实体PKI

Une configuration d 'entité d ' infrastructure de clé publique (PKI) XenMobile représente un composant réalisant des opérations PKI réelles (émission, révocation et information d ' état)。Ces composants sont internes ou externes à XenMobile。Les composants internes sont appelés discrétionnaire。外部组合，字体，党派，选民，基础设施，企业。

XenMobile prend en charge les types d 'entités PKI suivantes:

• 服务认证微软

• Autorités de certification discrétionnaires (CA)

XenMobile prend en charge les servers d 'autorité de certification suivants:

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2

PKI公社的概念

Quel que soit son type, chque entité PKI possède un sous-ensemble des fonctionnalités suivantes:

• 签名者:émission d 'un nouveau certificate, basé sur une demand de signature de certificate (CSR)。
• Recuperer:Récupération d 'UN certificat existant et d 'une paire de clés。
• Revoquer:Révocation d’un证书客户端。

À propos des certificats CA

Lorsque vous configururez une entité PKI, informez XenMobile de la nature du certificate d 'autorité de certification qui est le signataire des certificates émis par (ou récupérés depuis) cette entité。认证entité PKI认证signés (récupérés ou nouvellement signés)认证不确定'autorités认证différentes。

Fournissez le certificate de chacune de ces autorités de certification dans le cadre de la configuration de l 'entité PKI。Pour ce faire, chargez les certificates sur XenMobile puis référencez-les dans l 'entité PKI。倾注les autorités de认证discrétionnaires, le certificat est implicat le certificat de l 'autorité de认证签名者。Pour les entités externes, vous devez spécifier le certificat manuelement。

重要的是:

Lorsque vous créez un modèle d 'entité Services de certificats Microsoft， évitez les problèmes d ' authentication可能avec des appareils铭文;N 'utilisez pas de caractères spéciaux dans le nom du modèle。例如，n 'utilisez pas:！: $ () # % + * ~ ?| {} []

服务认证微软

XenMobile se connect avec Microsoft Certificate Services Web par lebiais de son interface d 'inscription Web。XenMobile prend unique en charge l ' émission de nouveaux证书通过cette接口。Si l 'autorité de certification Microsoft génère un certificat d 'utilisateur Citrix Gateway, Citrix Gateway prend en charge le renouvellement et la révocation de ces certificates。

Pour créer une entité PKI Microsoft CA dans XenMobile, vous devez spécifier l ' address URL de base de l 'interface Web des services de certificates。Si vous le souhaitez, utilisez l ' authentication de client SSL pour sécuriser la connexion entre XenMobile et l 'interface Web des services de certifats。

Ajouter une entité Services de certificats Microsoft

1. Dans la console XenMobile, cliquez sur l 'icône d 'engrenage Dans le coin supérieur droit de la console, puis cliquez sur实体PKI．

2. Sur la page实体PKI， cliquez surAjouter．

   Un menu des types d 'entité PKI s 'affiche。

3. 双击苏尔Entité Services de certificats Microsoft．

   拉页Entité Services de certificats微软:信息générales'affiche。

4. Sur la pageEntité Services de certificats微软:信息générales， configurez ces paramètres:

   • 笔名:主菜:UN nom pour votre nouvelle entité， qui sera utilisé加上:tard pour faire référence à cette entité。Les names de l 'entité doivent être uniques。
   • 网址:racine du service d 'inscription网站:entrez l ' address URL de votre service d 'inscription Web d 'autorité de certification微软;比如,https://192.0.2.13/certsrv/．L ' address URL peut utiliser unformat HTTP或HTTP-over- ssl。
   • 笔名certnew。cer:笔名certnew.cer。使用笔名défaut sauf si vous l 'avez renommé pour une raison quelconque。
   • certfnsh.asp:笔名cerfnsh .asp。使用笔名défaut sauf si vous l 'avez renommé pour une raison quelconque。
   • d型认证:Choisissez la méthode d’authentication à utiliser。
     • 没有任何
     • HTTP basique:请用我的笔名和我的请求代替我的连接者。
     • 证书客户端:sélectionnez le certificat客户端SSL正确。

5. 双击苏尔测试者的连接倒你的保险要求服务最容易获得。S 'il n 'est pas accessible, un message S 'affiche, indiquant que la connexion a échoué。Vérifiez vos paramètres de配置。

6. 双击苏尔下一页．

   拉页Entité Services de certificats微软:modèles'affiche。Sur cette page, spécifiez le nom interne des modèles pris en charge par votre autorité de certification Microsoft。Lors de la création de Fournisseurs d ' information d 'identification, vous devez sélectionner un modèle dans la liste définie ici。chque fournisseur d 'identités utilisant cette entité utilise un seul modèle de ce type。

   Pour connaître la configuration requise Pour les modèles Services de certificats Microsoft, veuillez consulter la documentation Microsoft relative à votre version de server Microsoft。XenMobile ne requiert pas de configuration particulière pour les certificates qu 'il distribute autre que les formats de certificat indiqués dans证书．

7. Sur la pageEntité Services de certificats微软:modèles， cliquez surAjouter， entrz le nom du modèle et cliquez sur记录．Répétez cette étape pour chque modèle à ajouter。

8. 双击苏尔下一页．

   拉页Entité Services de certificats微软:paramètres HTTP'affiche。Sur cette页面，spécifiez des paramètres personnalisés que XenMobile doit ajouter à la requête HTTP auprès de l 'interface d 'inscription Web de Microsoft。Les paramètres personnalisés ne sont utiles que pour Les scripts personnalisés exécutés sur l 'autorité de certification。

9. Sur la pageEntité Services de certificats微软:paramètres HTTP， cliquez surAjouter，我们的名字和价值paramètres我们的名字和价值，我们的朋友下一页．

   拉页Entité Services de certificats Microsoft: certifats CA'affiche。在此页面，您的通知者XenMobile des signataires des certifats que le système obtient par le biais de cette entité。Lorsque votre certificate at CA est renouvelé， mettez-le à jour dans XenMobile。XenMobile贴花le变化à l 'entité de manière透明。

10. Sur la pageEntité Services de certificats Microsoft: certifats CA， sélectionnez les certifats que vous voulez utiliser pour cette entité。

11. 双击苏尔记录．

    L 'entité s 'affiche sur le tableau Entités PKI。

列出révocation de certificaterats (CRL) Citrix ADC

XenMobile prend en charge la liste de révocation de certifats (CRL) uniquement pour une autorité de certification tierce。Si vous disz d 'une autorité de certification Microsoft configurée, XenMobile利用Citrix ADC倒gérer la révocation。

Lorsque vous configurez l ' authentication basée sur un certificat client, vous devez décider si vous souhaitez configurer le paramètre Liste de révocation de certificats (CRL) Citrix ADC，启用CRL自动刷新．Cette étape担保式服装使用方式MAM独家未认证者à服装存在证明。

XenMobile émet un nouveau certificat, car il n 'interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué。Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d 'entités PKI expirées。

Autorités de certification discrétionnaires

Une autorité de certification discrétionnaire est créée lorsque vous fournissez un certificat d 'autorité de certification et la clé privée qui lui est associée à XenMobile。XenMobile gère l ' émission, la révocation et les information d ' état en interne des certificates, selon les paramètres que vous spécifiez。

Lorsque vous configure une autorité de certification discrétionnaire, vous pouver la prise en en charge du protocol OCSP pour cette autorité de certification。Si, et uniquement Si vous activez la prise en charge du protocol OCSP, l 'autorité de certification ajoute une extensionid-pe-authorityInfoAccessAux certificates qu 'elle émet。L 'extension pointe vers le répondeur OCSP interne de XenMobile à L 'emplacement suivant:

https:// < server > / <实例> / ocsp

Lors de la configuration du service OCSP, spécifiez un certificat de signature OCSP pour l 'entité discrétionnaire en question。您使用证书'autorité de认证lui-même需要签字。倒éviter la泄露inutile de la clé privée de votre autorité de certification (recommandé)， créez un certificat de signature OCSP délégué， signé par le certificat d 'autorité de certification et include l 'extension suivante:id-kp-OCSPSigning extendedKeyUsage．

Le service du répondeur OCSP de XenMobile prend en charge les réponses OCSP de base et les algorithm de hash suivants utilisés dans les requêtes:

• sha - 1
• sha - 224
• sha - 256
• sha - 384
• sha - 512

Les réponses sont signées avec SHA-256 et l ' algorithm de clé du certificat de signature (DSA, RSA ou ECDSA)。

Ajouter des autorités de certification discrétionnaires

1. Dans la console XenMobile, cliquez sur l 'icône d 'engrenage Dans le coin supérieur droit de la console, puis cliquez sur加上> Entités PKI．

2. Sur la page实体PKI， cliquez surAjouter．

   Un menu des types d 'entité PKI s 'affiche。

3. 双击苏尔CA discretionnaire．

   拉页CA discrétionnaire:信息générales'affiche。

4. Sur la pageCA discrétionnaire:信息générales， procédez comme西装:

   • 笔名:entrz un nom descriptif pour la CA discrétionnaire。

   • Certificat CA utilisé pour signer les demandes de certificate:cliquez sur un certificat pour la CA discrétionnaire à utiliser pour签名者les demand de certificate。

     Cette liste de certificates est générée à partir des certificats CA avec des clés privées que vous avez chargées sur XenMobile dans配置> Paramètres >证书．

5. 双击苏尔下一页．

   拉页CA discrétionnaire: paramètres'affiche。

6. Sur la pageCA discrétionnaire: paramètres， procédez comme西装:

   • Générateur de numéro de série:la CA discrétionnaire génère des numéros de série pour les certificates qu 'elle émet。我是你的朋友Sequentiel欧Non-sequentiel倒déterminer评论les numéros sont générés。
   • Numéro de série suivant:恳求une valeur pour déterminer le numéro suivant émis。
   • 有效证明书请允许我说，这是我的名义，这是我的证明，这是有效的。
   • 使用率clé:Identifiez la function des certificates émis par l 'autorité de certification discrétionnaire en définissant les clés appropriées sur活跃的．Une fois cette选项définie, l 'autorité de certification peut uniquement émettre des certifats aux fins susmentionnées。
   • 使用clé étendue:倒杯酒paramètres, cliquez surAjouter， entrz le nom de clé， puis cliquez sur记录．

7. 双击苏尔下一页．

   拉页CA discrétionnaire:分发'affiche。

8. Sur la pageCA discrétionnaire:分发， sélectionnez UN模式解分发:

   • Centralisé: génération de la clé sur le servur．Citrix推荐l 'option centralisée。Les clés privées sont générées et stockées sur le servur et distribuées sur Les appareils des utilisateurs。
   • Distribué: génération de la clé sur l 'appareil．Les clés privées sont générées sur Les appareils des utilisateurs。Ce模式distribué利用SCEP et requiert un certificate at de chiffire RA avec l 'extensionkeyUsage keyEncryption等签章证书及延期证明keyUsage digitalSignature．Le même certificat peut être utilisé pour Le chiffrement et la signature。

9. 双击苏尔下一页．

   拉页CA discrétionnaire:协议OCSP'affiche。

   Sur la pageCA discrétionnaire:协议OCSP， procédez comme西装:

   • Si vous souhaitez ajouter une extensionAuthorityInfoAccess(RFC2459) pour les certificates signés par cette autorité de certification, définissez激活le支持d 'OCSP倒cette CA苏尔活跃的．赛特扩展足尖le répondeur OCSP de l 'autorité de certification surhttps:// < server > / <实例> / ocsp．
   • Si vous avez activé la prise en charge du protocol OCSP, sélectionnez un certifat d 'autorité de certification de signature OSCP。Cette list de certificates est générée à partir des certificates d 'autorité de certification que vous avez chargés sur XenMobile。

10. 双击苏尔记录．

    L 'autorité de certification discrétionnaire s 'affiche sur le tableau Entités PKI。