使用设备证书进行身份验证
Citrix网关支持设备证书检查,使您能够将设备标识绑定到证书的私钥。设备证书检查可以配置为经典或高级端点分析(EPA)策略的一部分。在传统的EPA策略中,设备证书只能配置为预认证EPA。
Citrix网关在端点分析扫描运行之前或登录页面出现之前验证设备证书。如果配置端点分析,将运行端点扫描以验证用户设备。当设备通过扫描并在Citrix网关验证设备证书后,用户可以登录到NetScaler网关。
重要:
- 默认情况下,Windows强制要求使用管理员权限访问设备证书。
- 为非admin用户添加设备证书检查,需要安装VPN插件。VPN插件的版本必须与设备上的EPA插件版本保持一致。
- 您可以向网关添加多个CA证书并验证设备证书。
- 如果在Citrix Gateway上安装了两个或多个设备证书,则用户必须在开始登录Citrix Gateway时或在运行端点分析扫描之前选择正确的证书。
- 创建设备证书时,它必须是X.509证书。
- 如果您拥有由中间CA颁发的设备证书,则必须绑定中间CA证书和根CA证书。
- EPA客户端需要用户具有本地管理员权限才能访问机器证书存储。这种情况很少发生,所以一个解决方案是安装完整的NetScaler Gateway插件,它可以访问本地存储。
有关创建设备证书的详细信息,请参阅以下内容:
- Active Directory证书服务(AD CS)中的网络设备注册服务(NDES)在微软的网站上。
- 如何使用DCE/RPC和活动目录证书配置文件有效负载从Microsoft证书颁发机构请求证书在苹果的支持网站上
- iPad/iPhone证书颁发请访问Ask the Directory Services Team Microsoft支持博客。
- 设置网络设备注册服务在Windows IT Pro网站上。
- 配置管理器PKI证书部署示例:Windows Server 2008证书颁发机构在Microsoft System Center网站上。
配置设备证书的步骤
要配置设备证书,必须完成以下步骤:
在Citrix Gateway上安装设备证书颁发者的证书颁发机构证书。有关详细信息,请参见在Citrix网关上安装签名证书.
将设备证书颁发者的证书颁发机构证书绑定到Citrix Gateway虚拟服务器上,并启用OCSP检测。有关详细信息,请参见在Citrix网关上安装签名证书.
在设备证书颁发者的证书颁发机构证书上创建并绑定OCSP (responder)。有关详细信息,请参见使用OCSP监视证书状态.
在虚拟服务器上启用设备证书检查,并将设备证书颁发者的证书颁发机构证书添加到设备证书检查表中。有关详细信息,请参阅为经典EPA策略在虚拟服务器上启用设备证书检查.
在Windows机器上完成设备证书的客户端配置和验证。有关详细信息,请参见在Windows计算机上验证设备证书.
注:
所有打算使用设备证书EPA检查的客户端必须在机器的系统证书存储区中安装设备证书。
为经典EPA策略在虚拟服务器上启用设备证书检查
设备证书创建完成后,需要在“Citrix Gateway”上安装设备证书导入并安装现有证书到Citrix网关.
- 在Configuration选项卡上,导航到Citrix网关>虚拟服务器.
- 上Citrix网关虚拟服务器页面上,选择现有虚拟服务器并单击编辑.
- 上VPN虚拟服务器第页,在下面基本设置部分,单击编辑.
- 清除启用身份验证框以禁用身份验证。
- 选择启用设备证书框启用设备证书
- 点击添加将可用设备证书颁发者的CA证书名称添加到列表中。
- 当需要将CA证书绑定到虚拟服务器时,单击CA证书下设备证书CA部分,单击添加,选择证书,然后单击+.
注:
有关在虚拟服务器上为高级EPA策略启用和绑定设备证书的信息,请参阅nFactor中作为EPA组件的设备证书.
在Windows计算机上验证设备证书
打开浏览器,访问Citrix Gateway FQDN。
允许Citrix端点分析(EPA)客户端运行。如果尚未安装,则安装EPA。
Citrix EPA运行并验证设备证书,如果设备证书EPA检查通过,则重定向到认证页面,否则它将重定向到EPA错误页面。如果您有其他的EPA检查,那么EPA扫描结果取决于配置的EPA检查。
为了在客户机上进一步调试,检查客户机上的EPA日志:C:\Users<用户名>\AppData\Local\Citrix\AGEE\nsep .txt
注:
不支持使用CRL进行设备证书验证。