保护条款clé privée
介绍
这是一种不可损坏的出口商品。
在clés privées中存在两种类型:
- La clé privée associée au certificat de l 'autorité d 'inscription, à partir du modèle de certificat Citrix_RegistrationAuthority。
- Les clés privées associées aux certificats utilisateur, à partir du modèle de certificat Citrix_SmartcardLogon。
i exists en fait deux certificates d 'autorité d 'inscription: Citrix_RegistrationAuthority_ManualAuthorization (valid pendant 24 heures par défaut) et Citrix_RegistrationAuthority (valid pendant deux ans défaut)。
Lors de l ' étape 3 de la配置initiale在FAS的安慰书中,你们可以看到Autoriser, le server FAS génère une de clés et envoe une de signature de certificate à l 'autorité de certification pour le certificate Citrix_RegistrationAuthority_ManualAuthorization。这是一份临时证明书,挂件以défaut为准。L 'autorité de certification n ' émet pas automatiquement ce certificate;Son émission doit être manuellement autorisée sur l 'autorité de certification par UN administrtor。一个在été généré上的服务器上的证书,FAS使用Citrix_RegistrationAuthority_ManualAuthorization来获得自动的Citrix_RegistrationAuthority证书(有效的挂件是défaut)。Le server FAS suprime Le certificate et la clé pour Citrix_RegistrationAuthority_ManualAuthorization dès qu 'il obtient Le certificat Citrix_RegistrationAuthority。
La cle privee associee盟证明d 'autorite d 'inscription est particulierement明智的车拉的那个证书'autorite d 'inscription允许所有人处理de La cle privee 'emettre des需求de证书pour le groupe d 'utilisateurs配置在模型中。En conséquence, toute person qui contrôle cette clé peut se connecter à l ' environment En tant qu ' utiisateur du group。
您是一名服务人员,负责保护您的隐私,并为您提供服务,包括:
- Microsoft Enhanced RSA and AES Cryptographic Provider ou Microsoft Software Key Storage Provider pour le certificat d 'autorité d '碑文et les clés privées des certificats utilisateur。
- Microsoft平台密钥存储提供商avec une puce Trusted Platform Module(TPM)为Microsoft增强RSA和AES加密提供商提供证书专用性,为Microsoft软件密钥存储提供商提供证书专用性。
- 一种服务密码或一种存储clés de模块sécurité matérielle (HSM)和périphérique HSM pour le证书'autorité d 'inscription和clés privées des certificateur。
Paramètres de configuration des clés privées
配置FAS使用三个选项中的一个。Utilisez un éditeur de texte pour modifier le fichier Citrix.Authentication.FederatedAuthenticationService.exe.config。在服务器FAS上放置défaut du fichier是文件程序文件\Citrix\联邦认证服务。
FAS为您提供配置独特的服务démarre。如果值是modifiées, FAS是être redémarré avant qu 'il reflète les nouveaux paramètres。
Définissez les valeurs为le fichier Citrix.Authentication.FederatedAuthenticationService.exe.config comme suit提供适当服务:
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters。ProviderLegacyCsp(basculement center API CAPI et CNG)
| 瓦勒尔 | Commentaire |
|---|---|
| 真正的 | Utiliser les API CAPI |
| 假(面值défaut) | Utiliser les API CNG |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters。ProviderName(nom du fournisseur à utiliser)
| 瓦勒尔 | Commentaire |
|---|---|
| 微软增强RSA和加密提供程序 | Fournisseur CAPI par défaut |
| Fournisseur de stockage des clés de logiciel Microsoft | Fournisseur CNG par défaut |
| Fournisseur de stock des clés de platform forme Microsoft | Fournisseur TPM par défaut Veuillez不知道TPM不是recommandé pour les clés utilisateur。Utilisez le module de plateforme sécurisée (TPM) pour la clé d 'autorité d 'inscription unique。如果您prévoyez d 'exécuter votre服务器FAS在环境下virtualisé,则要求à votre fournisseur d 'hyperviseur和TPM是虚拟化的价格和费用。 |
| 高铁供应商CSP/Fourniseur de stockage de clés | 很高兴见到你。La valeur diffère d 'un fournisseur à l 'autre。如果您prévoyez d 'exécuter votre服务器FAS在环境virtualisé,则要求à votre fournisseur高质量的虚拟化服务是收费的。 |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters。ProviderType(要求唯一的avec API CAPI)
| 瓦勒尔 | Commentaire |
|---|---|
| 24 | 个数值defaut不相上下。Fait référence à la propriété Microsoft KeyContainerPermissionAccessEntry。ProviderType PROV_RSA_AES 24。请到être toujours 24,如果您使用一种高速公路和CAPI和我们的高速公路在décide autrement。 |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters。钥匙保护(lorsque FAS doit effectuer une opération de clé privée, il utilise la valeur spécifiée ici) Contrôle l ' indicator«exportable»des clés privées。在clé TPM的库存利用率,它是按matériel收费的。
| 瓦勒尔 | Commentaire |
|---|---|
| NoProtection | La clé privée peut être exportée。 |
| GenerateNonExportableKey | 个数值defaut不相上下。La clé privée ne peut pas être exportée。 |
| GenerateTPMProtectedKey | La clé privée sera gérée à l 'aide de TPM。La clé privée est stockée via le nom de fournisseur que vous avez spécifié dans NomFournisseur(例如,微软平台密钥存储提供商)。 |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters。KeyLength(spécifiez la taille de la clé privée en bits)
| 瓦勒尔 | Commentaire |
|---|---|
| 2048 | 1024 ou 4096 peut également être utilisé。 |
Les paramètres du fichier de configuration sont représentés sous forme de graphiques comme suit (Les values par défaut d 'installation apparaissent en rouge):
配置的例子scénario
例1
例如:clé privée du certificat de l 'autorité d 'inscription和les clés privées des certificats utilisateur à l 'aide de Microsoft Software Key Storage Provider
IL’s AgIT de La配置后安装。按要求提供私人服务的配置。
例2
例如:la clé privée de certificat de l 'autorité d 'inscription stockée dans la puce TPM matérielle de la carte mère du server FAS via Microsoft Platform Key Storage Provider和les clés privées des certificates utilisateur stockées à l 'aide de Microsoft Software Key Storage Provider。
服务商点菜式TPM原则部分Ce scénario part du principe que la puce TPM和首字母缩写窗口制造商的文档记录;领事部https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-vista/cc749022 (v = ws.10).
使用PowerShell (recommandé)
“自动授权证书”上写着“需求”和“权力助手”之间的联系。Cette选项建议企业通过在线认证签名获得认证证书。我们要求签署自动认证证书,以确保其有效性。
兵站1:lors de la configuration initiale de FAS à l 'aide de la console de gestion, effectuez unique les deux premières étapes:«Déployer les modèles de certificat»et«配置者une autorité de certification»。
兵站2:在服务器'autorité的证书上,ajoutez le composant logiciel enficable MMC des modèles de certificat。克利克斯有权在modèle上登记Citrix_RegistrationAuthority_ManualAuthorizationet selectionnezDupliquer模型.
Selectionnez l 'onglet一般.我的名字叫période de validité。在这个例子中,名字是Offline_RApériode和validité是两个
兵站3:sur votre serveur d 'autorité de认证,ajoutez le composant logiciel enficable MMC d 'autorité de认证。这是他的权利认证模型.Selectionnez新我的名字叫克莱克斯利弗雷尔认证模型. 请选择您的餐厅。
兵站4: chargez les applet de command PowerShell suivantes sur le serveur:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1É磁带5:générez对clés RSA在服务器FAS上的puce TPM和créez要求在进入者上签名证书,命令PowerShell在服务器FAS上运行。标记:certaines puces TPM Limited la longueur de clé。艺龙网2048元。威尔兹是一个艺龙网。
新FasAuthorizationCertificateRequest-使用TPM$true-地址\比如:
New-FasAuthorizationCertificateRequest -UseTPM $true -address fashsm.auth.netLes éléments suivants sont affichés:
意见:
- id GUID(在cet中,«5ac3d8bd-b484-4ebe-abf8-4b2cfd62ca39»)在étape suivante中需要。
- Considérez cette applet de commande PowerShell comme un«replacement»à usage unique, utilisé pour générer la clé privée pour le certificat d 'autorité d '题词。
- 下面的'exécution这个命令小程序,下面的值是à部分配置文件,下面的FAS démarre下面的vérifiées pour déterminer下面的logueur de clé à utiliser(下面的值défaut est de 2048)。
- EntEndoDeNeQueUSETPM E.D.E.D.E.F.E.S.E.D.E.S.E.D.E.
- 命令应用程序'exécution不能修改配置文件paramètres。
- 杜兰特损坏自动驾驶证书。
- Il est également possible de définir la valeur KeyProtection dans le ficier de configuration sur GenerateTPMProtectedKey lorsque le server FAS émet des certificates utilisateur pour générer des clés privées de certificat utilisateur protégées par la puce TPM。
如果你想获得更多的服务,请咨询《应用杂志》和《服务窗口观察者》的顾问,以获得更多的服务。
Notez:“[TPM:正确]”
Suivi德:
Notez:“提供商:[CNG] Microsoft平台加密提供商”
兵站6:请抄送requête的证书章节到UN的éditeur的文本,并在文件文本中登记。
兵站7: envoyez la demand de signature de certification at à l 'autorité de certification en tapant les commandes suivantes dans PowerShell sur le serveur:
Certreq -submit -attrib "certificatetemplate:\" \ 比如:
c:\ usersa \Administrator.AUTH\Desktop\usmcertreq.txtLes éléments suivants sont affichés:
À ce stade, une fenêtre content une list d 'autorités de certification peut s’affher。例如,les题词http (haut) et DCOM (bas) sont activées toutes les deux pour l 'autorité de certification。Sélectionnez选择DCOM,如果它是可拆卸的:
Après que l 'autorité de certification a été spécifiée, PowerShell affiche la requesttid:
兵站8:随附自动认证服务,随附逻辑组件,随附MMC自动认证服务,随附客户需求在attente.注意需求的id, requesttid。你的权利在于你的需求和选择迪利弗勒.
兵站9网址:sélectionnez le nœuddélivrés证书.请在être émis的证书上签字(要求相符)。给我一张双份的证书。Sélectionnez la page de l 'ongletDétails.双击苏尔复印机坏了.开胃菜出口助理。双击苏尔下一页选择关于文件格式的选择:
Le format doit être消息加密的标准语法-证书PKCS#7(.P7B)等包括我们的les证书在'accès的认证,如果可能的话doit可能为。
兵站10:请把证书exporté发给我们FAS。
兵站11:输入证书'autorité d '题词,在服务器FAS的注册上输入,在服务器FAS上输入命令小程序PowerShell suivante:
比如:
Les éléments suivants sont affichés:
兵站12: fermez la degestion FAS, puis redémarrez-la。
标记:l’étape«Autoriser ce service»由两个版本组成。
兵站13:selectionnez l 'onglet规则在我们的建议下,并在paramètres décrits中修改安装程序和配置程序.
使用控制台FAS
这个控制台不能生效requête在模式déconnecté上的证书签名;用途不等于recommandée,如果你的组织可以通过requêtes在模式下的证书签名connecté提供证书'autorité d '题词。
您可以使用FAS的配置初始化,après le déploiement des modèles de证书,以及配置'autorité de认证,但是可以使用服务(étape 3 dans la séquence de配置):
兵站1:修改配置和修改普通诉讼:
Le fichier doit maintenant s ' affier comme suit:
我们的公司是clé。在défaut上的值是2048位的一个长值。请向您保证:spécifiez一项费用:clé价格:根据您的要求:matériel。
兵站2:autorisez le服务。
兵站3: émettez manuelement la requête de certificat en attenente depuis le serveur de l 'autorité de certification。一个是证书'autorité d '铭文été obtenu,另一个是étape 3,在séquence d ' installation de la console de gestion doit être indiquée en vert。À ce stade, la clé privée du certificat d 'autorité d 'inscription est générée dans la puce TPM。该证书在défaut上有效。
兵站4: modify le ficier de configuration适合:
标记:
好的,我们可以提供générer des certificates utilisateur avec des clés protégées TPM, le matériel TPM peut être trop lent pour les déploiements de grande envergure。
兵站5: redemarrez FAS。Cela oblige le service à relire le fichier de configuration et à refléter les values modifiées。Les opérations de clé privée automatiques suivantes affecteront Les clés de certificat utilisateur;ces opérations ne stockkeront pas clés privées dans la puce TPM, mais utiliseront Microsoft Software Key Storage Provider。
兵站6:selectionnez l 'onglet规则在我们的建议下,并在paramètres décrits中修改安装程序和配置程序.
例3
例如:clé privée de certificat d 'autorité d 'inscription et les clés privées de certificats utilisateur stockées dans un HSM。例如,假设unhsm configuré。Votre HSM aura un de fournisseur,例如«HSM_Vendor 's Key Storage Provider»。
如果您prévoyez d 'exécuter votre服务器在环境下virtualisé,则要求à votre fournisseur高质量服务,如果您的服务是收费的。
兵站1。配置初始化代码à配置初始化代码l 'aide de de gestion, effectuez unique les deux premières étapes:«Déployer les modèles de certificat»et«配置者une autorité de certification»。
兵站2:高铁供应商名称的最终目的地高铁供应商文件咨询。Si votre HSM使用CAPI、le Fourniseur peutêtre dédes dans和服务密码(CSP)的文档通信。Si votre HSM利用CNG、le Fourniseur peutêtre détre détre设计通信密钥存储提供商(KSP)。
兵站3: modify le ficier de configuration适合:
Le fichier doit maintenant s ' affier comme suit:
您可以从scénario的部分原则看出,您使用CNG的方式是基于您的遗产价值的définie sur false。如果你使用CAPI,那么你的价值就是真实的。如果您使用CAPI或CNG,请参阅相关文件。另外,请查阅文档,网址为clé的文件,网址为génération De clé asymétrique RSA。在这个例子中,clé的长度为définie,值为défaut, 2048位。请向您保证:clé您可以通过spécifiée收取您的费用matériel。
兵站4:redémarrez le Service d'authentification fédérée Citrix pour lire les valeursápartir du fichier de configuration。
兵站5:générez la paire de clés RSA dans le HSM and créez la demande de certificate de cliquant sur授权在l 'onglet初始设置控制台消化功能。
兵站6:在HSM、应用程序和期刊的窗口中,为客户提供服务:
注:[Fournisseur: [CNG] HSM_Vendor 's Key Storage Provider]
兵站7: sur le serveur de l 'autorité de certification, dans la MMC d 'autorité de certification, sélectionnez le nœud需求在attente.
Cliquez拥有要求和选择的权利迪利弗勒.
标记:l’étape«Autoriser ce service»由两个版本组成。
É磁带8:selectionnez l 'onglet规则在我们的建议下,并在paramètres décrits中修改安装程序和配置程序.
FAS装运证书
FAS不使用证书的magasin在服务器上FAS倒收货人的证书。我使用données intégrée的一个基础。
Pour déterminer le GUID du certificate d 'autorité d 'inscription, entrez les applet de commande PowerShell suivantes sur le serveur FAS:
Add-pssnapin Citrix。a\* Get-FasAuthorizationCertificate -address \比如,Get-FasAuthorizationCertificate地址cg - fas - 2. - auth.net:
为了获得一份证书使用清单,请:
Get-FasUserCertificate -address \比如,Get-FasUserCertificate地址cg - fas - 2. - auth.net
标记:
如果您使用的是HSM为clés privées,参赛者使用的是identifiés par un GUID。Le GUID de la clé privée dans Le HSM peut être obtenu à l 'aide de:
获取FasUserCertificate–地址\-KeyInfo$true 比如:
Get-FasUserCertificate -address fas3.djwfas.net -KeyInfo $true
信息连通
- L 'article安装程序和配置程序这是安装和配置相关信息的主要来源。
- 我们的文章是décrits FAS服务认证体系结构集合fédérée.
- 其他文章«实用主义»在文章中是不可丢弃的配置avancee.