PKI实体
XenMobile PKI (Public Key Infrastructure)实体配置代表执行实际PKI操作(颁发、撤销和状态信息)的组件。这些组件要么是内部的,要么是外部的。内部组件被称为任意组件。外部组件是企业基础设施的一部分。
XenMobile支持以下类型的PKI实体:
微软证书服务
全权委托证书颁发机构(ca)
XenMobile支持以下CA服务器:
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
常见的PKI概念
无论其类型如何,每个PKI实体都具有以下功能的子集:
- 签名:根据证书签名请求(CSR)颁发新证书。
- 获取:恢复现有的证书和密钥对。
- 撤销:吊销客户端证书。
关于CA证书
在配置PKI实体时,需要向XenMobile指明哪个CA证书是由该实体颁发(或从中恢复)的证书的签名者。该PKI实体可以返回(获取的或新签名的)由任意数量的不同ca签名的证书。
提供每个ca的证书作为PKI实体配置的一部分。需要将证书上传到XenMobile,然后在PKI实体中引用。对于任意CA,证书隐式地是签名CA证书。对于外部实体,必须手动指定证书。
重要的是:
创建Microsoft Certificate Services Entity模板时,应避免已注册设备可能出现的身份验证问题:不要在模板名称中使用特殊字符。例如,不要使用:
!: $ () # % + * ~ ?| {} []
微软证书服务
XenMobile通过其web注册界面与Microsoft证书服务进行接口。XenMobile只支持通过该接口颁发新证书。如果Microsoft CA生成了Citrix网关的用户证书,则Citrix网关支持对这些证书进行续订和撤销。
要在XenMobile中创建Microsoft CA PKI实体,必须指定证书服务web界面的基URL。如果您选择,请使用SSL客户端身份验证来保护XenMobile与Certificate Services web界面之间的连接。
添加Microsoft证书服务实体
在XenMobile控制台中,单击控制台右上角的齿轮图标,然后单击PKI实体。
在PKI实体页面,点击添加。
出现PKI实体类型菜单。
点击微软证书服务实体。
的Microsoft证书服务实体:一般信息页面出现。
在Microsoft证书服务实体:一般信息页面,配置这些设置:
- 名称:为您的新实体键入一个名称,稍后将使用该名称来引用该实体。实体名称必须是唯一的。
- Web注册服务根URL:键入您的Microsoft CA web注册服务的基本URL;例如,
https://192.0.2.13/certsrv/。URL可以使用纯HTTP或HTTP-over- ssl。 - certnew。Cer页面名称:某个新对象的名称。cer的页面。使用默认名称,除非您出于某种原因将其重命名。
- certfnsh.asp:asp页面的名称。使用默认名称,除非您出于某种原因将其重命名。
- 认证类型:选择要使用的身份验证方法。
- 没有一个
- HTTP基本:输入连接所需的用户名和密码。
- 客户端证书:选择正确的SSL客户端证书。
点击测试连接以确保服务器可访问。如果无法访问,则会出现一条消息,指出连接失败。检查您的配置设置。
点击下一个。
的微软证书服务实体:模板页面出现。在此页上,您可以指定Microsoft CA支持的模板的内部名称。创建凭据提供程序时,您可以从这里定义的列表中选择一个模板。使用此实体的每个凭据提供程序都只使用一个这样的模板。
有关Microsoft证书服务模板要求,请参阅Microsoft Server版本的Microsoft文档。XenMobile对它所分发的证书没有要求,除了中所述的证书格式证书。
在微软证书服务实体:模板页面,点击添加,输入模板的名称,然后单击保存。对要添加的每个模板重复此步骤。
点击下一个。
的Microsoft证书服务实体:HTTP参数页面出现。在此页面上,您将为XenMobile指定自定义参数,以便将其添加到对Microsoft Web Enrollment接口的HTTP请求中。自定义参数仅对在CA上运行的自定义脚本有用。
在Microsoft证书服务实体:HTTP参数页面,点击添加,输入要添加的HTTP参数的名称和值,然后单击下一个。
的Microsoft证书服务实体:CA证书页面出现。在此页面中,您需要告知XenMobile系统通过该实体获取的证书的签名者。当您的CA证书被续签时,请在XenMobile中更新它。XenMobile透明地将更改应用于实体。
在Microsoft证书服务实体:CA证书页,选择要为此实体使用的证书。
点击保存。
实体出现在PKI实体表中。
Citrix ADC证书吊销列表(CRL)
XenMobile仅支持第三方证书颁发机构使用CRL (Certificate Revocation List)。如果您配置了Microsoft CA, XenMobile将使用Citrix ADC来管理吊销。
配置客户端证书认证时,需要考虑是否配置Citrix ADC的CRL (Certificate Revocation List)设置。启用CRL自动刷新。此步骤可确保处于MAM-only模式的设备的用户不能使用设备上已有的证书进行身份验证。
XenMobile重新颁发新证书,因为它不限制用户在吊销用户证书后生成用户证书。该配置可提高CRL对过期PKI实体进行检测时PKI实体的安全性。
可自由支配的中科院
当您向XenMobile提供CA证书和关联的私钥时,将创建任意CA。根据您指定的参数,XenMobile在内部处理证书颁发、吊销和状态信息。
在配置任意CA时,您可以为该CA激活OCSP (Online Certificate Status Protocol)支持。当且仅当启用OCSP支持时,CA才会添加该扩展id-pe-authorityInfoAccess到CA颁发的证书。扩展指向以下位置的XenMobile内部OCSP响应器:
https:// < server > / <实例> / ocsp
在配置OCSP服务时,为所讨论的自由裁量实体指定OCSP签名证书。您可以使用CA证书本身作为签名者。为了避免不必要的暴露您的CA私钥(推荐):创建一个委托OCSP签名证书,由CA证书签名,并包括这个扩展:id-kp-OCSPSigning extendedKeyUsage。
XenMobile OCSP响应器服务支持基本的OCSP响应和请求中的以下散列算法:
- sha - 1
- sha - 224
- sha - 256
- sha - 384
- sha - 512
响应使用SHA-256和签名证书密钥算法(DSA、RSA或ECDSA)进行签名。
添加任意ca
在XenMobile控制台中,单击控制台右上角的齿轮图标,然后单击更多> PKI实体。
在PKI实体页面,点击添加。
出现PKI实体类型菜单。
点击可自由支配的CA。
的酌情CA:一般信息页面出现。
在酌情CA:一般信息页,做以下工作:
- 名称:为任意CA键入描述性名称。
CA证书签名证书请求:单击任意CA用于签署证书请求的证书。
此证书列表是从您在XenMobile上上传的带有私钥的CA证书生成的配置>设置>证书。
点击下一个。
的任意CA:参数页面出现。
在任意CA:参数页,做以下工作:
- 序列号生成器:自由裁量CA为它颁发的证书生成序列号。从这个列表中,单击顺序或非时序的确定数字是如何生成的。
- 下一个序号:键入一个值以确定发出的下一个号码。
- 证书有效期:输入证书有效的天数。
- 主要用途:通过将适当的密钥设置为,确定由可自由支配的CA颁发的证书的目的在。一旦设置好,CA就会被限制为这些目的颁发证书。
- 扩展密钥用法:如需添加更多参数,可单击添加,输入密钥名称,然后单击保存。
点击下一个。
的全权CA:分销页面出现。
在全权CA:分销页,选择分发模式:
- 集中式:服务器端密钥生成。Citrix推荐集中式选项。私钥生成并存储在服务器上,然后分发给用户设备。
- 分布式:设备端密钥生成。私钥在用户设备上生成。这种分布式模式使用SCEP,需要RA加密证书
keyUsage keyEncryption扩展和RA签名证书keyUsage digitalSignature扩展。同一个证书可以用于加密和签名。
点击下一个。
的任意CA:在线证书状态协议(OCSP)页面出现。
在任意CA:在线证书状态协议(OCSP)页,做以下工作:
- 如果你想加一个
AuthorityInfoAccess(RFC2459)扩展到由该CA签名的证书,设置启用对该CA的OCSP支持来在。此扩展指向CA OCSP响应器https:// < server > / <实例> / ocsp。 - 如果启用了OCSP支持,请选择OSCP签名CA证书。此证书列表是由您上传到XenMobile的CA证书生成的。
- 如果你想加一个
点击保存。
任意CA出现在PKI实体表中。