设备证书在nFactor中作为EPA组件
设备证书可以在nFactor中配置为EPA组件。设备证书可以作为EPA的一部分作为任何因素出现。
以下是将nFactor中的设备证书配置为EPA组件的好处。
设备证书验证失败不会导致登录失败。根据配置,可以继续进行登录,并将用户放在访问权限有限的组中。
由于设备证书检查是策略驱动的,您可以根据设备证书认证有选择地允许或阻止企业内网资源的访问。例如,设备证书身份验证可用于仅在公司管理的笔记本电脑上提供对Office 365应用程序的有条件访问。
设备证书验证不能作为定期EPA扫描的一部分。
重要的是:
- 默认情况下,Windows要求使用admin权限访问设备证书。如果需要增加对非admin用户的设备证书检查功能,则需要在设备上安装与EPA插件版本一致的VPN插件。
- 可以在网关中添加多个CA证书,使设备证书生效。
- 如果在客户端机器上安装两个或多个设备证书,用户必须在登录到Citrix Gateway或运行端点分析扫描之前选择正确的证书。
- 说明创建设备证书时,必须是X.509证书。
- 如果使用的是中间CA颁发的设备证书,则需要同时绑定中间CA证书和根CA证书。
- 同时还需要将CA证书与VPN虚拟服务器绑定。
将nFactor中的设备证书配置为EPA组件
使用实例使用CLI命令将nFactor中的Device Certificate配置为EPA组件。
在命令提示符处,键入;
add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass - trusteine_group epa_fail 使用GUI将nFactor中的设备证书配置为VPN虚拟服务器的EPA组件。
- 在Citrix ADC GUI中,导航到配置> Citrix Gateway >虚拟服务器.
- 在Citrix网关虚拟服务器界面,选中待修改的虚拟服务器,单击编辑.
在虚拟服务器页面中,单击Edit图标。
点击更多的.
点击添加在“设备证书的CA”区域,单击“确定”。
注意:
不要选择使设备证书复选框。启用它将启用经典EPA中的设备证书验证。
在Citrix ADC GUI中,导航到配置>安全>AAA -应用流量>策略>认证>高级策略>动作> EPA.
在身份验证EPA行动页面,点击添加.你可以点击编辑编辑现有的EPA行动。
在创建认证EPA行动页,为创建身份验证EPA操作所需字段提供值,然后单击EPA编辑器链接。
选择常见的从表达式编辑器菜单。
选择设备证书从出现的后续菜单中单击完成命令,完成配置。
使用GUI将nFactor中的设备证书配置为Citrix ADC AAA虚拟服务器的EPA组件:
在Citrix ADC GUI中,导航到安全> aaa -应用流量>虚拟服务器.
在Citrix网关虚拟服务器界面,选中待修改的虚拟服务器,单击“编辑”。
- 在身份验证虚拟服务器页面中,单击Edit图标。
点击更多的.
点击添加旁边的设备证书CA部分。
选择待添加的证书,单击好吧命令,完成配置。
- 重复步骤6 ~步骤10在上一节中列出以完成配置。
