配置客户端证书或客户端证书和域认证
当使用Citrix ADC仅证书身份验证或证书加域身份验证时,您可以使用Citrix ADC for Citrix Endpoint Management向导执行Citrix Endpoint Management所需的配置。您只能运行一次Citrix ADC for Citrix端点管理向导。有关使用向导的信息,请参阅配置Citrix端点管理环境的设置.
如果您已经使用过该向导,请按照本文中的说明添加客户端证书身份验证或客户端证书加域身份验证所需的配置。
要确保仅MAM模式下的设备用户无法使用设备上的现有证书进行身份验证,请参阅本文后面的“Citrix ADC证书吊销列表(CRL)”。
该任务指导管理员通过图形化界面配置“Citrix Gateway”,用于客户端证书认证
- 导航到流量管理>负载平衡>虚拟服务器.
选择类型为的虚拟服务器SSL,在SSL参数部分组启用会话重用像残废.
![SSL参数页]()
- 导航到Citrix网关>虚拟服务器.
- 选择类型为的虚拟服务器SSL,然后单击编辑.
- 在SSL参数节中,单击编辑图标。
选择客户端身份验证而且客户端证书中,选择强制性的.
![SSL参数详细信息]()
创建身份验证证书策略,以便Citrix Endpoint Management可以提取用户主体名称或者萨马库特从Secure Hub提供的客户端证书到Citrix网关。
导航到Citrix网关>策略>身份验证>证书.
点击轮廓选项卡并单击添加.
配置证书配置文件的参数如下:
身份验证类型:CERT
两个因素:关(只适用于证书认证)
用户名字段:主题:CN
组名字段:主体名称:主体名称
![配置文件详细信息]()
只绑定证书认证策略为主身份验证在Citrix网关虚拟服务器中。
![绑定的政策]()
- 绑定根CA证书以验证提供给Citrix网关的客户端证书的信任。
使用GUI为客户端证书和域身份验证配置Citrix网关
- 导航到流量管理>负载平衡>虚拟服务器.
选择类型为的虚拟服务器SSL,在SSL参数部分组启用会话重用像残废.
![SSL参数页]()
去Citrix网关>策略>身份验证>证书.
点击轮廓选项卡上,单击添加.
![单击以添加证书服务器]()
进入的名字侧写的集合双因素来在,及用户名字段中,选择SubjectNamePrincipalName.
![证书服务器详细信息]()
点击政策选项卡并单击添加.
进入的名字从服务器选择证书配置文件,设置表示点击创建.
![输入表达式]()
去虚拟服务器,选择类型为的虚拟服务器SSL,然后单击编辑.
旁边认证点击+添加证书身份验证。
要选择身份验证方法,请在选择策略中,选择证书,及选择类型选择主要的,重要的. 这将证书身份验证绑定为优先级与LDAP身份验证类型相同的主身份验证。
![主要验证类型]()
下策略绑定点击单击以选择选择先前创建的证书策略。
选择先前创建的证书策略,然后单击好吧.
设定优先事项来One hundred.然后单击绑定. 在后续步骤中配置LDAP身份验证策略时,请使用相同的优先级号。
![选择优先级]()
排队等候LDAP策略点击>.
选择策略,然后从编辑下拉菜单,单击编辑装订.
输入相同的优先事项为证书策略指定的值。点击绑定.
![输入相同优先级]()
点击关闭.
![装订完成]()
单击编辑图标SSL参数部分
选择客户端身份验证复选框,然后在客户端证书选择强制性的,然后单击好吧.
![使客户端证书成为强制性的]()
点击多恩.
![配置完成]()
Citrix ADC证书吊销列表(CRL)
Citrix Endpoint Management仅支持第三方证书颁发机构的证书吊销列表(CRL)。如果配置了Microsoft CA,Citrix Endpoint Management将使用Citrix ADC管理吊销。在配置基于客户端证书的身份验证时,考虑是否需要配置Citrix ADC证书撤销列表(CRL)设置,启用CRL自动刷新. 此步骤确保仅MAM模式下的设备用户无法使用设备上的现有证书进行身份验证。Citrix Endpoint Management重新颁发新证书,因为它不会限制用户在证书被吊销时生成用户证书。当CRL检查过期的PKI实体时,此设置提高了PKI实体的安全性。