XenMobile

Autenticación con certificado de cliente o certificado y dominio

En XenMobile, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de XenMobile, considere la posibilidad de usar la autenticación basada en certificados. En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia del usuario. La autenticación con certificado y dominio tiene las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en Citrix ADC.

Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con resultado, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en XenMobile, XenMobile no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben mediante un PIN único que genera XenMobile para ellos. Cuando el usuario tiene acceso, XenMobile crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de XenMobile.

Puede utilizar el asistente de Citrix ADC para XenMobile para llevar a cabo la configuración necesaria para XenMobile cuando se usa la autenticación con solo certificado o la autenticación con certificado y dominio en Citrix ADC. Puede ejecutar el asistente de Citrix ADC para XenMobile solamente una vez.

En los entornos de alta seguridad, donde el uso de las credenciales de LDAP fuera de una organización en redes públicas o no seguras se considera una amenaza acuciante a la seguridad de la organización. Para entornos altamente seguros, la autenticación de dos factores mediante un certificado del cliente y un token de seguridad es una posibilidad. Para obtener más información, consulteConfiguración de XenMobile para la autenticación con certificado y token de seguridad.

La autenticación con certificado del cliente está disponible para el modo XenMobile MAM (solo MAM) y el modo ENT (cuando los usuarios se inscriben en MDM). La autenticación con certificado del cliente no está disponible para el modo XenMobile ENT cuando los usuarios se inscriben en el modo MAM antiguo. Para usar la autenticación con certificado del cliente en los modos ENT y MAM de XenMobile, debe configurar el servidor Microsoft, XenMobile Server y, a continuación, Citrix Gateway. Siga estos pasos generales, como se describe en este artículo.

En el servidor Microsoft:

  1. Agregue el complemento de Certificados a la consola MMC (Microsoft Management Console).
  2. Agregue la plantilla a la entidad de certificación (CA).
  3. Cree un certificado PFX desde el servidor de CA.

En XenMobile Server:

  1. Cargue el certificado en XenMobile.
  2. Cree una entidad PKI para la autenticación por certificado.
  3. Configure proveedores de credenciales.
  4. Configure Citrix Gateway para entregar un certificado de usuario para la autenticación.

Para obtener información sobre la configuración de Citrix Gateway, consulte los siguientes artículos de la documentación de Citrix ADC:

Requisitos previos

  • Cuando cree plantillas de entidad para Servicios de certificado de Microsoft, no use caracteres especiales para evitar posibles problemas de autenticación en los dispositivos inscritos. Por ejemplo, no use estos caracteres en el nombre de la plantilla:: ! $ () # % + * ~ ? | {} []

  • Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulteeste blog de Microsoft. Configure el sitio del servidor de la entidad de certificación (CA) para que Exchange ActiveSync requiera certificados de cliente.
  • Si utiliza certificados de servidor privados para proteger el tráfico de ActiveSync hacia el servidor Exchange Server, compruebe que los dispositivos móviles tienen todos los certificados raíz e intermedios necesarios. De lo contrario, la autenticación basada en certificados falla durante la configuración de buzones de correo en Secure Mail. En la consola IIS de Exchange, debe:
    • Agregar un sitio web para que XenMobile lo use con Exchange y enlazar el certificado de servidor web.
    • Usar el puerto 9443.
    • Para ese sitio web, debe agregar dos aplicaciones, una para “Microsoft-Server-ActiveSync” y otra para “EWS”. En ambas aplicaciones, enConfiguración de SSL, habiliteRequerir SSL.

Agregar el complemento de Certificados a Microsoft Management Console

  1. Abra la consola y haga clic enAgregar o quitar complemento.

  2. Agregue los complementos siguientes:

    • Plantillas de certificado
    • Certificados (Equipo local)
    • Certificados (Usuario local)
    • Entidad de certificación (Local)

    Microsoft Management Console

  3. ExpandaPlantillas de certificado.

    Microsoft Management Console

  4. Seleccione la plantillaUsuarioyDuplicar plantilla.

    Microsoft Management Console

  5. Suministre el nombre para mostrar de la plantilla.

    Importante:

    Marque la casillaPublicar certificado en Active Directorysolo si es necesario. Si selecciona esta opción, todos los certificados de cliente de los usuarios se crearán en Active Directory, lo que podría desorganizar su base de datos de Active Directory.

  6. SeleccioneWindows 2003 Servercomo tipo de plantilla. En Windows 2012 R2 Server, enCompatibilidad, seleccioneEntidad de certificacióny definaWindows 2003como destinatario.

  7. EnSeguridad, seleccione la opciónInscribiren la columnaPermitirpara los usuarios autenticados.

    Microsoft Management Console

  8. EnCriptografía, compruebe que indica el tamaño de la clave. Más adelante, al configurar XenMobile, introduzca el tamaño de esa clave.

    Microsoft Management Console

  9. EnNombre del sujeto, seleccioneProporcionado por el solicitante. Aplique y guarde los cambios.

    Microsoft Management Console

Agregar la plantilla a la entidad de certificación

  1. Vaya aEntidad de certificacióny seleccionePlantillas de certificado.

  2. Haga clic con el botón secundario en el panel derecho y seleccioneNueva > Plantilla de certificado que se va a emitir.

    Microsoft Management Console

  3. Seleccione la plantilla que creó en el paso anterior y haga clic enAceptarpara agregarla a laEntidad de certificación.

    Microsoft Management Console

Crear un certificado PFX desde el servidor de CA

  1. Cree un certificado .pfx de usuario con la cuenta de servicio con la que inició sesión. Este PFX se carga en XenMobile, con lo que se solicita un certificado de usuario de parte de los usuarios que inscriban sus dispositivos.

  2. EnUsuario actual, expandaCertificados.

  3. Haga clic con el botón secundario en el panel derecho y después haga clic enSolicitar un nuevo certificado.

    Microsoft Management Console

  4. Aparecerá la pantallaInscripción de certificados. Haga clic enNext.

    Microsoft Management Console

  5. SeleccioneDirectiva de inscripción de Active Directoryy haga clic enSiguiente.

    Microsoft Management Console

  6. Seleccione la plantillaUsuarioy haga clic enInscribir.

    Microsoft Management Console

  7. Exporte el archivo .pfx que creó en el paso anterior.

    Microsoft Management Console

  8. Haga clic enExportar la clave privada.

    Microsoft Management Console

  9. 品牌las卡西利亚斯Si es posible, incluir todos los certificados en la ruta de acceso de certificaciónyExportar todas las propiedades extendidas.

    Microsoft Management Console

  10. Defina la contraseña que va a usar para cargar este certificado en XenMobile.

    Microsoft Management Console

  11. Guarde el certificado en su disco duro.

Cargar el certificado en XenMobile

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantallaParámetros.

  2. Haga clic enCertificadosy, a continuación, enImportar.

  3. Introduzca los parámetros siguientes:

    • Importar:Almacén de claves.
    • Tipo de almacén de claves:PKCS#12.
    • Usar como:Servidor.
    • Archivo de almacén de claves:Haga clic enExaminarpara seleccionar el certificado.pfxque ha creado.
    • Contraseña:Introduzca la contraseña que creó para este certificado.

    Pantalla de configuración de certificados

  4. Haga clic enImportar.

  5. Verifique que el certificado se ha instalado correctamente. Un certificado correctamente instalado se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación con certificados

  1. EnParámetros, vaya aMás > Administración de certificados > Entidades PKI.

  2. Haga clic enAgregary, a continuación, haga clic enEntidad de Servicios de certificados de Microsoft. Aparecerá la pantallaEntidad de Servicios de certificados de Microsoft: Información general.

  3. Introduzca los parámetros siguientes:

    • Nombre:Introduzca un nombre.
    • URL raíz del servicio de inscripción web:https://RootCA-URL/certsrv/Debe agregar la última barra diagonal (/) a la ruta de URL.
    • certnew.cer page name:certnew.cer (valor predeterminado)
    • certfnsh.asp:certfnsh.asp (valor predeterminado)
    • Tipo de autenticación:Certificado de cliente.
    • Certificado de cliente SSL:Seleccione el certificado de usuario que se va a usar para emitir el certificado de cliente XenMobile.

    Pantalla de configuración de certificados

  4. EnPlantillas, agregue la plantilla que creó cuando configuró el certificado de Microsoft. No agregue espacios.

    Pantalla de configuración de certificados

  5. Omita el paso “Parámetros HTTP” y haga clic enCertificados de CA.

  6. Seleccione el nombre de la CA raíz que le corresponda a su entorno. Esta CA raíz es parte de la cadena importada desde el certificado cliente de XenMobile.

    Pantalla de configuración de certificados

  7. Haga clic enGuardar.

Configurar proveedores de credenciales

  1. EnParámetros, vaya aMás > Administración de certificados > Proveedores de credenciales.

  2. Haga clic enAgregar.

  3. EnGeneral, introduzca los parámetros siguientes:

    • Nombre:Introduzca un nombre.
    • Descripción:Introduzca una descripción.
    • Entidad de emisión:Seleccione la entidad PKI creada anteriormente.
    • Método de emisión:的迹象。
    • Plantillas:Seleccione la plantilla agregada en el apartado de la entidad PKI.

    Pantalla de configuración de proveedores de credenciales

  4. Haga clic enSolicitud de firma de certificadoe introduzca los parámetros siguientes:

    • Algoritmode clave:RSA
    • Tamaño de clave:2048
    • Algoritmode firma:SHA256withRSA
    • Nombre del sujeto:cn=$user.username

    ParaNombre alternativo del sujeto, haga clic enAgregare introduzca los parámetros siguientes:

    • Tipo:Nombre principal del usuario.
    • Valor:$user.userprincipalname

    Pantalla de configuración de proveedores de credenciales

  5. Haga clic enDistribucióne introduzca los parámetros siguientes:

    • CA emisora de certificados:Seleccione la CA emisora que firmó el certificado del cliente XenMobile.
    • Seleccionar modo de distribución:MarquePreferir modo centralizado: Generación de clave en el lado del servidor.

    Pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes (Revocacion XenMobileyRevocación PKI), defina los parámetros, si es necesario. En este ejemplo, ambas opciones se omiten.

  7. Haga clic enRenovación.

  8. EnRenovar certificados cuando caduquen, seleccione.

  9. Deje todos los demás parámetros con los valores predeterminados o cámbielos si es necesario.

    Pantalla de configuración de proveedores de credenciales

  10. Haga clic enGuardar.

Configurar Secure Mail para la autenticación con certificados

Cuando agregue Secure Mail a XenMobile, configure los parámetros de Exchange enParámetros de aplicación.

Pantalla Configuración de aplicaciones

Configurar la entrega de certificados de Citrix ADC en XenMobile

  1. Inicie sesión en la consola de XenMobile y haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantallaParámetros.

  2. EnServidor, haga clic enCitrix Gateway.

  3. Si Citrix Gateway aún no está agregado, haga clic enAgregary especifique los parámetros:

    • URL externa:https://YourCitrixGatewayURL
    • Tipo de inicio de sesión:Certificado y dominio.
    • Se requiere contraseña:No.
    • Establecer como predeterminado:Sí.
  4. EnEntregar certificado de usuario para autenticación, seleccione.

    Pantalla de configuración de Citrix Gateway

  5. EnProveedor de credenciales, seleccione un proveedor y haga clic enGuardar.

  6. Si va a usar atributos de sAMAccount en los certificados de usuario como alternativa al nombre principal de usuario (UPN), configure el conector de LDAP en XenMobile de este modo: vaya aParámetros > LDAP混合,seleccione el directorio clic enModificar, y seleccionesAMAccountNameenBuscar usuarios por.

    Pantalla de configuración de LDAP

Habilitar el销de Citrix y el almacenamiento encaché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya aParámetros > Propiedades de clientey marque las casillasEnable Citrix PIN AuthenticationyEnable User Password Caching. Para obtener más información, consultePropiedades de cliente.

Solucionar problemas en la configuración de certificados de cliente

Después de definir correctamente la configuración anterior, además de configurar Citrix Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben sus dispositivos móviles.

  2. XenMobile solicita a los usuarios que creen un PIN de Citrix.

  3. Se redirige a los usuarios a XenMobile Store.

  4. Cuando los usuarios inician Secure Mail, XenMobile no les pide credenciales para configurar su buzón. En su lugar, Secure Mail solicitará el certificado del cliente de Secure Hub y lo enviará a Microsoft Exchange Server para la autenticación. Si XenMobile pide credenciales cuando los usuarios inician Secure Mail, verifique si ha configurado todo correctamente.

Si los usuarios pueden descargar e instalar Secure Mail, pero durante la configuración de buzones Secure Mail no puede finalizar la configuración:

  1. Si el servidor de Microsoft Exchange ActiveSync usa certificados de servidor SSL privados para proteger el tráfico, compruebe que los certificados raíz e intermedios están instalados en el dispositivo móvil.

  2. Compruebe que el tipo de autenticación seleccionado para ActiveSync esRequerir certificados de cliente.

    Pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, visite el sitioMicrosoft-Server-ActiveSyncpara ver si tiene habilitada la autenticación con asignación de certificados del cliente. De forma predeterminada, la autenticación con asignación de certificados del cliente está inhabilitada. La opción está enEditor de configuración > Seguridad > Autenticación.

    Pantalla de configuración de Microsoft ActiveSync

    Después de seleccionarTrue, debe hacer clic enAplicarpara que los cambios tengan efecto.

  4. Revise la configuración de Citrix Gateway en la consola de XenMobile:Entregar certificado de usuario para autenticacióndebe estaractivadoyProveedor de credencialesdebe tener seleccionado el perfil correcto.

Para determinar si el certificado del cliente se ha entregado a un dispositivo móvil

  1. En la consola de XenMobile, vaya aAdministrar > Dispositivosy seleccione el dispositivo.

  2. Haga clic enModificaroMostrar más.

  3. Vaya a la secciónGrupos de entregay busque esta entrada:

    Citrix Gateway Credentials: Requested credential, CertId=

Para validar si está habilitada la negociación de certificados de cliente

  1. Ejecute este comandonetshpara ver la configuración del certificado SSL que está vinculado en el sitio web de IIS:

    netsh http show sslcert

  2. Si el valor deNegotiate Client CertificateesDisabled, ejecute el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable