作为EPA组件的Nfactor中的设备证书
设备证书可以在nFactor中配置为EPA组件。设备证书可以作为EPA的一部分出现。
以下是在nFactor中将设备证书配置为EPA组件的好处。
设备证书验证失败不会导致登录失败。根据配置,可以继续登录,并将用户置于访问权限有限的组之下。
由于设备证书检查是策略驱动的,因此您可以基于设备证书认证,有选择地允许或阻止对企业内网资源的访问。例如,设备证书身份验证可用于仅在公司托管的笔记本电脑上提供对Office 365应用程序的有条件访问。
设备证书验证不能作为定期EPA扫描的一部分。
重要:
- 默认情况下,Windows强制要求使用管理员权限访问设备证书。添加对非admin用户的设备证书检查时,需要在设备上安装与EPA插件版本相同的VPN插件。
- 通过在网关上添加多个CA证书,可以验证设备证书的有效性。
- 如果在客户端机器上安装两个或多个设备证书,用户必须在登录Citrix Gateway时或在端点分析扫描运行之前选择正确的证书。
- 在创建设备证书时,它必须是X.509证书。
- 如果您拥有由中间CA颁发的设备证书,则必须绑定中间CA和根CA证书。
- 同时还需要将CA证书与VPN虚拟服务器绑定。
将NFactor配置为EPA组件的设备证书
使用CLI命令将nFactor中的设备证书配置为EPA组件。
在命令提示符处,输入;
添加认证epaAction epa act-csecexpr系统客户端expr(“设备证书0”)-默认组epa通过-隔离组epa失败<--需要复制-->要使用GUI将nFactor中的设备证书配置为VPN虚拟服务器的EPA组件,请执行以下操作:
- 在Citrix ADC GUI中,导航到配置>Citrix网关>虚拟服务器.
- 在Citrix Gateway虚拟服务器选中待修改的“虚拟服务器”,单击编辑.
在虚拟服务器页面,单击“编辑”图标。
![VPN虚拟服务器页面]()
点击更多的.
点击添加旁边的CA for Device证书部分,然后单击“确定”。
![单击添加]()
注意:
不要选择使设备证书复选框。启用它将启用传统EPA中的设备证书验证。
在Citrix ADC GUI中,导航到配置>安全>AAA -应用流量>策略>认证>高级策略>动作> EPA.
在身份验证EPA措施页面,点击添加.你可以点击编辑编辑现有的EPA行动。
在创建认证EPA行动页面,为所需字段提供创建身份验证EPA操作的值,然后单击EPA编辑器关联。
选择常见的来自表达式编辑器菜单。
![选择常见]()
选择设备证书从出现并单击的后续菜单完毕以完成配置。
![选择设备证书]()
要使用GUI将NFERTOR中的设备证书配置为CITRIX ADC AAA虚拟服务器的EPA组件:
在Citrix ADC GUI中,导航到安全> aaa应用流量>虚拟服务器.
在Citrix Gateway虚拟服务器,选择要修改的虚拟服务器,单击“编辑”。
- 在身份验证虚拟服务器页面,单击“编辑”图标。
点击更多的.
点击添加旁边的CA对于设备证书部分。
![单击添加]()
选择要添加的证书,然后单击好啊以完成配置。
![选择设备证书]()
- 重复步骤6至步骤10在上一节中列出以完成配置。
