

• 签名:根据证书签名请求(CSR)颁发新证书。
• 获取:恢复现有的证书和密钥对。
• 撤销:吊销客户端证书。

关于CA证书

在配置PKI实体时，向端点管理指出哪个CA证书是由该实体颁发(或从中恢复)的证书的签名者。该PKI实体可以返回(获取的或新签名的)由任意数量的不同ca签名的证书。

提供这些权威机构的证书作为PKI实体配置的一部分。需要将证书上传到Endpoint Management，然后在PKI实体中引用。对于任意CA，证书隐式地是签名CA证书。对于外部实体，必须手动指定证书。

重要的是:

创建Microsoft Certificate Services Entity模板时，应避免已注册设备可能出现的身份验证问题:不要在模板名称中使用特殊字符。例如，不要使用:！: $ () # % + * ~ ?| {} []

通用的公钥基础设施

通用PKI (GPKI)协议是在SOAP Web服务层上运行的专有端点管理协议。GPKI协议为各种PKI解决方案提供了统一的接口。GPKI协议定义了以下基本的PKI操作:

• 签名:适配器可以接收csr，将它们传输到PKI，并返回新签名的证书。
• 获取:适配器可以从PKI检索(恢复)现有的证书和密钥对(取决于输入参数)。
• 撤销:适配器可以使PKI撤销给定的证书。

GPKI协议的接收端是GPKI适配器。适配器将基本操作转换为为其构建的特定类型的PKI。例如，有RSA和委托的GPKI适配器。

GPKI适配器作为SOAP Web服务端点，发布自描述的Web服务描述语言(WSDL)定义。创建GPKI PKI实体相当于通过URL或上传文件本身向端点管理提供该WSDL定义。

适配器中对每个PKI操作的支持是可选的。如果适配器支持给定的操作，则称该适配器具有相应的功能(签名、获取或撤销)。这些功能中的每一个都可能与一组用户参数相关联。

用户参数是GPKI适配器为特定操作定义的参数。向端点管理提供用户参数的值。Endpoint Management解析WSDL文件，以确定适配器具有哪些操作，以及适配器对每个操作需要哪些参数。如果您愿意，可以使用SSL客户端身份验证来保护端点管理和GPKI适配器之间的连接。

添加通用PKI

1. 在端点管理控制台中，单击> PKI实体。

2. 在PKI实体页面,点击添加。

   出现PKI实体类型菜单。

3. 点击通用PKI实体。

   出现“Generic PKI Entity: General Information”页面。

4. 在Generic PKI Entity:一般信息页，做以下工作:

   • 名称:为PKI实体键入描述性名称。
   • WSDL URL:键入描述适配器的WSDL的位置。
   • 认证类型:单击需要使用的身份验证方法。
     • 没有一个
     • HTTP基本:提供连接到适配器所需的用户名和密码。
     • 客户端证书:选择正确的SSL客户端证书。

5. 点击下一个。

   出现“通用PKI实体:适配器功能”页面。

6. 在通用PKI实体:适配器功能页，查看与适配器关联的功能和参数，然后单击下一个。

   的通用PKI实体:颁发CA证书页面出现。

7. 2 .在“通用PKI实体:颁发CA证书”界面中，选择该实体使用的证书。

   尽管实体可以返回由不同CA签名的证书，但同一CA必须对通过给定证书提供者获得的所有证书进行签名。因此，在配置凭据提供程序设置，在分布页，选择此处配置的证书之一。

8. 点击保存。

   实体出现在PKI实体表中。

DigiCert管理的PKI

端点管理GPKI支持包括DigiCert Managed PKI，也称为MPKI。介绍如何为DigiCert Managed PKI设置Windows Server和Endpoint Management。

先决条件

• 访问DigiCert管理的PKI基础设施
• Windows Server 2012 R2服务器，安装了以下组件，本文以以下组件为例进行介绍:
  • Java
  • Apache Tomcat
  • 赛门铁克PKI客户端
  • Portecle
• 访问端点管理下载站点

在Windows Server上安装Java

下载Java for 64位WindowsJava网站然后安装应用程序。在安全警告对话框，单击运行。

在Windows Server上安装Apache Tomcat

下载最新的Apache Tomcat 32位/64位Windows Service Installerhttps://tomcat.apache.org/然后安装它。在安全警告对话框，单击运行。使用以下示例作为指导，完成Apache Tomcat设置。

接下来，转到Windows服务并更改启动类型从手册来自动。

在Windows Server上安装DigiCert PKI客户端

从PKI Manager控制台中下载安装程序。如果无法访问该控制台，请从DigiCert支持页面下载安装程序，如何下载DigiCert PKI Client。解压缩并运行安装程序。

在安全警告对话框中，请务必单击运行。按照安装程序中的说明完成安装。安装完成后，它会提示您重新启动。

在Windows Server上安装portlet

从以下网址下载安装程序https://sourceforge.net/projects/portecleinstall/files/然后解压缩并运行安装程序。

生成DigiCert Managed PKI的RA证书

客户端证书身份验证的密钥存储库包含在一个名为RA.jks的注册机构(RA)证书中。下面的步骤描述了如何使用Portecle生成证书。您也可以通过Java命令行生成RA证书。

本文还描述了如何上传RA和公共证书。

1. 在Portecle，到Tools >生成密钥对，提供所需的信息，并生成密钥对。

2. 右键单击密钥对，然后单击生成认证请求。

3. 复制CSR。

4. 在“Symantec PKI Manager”中生成RA证书:单击设置,点击获得RA证书，粘贴CSR文件，然后单击继续。

5. 点击下载下载生成的RA证书。

6. 在Portecle中导入RA证书:右键单击密钥对，单击导入CA回复。

7. 在赛门铁克PKI管理器中:转到资源> Web服务下载CA证书。

8. 在Portecle中，将RA中间证书和根证书导入到keystore中:执行Tools >导入受信任证书。

9. 导入ca后，将keystore保存为RA。在Windows服务器的C:\Symantec文件夹下。

在Windows Server上配置Symantec PKI适配器

1. 以具有管理员权限的用户登录Windows Server操作系统。

2. 上传RA。在上一节中生成的JKS文件。还要上传Symantec MPKI服务器的公共证书(cacerts.jks)。

3. 下载赛门铁克PKI适配器文件:

   1. 去//m.giftsix.com/downloads。
   2. 导航到Citrix Endpoint Management(和Citrix XenMobile Server) > XenMobile Server(本地)>产品软件> XenMobile Server 10 > Tools。
   3. 在赛门铁克PKI适配器瓷砖,点击下载文件。
   4. 解压缩文件并将这些文件复制到Windows Server C:驱动器:
      • custom_gpki_adapter.properties
      • Symantec.war

4. custom_gpki_adapter开放。属性，并编辑以下值:

   Gpki.CaSvc。Url=https:// # keystore for client-cert auth keystore =C:\\Symantec\\RA。C:\\Symantec\\cacerts. jks # truststorejks < !——NeedCopy >

5. 赛门铁克副本。文件夹下的War< tomcat dir > \ webapps然后启动Tomcat。

6. 验证已部署的应用程序:打开web浏览器并导航到https://localhost/Symantec。(如果出现证书错误，请考虑改用HTTP连接。)

7. 导航到文件夹< tomcat dir > \ webapps \赛门铁克\ web - inf \类编辑gpki_adapter.properties。修改属性CustomProperties将其指向C:\Symantec文件夹下的custom_gpki_adapter文件:

   赛门铁克CustomProperties = C: \ \ \ \ custom_gpki_adapter.properties

8. 重启Tomcat，导航到https://localhost/Symantec，然后复制端点地址。在下一节中，您将在配置PKI适配器时粘贴该地址。

配置DigiCert Managed PKI的端点管理

在执行以下端点管理配置之前，完成Windows Server设置。

导入赛门铁克CA证书并配置PKI实体

1. 导入颁发最终用户证书的赛门铁克CA证书:在“端点管理”控制台中，转到设置>证书并点击进口。

2. 添加并配置PKI实体:执行> PKI实体,点击添加，然后选择通用PKI实体。在WSDL URL，粘贴您在上一节配置PKI适配器时复制的端点地址。然后,添加wsdl吗?如下面的示例所示。

3. 点击下一个。端点管理从WSDL填充参数名。

4. 点击下一个，选择正确的CA证书，单击保存。

5. 在> PKI实体页，验证状态添加的PKI实体的名称有效的。

为DigiCert Managed PKI创建凭据提供程序

1. 在Symantec PKI Manager控制台中，复制证书配置文件OID从证书模板。

2. 在Endpoint Management控制台中，转到设置>凭据提供程序,点击添加，然后进行如下配置。

   • 名称:为新的提供程序配置键入唯一的名称。此名称用于引用端点管理控制台其他部分中的配置。

   • 描述:描述凭证提供程序。虽然此字段是可选的，但当您需要有关凭据提供程序的详细信息时，描述可能会很有用。

   • 发行单位:选择证书颁发实体。

   • 发布方法:选择标志作为系统向配置的实体获取客户端证书的方式。

   • certParams:添加以下值:commonName = $ {user.mail}, otherNameUPN = $ {user.userprincipalname},邮件= $ {user.mail}

   • certificateProfileid:粘贴在步骤1中复制的证书配置文件OID。

3. 点击下一个。在其余的每个页面(通过续订证书签名请求)上，接受默认设置。完成后，单击保存。

对配置进行测试和故障排除

1. 创建凭据设备策略:执行配置>设备策略,点击添加，开始输入单词凭证，然后点击凭证。

2. 指定一个政策的名字。

3. 配置平台设置如下:

   • 凭证类型:选择凭据提供程序。

   • 凭据提供程序:选择赛门铁克提供商。

4. 完成平台设置后，继续执行赋值页，将策略分配给交付组，然后单击保存。

5. 查看策略是否已部署到设备，请执行管理>设备，选择设备，单击编辑，并按分配政策。下面的示例展示了一个成功的策略部署。

   如果没有部署策略，请登录到Windows Server并检查WSDL是否正在正确加载。

有关更多故障排除信息，请查看Tomcat登录< tomcat dir > \ logs \卡特琳娜。<当前日期>。

委托PKI适配器

作为DigiCert Managed PKI的替代方案，您可以安装委托PKI适配器。在安装适配器之前，请参见在Windows Server上安装Java和Apache Tomcat的步骤DigiCert管理的PKI本文的第一部分。

确保还安装了Citrix Cloud Connector。有关云连接器的详细信息，请参见思杰云连接器。

安装委托PKI适配器

1. 下载“委托PKI适配器”文件:
   1. 去//m.giftsix.com/downloads。
   2. 导航到Citrix Endpoint Management(和Citrix XenMobile Server) > XenMobile Server(本地)>产品软件> XenMobile Server 10 > Tools。
   3. 在委托PKI适配器瓷砖,点击下载文件。
   4. 提取委托。从下载的.zip文件中取出war文件，并将其放在C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\webapps目录中。
2. 在C:\Program Files (x86)\Apache软件基金会\Tomcat 8.5\webapps\托付\WEB-INF\classes，编辑entrust_adapter。属性并将CustomProperties设置为c: \ \ zenprise \ \ custom_entrust_adapter.properties。
3. 在您的C:驱动器中，创建如下目录和文件名:zenprise / custom_entrust_adapter.properties。

4. 用以下内容编辑文件，注意替换trust. mdmsvc。URL、AdminUserId和AdminPassword。

   mdmsvc . URL =https://pki.yourcorp.com:19443/mdmws/services/AdminServiceV8 #设置为1或true，如果使用IG且用户不存在，则强制从传递的用户和组参数创建用户CreateUser= #设置端点的凭据AdminUserId=[用户ID] AdminPassword=[password] #为client-cert auth设置keystore # keystore = #keyStorePassword= #keyStoreType:JKS, JCEKS和PKCS12—对于。p12和。JKS文件不需要# truststore对于具有自签名根CA的服务器# truststore = #trustStorePassword= #trustStoreType: JKS, JCEKS和PKCS12—对于。p12和。JKS文件不需要——NeedCopy >

5. 重新启动Tomcat服务。导航到C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\logs，打开Catalina_201x-MM-DD.log。验证没有错误，并看到以下行:13-Nov-2018 09:02:35.319 INFO [localhost-startStop-1] org.apache.cxf.endpoint.ServerImpl.initDestination设置服务器的发布地址为/EntrustGpkiAdapter
6. 导航到http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl或服务器的公共URL。并验证是否显示正确的XML。

为委托PKI适配器配置端点管理

1. 登录到端点管理控制台并导航到> PKI实体。点击添加>通用PKI实体。
2. 输入以下信息:
   • 名称:—输入PKI实体的名称。
   • WSDL URL:如果您使用的是Citrix Cloud Connector，请输入http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl。如果没有使用Citrix Cloud Connector，请输入服务器的公共URL。
   • 认证类型:选择要使用的身份验证方法。
     • 没有一个
     • HTTP基本:输入连接所需的用户名和密码。
     • 客户端证书:选择正确的SSL客户端证书。
   • 使用云连接器:在或从取决于您是否正在使用Citrix云连接器。
   • 资源位置:选择我的资源位置。
   • 允许的相对路径:输入/委托/ *。
3. 完成PKI实体的配置后，返回到设置页并添加凭据提供程序。
4. 在一般选项卡，选择您的委托实体作为发行实体和标志随着发布方法。
5. 在证书签名请求页签，设置如下:
   • 关键算法:RSA。
   • 关键尺寸:2048。
   • 签名算法SHA256withRSA。
   • 主题名称:cd = $ user.username
   • 主题备选名称:可选的。我们的建议如下:
     • 类型:用户主体名。
     • 值:user.userprincipalname美元。

   注意:

   如果更改适配器上的任何设置，请按照以下步骤重新配置凭据提供程序。

6. 配置完凭据提供程序后，导航到配置>设备策略并添加凭据策略。
7. 为您计划使用的操作系统配置策略。在每个操作系统配置页面上，为凭证类型中,选择凭据提供程序。为凭据提供程序菜单中，选择先前配置的凭据提供程序。

微软证书服务

端点管理通过其web注册接口与Microsoft证书服务接口。端点管理只支持通过该接口颁发新证书(相当于GPKI签名功能)。如果Microsoft CA生成了Citrix网关的用户证书，则Citrix网关支持对这些证书进行续订和撤销。

要在“端点管理”中创建Microsoft CA PKI实体，必须指定证书服务web界面的基URL。如果您选择，请使用SSL客户端身份验证来保护端点管理和证书服务web界面之间的连接。

添加Microsoft证书服务实体

1. 在Endpoint Management控制台中，单击控制台右上角的齿轮图标，然后单击PKI实体。

2. 在PKI实体页面,点击添加。

   出现PKI实体类型菜单。

3. 点击微软证书服务实体。

   的Microsoft证书服务实体:一般信息页面出现。

4. 在Microsoft证书服务实体:一般信息页面，配置这些设置:

   • 名称:为您的新实体键入一个名称，稍后将使用该名称来引用该实体。实体名称必须是唯一的。
   • Web注册服务根URL:键入Microsoft CA web注册服务的基本URL。例如:https://192.0.0.1/certsrv/。URL可以使用纯HTTP或HTTP-over- ssl。
   • certnew。Cer页面名称:某个新对象的名称。cer的页面。使用默认名称，除非您出于某种原因将其重命名。
   • certfnsh.asp:asp页面的名称。使用默认名称，除非您出于某种原因将其重命名。
   • 认证类型:选择要使用的身份验证方法。
     • 没有一个
     • HTTP基本:输入连接所需的用户名和密码。
     • 客户端证书:选择正确的SSL客户端证书。

   • 使用云连接器:选择在使用Cloud Connector连接到PKI服务器。然后，指定资源位置和允许的相对路径用于连接。

     • 资源位置:中定义的资源位置进行选择思杰云连接器。

     • 允许的相对路径:指定资源位置允许的相对路径。每行指定一个路径。可以使用星号(*)通配符。

       假设资源位置为https://www.ServiceRoot/certsrv。要提供对该路径中所有url的访问，请输入/ *在允许的相对路径。

5. 点击测试连接以确保服务器可访问。如果无法访问，则会出现一条消息，指出连接失败。检查您的配置设置。

6. 点击下一个。

   的微软证书服务实体:模板页面出现。在此页上，您可以指定Microsoft CA支持的模板的内部名称。创建凭据提供程序时，您可以从这里定义的列表中选择一个模板。使用此实体的每个凭据提供程序都只使用一个这样的模板。

   有关Microsoft证书服务模板要求，请参阅Microsoft Server版本的Microsoft文档。端点管理对它分发的证书没有要求，除了中提到的证书格式证书。

7. 在微软证书服务实体:模板页面,点击添加，输入模板的名称，然后单击保存。对要添加的每个模板重复此步骤。

8. 点击下一个。

   的Microsoft证书服务实体:HTTP参数页面出现。在此页面上，您为端点管理指定自定义参数，以便将其添加到对Microsoft Web Enrollment接口的HTTP请求中。自定义参数仅对在CA上运行的自定义脚本有用。

9. 在Microsoft证书服务实体:HTTP参数页面,点击添加，输入要添加的HTTP参数的名称和值，然后单击下一个。

   的Microsoft证书服务实体:CA证书页面出现。在此页面中，您必须告知端点管理系统通过该实体获得的证书的签署者。当您的CA证书更新时，请在端点管理中更新它。端点管理透明地将更改应用于实体。

10. 在Microsoft证书服务实体:CA证书页，选择要为此实体使用的证书。

11. 点击保存。

    实体出现在PKI实体表中。

Citrix网关证书吊销列表(CRL)

终端管理只支持第三方证书颁发机构使用CRL (Certificate Revocation List)。如果配置了Microsoft CA，端点管理将使用Citrix Gateway来管理吊销。

配置客户端证书认证时，需要考虑是否配置Citrix网关证书吊销列表(CRL)设置。启用CRL自动刷新。此步骤可确保处于MAM-only模式的设备的用户不能使用设备上已有的证书进行身份验证。

端点管理重新颁发新证书，因为它不限制用户在吊销用户证书后生成用户证书。该配置可提高CRL对过期PKI实体进行检测时PKI实体的安全性。

可自由支配的中科院

当您向Endpoint Management提供CA证书和关联的私钥时，将创建任意CA。端点管理根据您指定的参数在内部处理证书颁发、撤销和状态信息。

配置任意CA时，可以为该CA激活OCSP (Online Certificate Status Protocol)支持。启用OCSP支持后，CA会添加扩展id-pe-authorityInfoAccess到CA颁发的证书。扩展指向以下位置的端点管理内部OCSP响应器:

https:// < server > / <实例> / ocsp

在配置OCSP服务时，为所讨论的自由裁量实体指定OCSP签名证书。您可以使用CA证书本身作为签名者。为了避免不必要的暴露您的CA私钥(推荐):创建一个委托OCSP签名证书，由CA证书签名，并包括这个扩展:id-kp-OCSPSigning extendedKeyUsage。

端点管理OCSP响应器服务支持基本的OCSP响应和请求中的以下散列算法:

• sha - 256
• sha - 384
• sha - 512

响应使用SHA-256和签名证书密钥算法(DSA、RSA或ECDSA)进行签名。

为您的CA生成并导入证书

1. 在服务器上，使用本地系统帐户打开Microsoft管理控制台(MMC)，然后打开证书管理单元。在右侧窗格中，右键单击，然后单击所有任务>请求新的证书。

2. 在打开的向导中，单击下一个两次。在请求证书列表中,选择下级证书颁发机构然后点击更多的信息链接。

3. 在窗口中，输入a主题名称和选择的名字。点击好吧。

4. 点击招收，然后点击完成。

5. 在MMC中，右键单击您创建的证书。点击所有任务>导出。将证书导出为带有私钥的.pfx文件。选择以下选项如果可能的话，包括证书路径中的所有证书。

6. 在Endpoint Management控制台中，导航到设置>证书。

7. 点击进口。在打开的窗口中，浏览您之前导出的证书和私钥文件。

8. 点击进口。证书被添加到表中。

添加任意ca

1. 在Endpoint Management控制台中，单击控制台右上角的齿轮图标，然后单击更多> PKI实体。

2. 在PKI实体页面,点击添加。

3. 点击可自由支配的CA。

4. 在酌情CA:一般信息页面，配置如下内容:

   • 名称:为任意CA键入描述性名称。

   • CA证书签名证书请求:单击任意CA用于签署证书请求的证书。

     此证书列表是从您在端点管理上上传的带有私钥的CA证书生成的配置>设置>证书。

5. 点击下一个。

6. 在任意CA:参数页面，配置如下内容:

   • 序列号生成器:自由裁量CA为它颁发的证书生成序列号。从这个列表中，单击顺序或非时序的确定数字是如何生成的。
   • 下一个序号:键入一个值以确定发出的下一个号码。
   • 证书有效期:输入证书有效的天数。
   • 主要用途:通过将适当的密钥设置为，确定由可自由支配的CA颁发的证书的目的在。设置后，CA仅限于为这些目的颁发证书。
   • 扩展密钥用法:如需添加更多参数，可单击添加，输入密钥名称，然后单击保存。

7. 点击下一个。

8. 在全权CA:分销页，选择分发模式:

   • 集中式:服务器端密钥生成。Citrix推荐集中式选项。私钥生成并存储在服务器上，然后分发给用户设备。
   • 分布式:设备端密钥生成。私钥在用户设备上生成。这种分布式模式使用SCEP，需要RA加密证书keyUsage keyEncryption扩展和RA签名证书keyUsage digitalSignature扩展。同一个证书可以用于加密和签名。

9. 点击下一个。

10. 在任意CA:在线证书状态协议(OCSP)页面，配置如下内容:

    • 如果你想加一个AuthorityInfoAccess(RFC2459)扩展到由该CA签名的证书，设置启用对该CA的OCSP支持来在。此扩展指向CA OCSP响应器https:// < server > / <实例> / ocsp。
    • 如果启用了OCSP支持，请选择OSCP签名CA证书。此证书列表是从您上传到Endpoint Management的CA证书生成的。

    启用该特性使Citrix ADC有机会检查证书的状态。Citrix建议您启用此功能。

11. 点击保存。

    任意CA出现在PKI实体表中。

配置凭证提供程序

1. 在Endpoint Management控制台中，导航到设置>凭据提供程序，并按添加。

2. 在凭证提供者:一般信息页面，配置如下内容:

   • 名称:为新的提供程序配置键入唯一的名称。稍后将使用此名称来标识Endpoint Management控制台其他部分中的配置。
   • 描述:描述凭证提供程序。虽然此字段是可选的，但描述可以提供有关此凭据提供程序的有用详细信息。
   • 发行单位:选择可自由支配的CA。
   • 发布方法:点击标志或获取作为系统从配置的实体获取证书的方式。对于客户端证书身份验证，使用标志。

3. 点击下一个。在凭证提供者:证书签名请求页面，根据您的证书配置配置以下内容:

   • 关键算法:为新密钥对选择密钥算法。可用的值有RSA，DSA,ECDSA。

   • 关键尺寸:输入密钥对的大小(以位为单位)。必填字段。Citrix建议使用2048位。

   • 签名算法:单击新证书的值。值取决于密钥算法。Citrix建议SHA256withRSA。

   • 主题名称:必需的。键入新证书主题的专有名称(DN)。使用CN = $ {user.username}为用户名或CN = $ {user.samaccountname}使用sAMAccountName。

   • 将条目添加到主题备选名称表,点击添加。选择备选名称的类型，然后在第二列中键入一个值。

     增加以下内容:

     • 类型:用户主体名
     • 值:user.userprincipalname美元

     与主题名称一样，您可以在值字段中使用Endpoint Management宏。

4. 点击下一个。在凭证提供者:分发页面，配置如下内容:

   • 签发CA证书:选择您之前添加的任意CA证书。
   • 选择分发方式:选择以下其中一种生成和分发密钥的方法:
     • 首选集中式:服务器端密钥生成:Citrix推荐使用这种集中式选项。它支持Endpoint Management支持的所有平台，并且在使用Citrix Gateway身份验证时是必需的。私钥生成并存储在服务器上，然后分发给用户设备。
     • 首选分布式:设备端密钥生成:私钥生成并存储在用户设备上。该分布式模式使用SCEP，需要RA加密证书(keyUsage keyEncryption)和RA签名证书(keyUsage digitalSignature)。同一个证书可以用于加密和签名。
     • 仅分布式:设备端密钥生成;此选项的工作原理与首选分布式:设备端密钥生成，但如果设备端密钥生成失败或不可用，则没有可用的选项。

   如果你选择首选分布式:设备端密钥生成或仅分布式:设备端密钥生成，单击RA签名证书和RA加密证书。两者可以使用相同的证书。出现这些证书的新字段。

5. 点击下一个。在凭证提供者:撤销端点管理页，配置端点管理在内部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置如下内容:

   • 在撤销已签发的证书，选择一个选项，指示何时撤销证书。

   • 要指示端点管理在证书被吊销时发送通知:设置的值发送通知来在然后选择通知模板。

   • 在PKI上撤销证书在使用端点管理作为任意PKI时不起作用。

6. 点击下一个。在凭据提供者:撤销PKI页，确定在证书被撤销时对PKI采取的操作。您还可以选择创建通知消息。配置如下内容:

   • 启用外部撤销检查:打开这个设置在。出现了更多与撤销PKI相关的字段。

   • 在OCSP响应器CA证书列表中，选择证书主题的DN (distinguished name)。

     您可以对DN字段值使用端点管理宏。例如:CN = $ {user.username}，OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

   • 在当证书被撤销时列表中，单击以下操作之一，在证书被吊销时对PKI实体采取的操作:

     • 什么也不做。
     • 更新证书。
     • 撤销并擦除设备。

   • 要指示端点管理在证书被吊销时发送通知:设置的值发送通知来在。

     您可以选择以下两种通知选项:

     • 如果你选择选择通知模板，您可以选择预先编写的通知消息，然后自定义该通知消息。这些模板位于通知模板列表中。
     • 如果你选择输入通知详情，您可以编写自己的通知消息。除了提供收件人的电子邮件地址和消息外，您还可以设置通知的发送频率。

7. 点击下一个。在凭据提供者:续订页面，配置如下内容:

   集当证书过期时更新证书来在。出现更多字段。

   • 在证书到货时续订字段中，键入要在过期前多少天续订证书。
   • 可选地,选择不续签已过期的证书吗。在这种情况下，“已经过期”意味着NotAfter日期是过去的，而不是被撤销的。在内部撤销证书后，端点管理不会更新证书。

   指示端点管理在更新证书时发送通知:设置发送通知来在。指示端点管理在证书即将到期时发送通知:设置当证书即将到期时通知来在。对于这些选择中的任何一个，您都可以在两个通知选项中进行选择:

   • 选择通知模板:选择可自定义的预写通知消息。这些模板位于通知模板列表中。
   • 输入通知详情:写你自己的通知信息。提供收件人的电子邮件地址、消息和发送通知的频率。

8. 点击保存。