인증서및인증
XenMobile작동중에다음과같은다양한구성소가。
- XenMobile服务器:XenMobile Server는등록보및등록환경을정의하는위치입니다。사용자등록에대한옵션은다음과같습니다。
- 등록을모두에게공개할지초대전용으로할지여부。
- 2단계을구할지3단계을구할지여부。XenMobile의클라이언트속성을통해Citrix销인증을사용하도록설정하고销의복잡성과만료시간을구성합니다。
- Citrix ADC:Citrix ADC는微SSL VPN세션을종료할수있는기능을제공합니다。또한Citrix ADC는네트워크전송중보안기능을제공하며사용자가앱에액세스할때마다사용되는인증환경을정의할수있게해줍니다。
安全中心:등록작업에서安全Hub와XenMobile Server가함께작동합니다。Secure Hub는장치에서Citrix ADC와통신하는엔터티입니다。세션이만료되면가安全中心Citrix ADC로부터인증티켓을받아MDX앱에해당티켓을전달합니다。Citrix는인증서고정을권장하며,이방식은메시지가로채기(中间人)공격을방지해줍니다。자세한내용은安全中心문서에서인증서고정섹션을참조하십시오。
또한安全集线器를통해MDX보컨테이너를쉽게사용할수있습니다。安全中心는정책을푸시하고앱이시간초과되면Citrix ADC를통해세션을만들며MDX시간초과및인증환경을정의합니다。또한安全中心는탈옥감지,지오로케이션확인및사용자가적용한모든정책을관리합니다。
- MDX정책:MDX정책은장치에서데이터저장소를만듭니다。MDX정책은微VPN연결을다시Citrix ADC로리디렉션하고오프라인모드제한과시간초과같은클라이언트정책을적용합니다。
1단계인증및2단계인증방법의개요를비롯한인증구성에대한자세한내용은배포안내서에서인증문서를참조하십시오。
XenMobile의서를사용하여보할수있습니다。이문서의나머지부분에서外公外公서에대해설명합니다。다른구성세부정보에대해서는다음과같은문서를참조하십시오。
- 도메外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公外公
- 클라이언트外公外公서外公外公또는外公外公서와도메外公外公
- Pki엔터티
- 자격명공급자
- APNs서
- Citrix Files의SSO(单点登录)용SAML
- 微软Azure活动目录서버설정
- Wi-Fi서버을위한서를장치로보내려면:wifi장치정책
- 내부루트인증기관(CA)인증서와같이인증에사용되지않는독특한인증서또는특정정책을푸시하려면자격명장치정책을수행합니다。
有声有声서
XenMobile은서버로전달되는통신을보호하기위해자체서명된SSL(安全套接字层)인증서를설치중에생성합니다。이SSL opensl서를잘알려진ca의신뢰할수있는SSL opensl서로교체해야합니다。
또한XenMobile은자체PKI(공개키인프라)서비스를사용하거나클라이언트인증서에대한CA로부터인증서를가져옵니다。모든Citrix제품은와일드카드인증서와圣(주체대체이름)인증서를지원합니다。대부분의배포에서와일드카드또는SAN外公外公서두개만있으면됩니다。
클라이언트인증서인증에는모바일앱을위한추가보안계층이제공되기때문에사용자가HDX앱에원활하게액세스할수있습니다。클라이언트인증서인증이구성된경우사용자가XenMobile지원앱에액세스하려면SSO(单点登录)용Citrix销을입력해야합니다。또한Citrix PIN은사용자환경을간소화합니다。Citrix销은클라이언트인증서를보호하거나Active Directory자격증명을장치에로컬로저장하는데사용됩니다。
iOS XenMobile에서장치를등록하고관리하려면苹果에서比例导引(苹果푸시알림서비스)인증서를설정하고만드십시오。단계에대해서는APNs서를참조하십시오。
다음표에서는각XenMobile구성요소에대한인증서형식및유형을보여줍니다。
| XenMobile구성소 | 인증서형식 | 필한서유형 |
|---|---|---|
| Citrix网关 | Pem (base64), pfx (pkcs #12) | SSL,루트(Citrix Gateway가PFX를자동으로PEM으로변환함) |
| XenMobile服务器 | .p12(Windows기반컴퓨터의경우.pfx) | SSL, SAML,比例导引(XenMobile이설치프로세스중에전체PKI도생성함)중요:XenMobile服务器는.pem확장의인증서를지원하지않습니다。.pem인증서를사용하려면.pem파일을인증서와키로분할하고각각을XenMobile服务器로가져옵니다。 |
| 店面 | 可以(PKCS # 12) | Ssl,루트 |
XenMobile은비트길이가4096 2048 1024및SSL수인신기인증서및클라이언트인증서를지원합니다。1024비트外公外公서는공격받기쉽습니다。
Citrix网关및XenMobile服务器의경우Verisign, DigiCert, Thawte등과같은공용CA로부터서버인증서를받는것이좋습니다。Citrix网关또는XenMobile구성유틸리티에서CSR(인증서서명요청)을만들수있습니다。Csr을만든후ca에제출하여서명을받을수있습니다。CA가서명된인증서를반환하면해당인증서를Citrix网关또는XenMobile에설치할수있습니다。
중:iOS, iPadOS및macOS의신뢰할수있는서에대한구사항
Apple은TLS서버서에대한새로운구사항을도입했습니다。모든서가새로운Apple구사항을따르는지확하십시오。苹果게시물https://support.apple.com/en-us/HT210176를참조하십시오。
Apple은TLS서버서의최대허용수명을줄이는중입니다。이변경사항은2020년9월이후에발급된서버서에만향을줍니다。苹果게시물https://support.apple.com/en-us/HT211025를참조하십시오。
XenMobile에서外公外公서업로드
업로드하는서에는서테이블의항목이포함됩니다。인증서가필요한PKI통합구성요소를구성할때컨텍스트에종속적인조건을충족하는서버인증서를선택하십시오。예를들어微软인증기관(CA)과통합되도록XenMobile을구성한다고가정합니다。Microsoft CA에대한연결은클라이언트서를사용하여되어야합니다。
이섹션에서는서를업로드하는일반적절차를제공합니다。클라이언트서만들기,업로드및구성에대한자세한내용은클라이언트外公外公서外公外公또는外公外公서와도메外公外公을참조하십시오。
개키구사항
XenMobile은지정된인증서에대한개인키를소유하거나소유하지않을수있습니다。마찬가지로XenMobile에서사용자가업로드한인증서에개인키를요구하거나요구하지않을수있습니다。
인증서업로드
다음과같은두가지옵션으로外公外公서를업로드할수있습니다。
- 。
- REST API로iOS장치에서를일괄업로드합니다。
콘솔에서를업로드할때주옵션두가지가있습니다。
- 키저장소가져오기를클릭합니다。PKCS # 12형식을업로드하려는경우가아니라면계속해서설치하려는키저장소의항목을식별합니다。
- 클릭하여外公外公서를가져옵니다。
CA가요청에서명하기위해사용하는CA인증서(개인키포함안함)를업로드할수있습니다。또한클라이언트인증을위해SSL클라이언트인증서(개인키포함)를업로드할수있습니다。
Microsoft CA엔터티를구성할때CA서를지정합니다。Ca表妹表妹。마찬가지로,클라이언트인증을구성할때XenMobile에개인키가있는모든서버인증서의목록에서선택할수있습니다。
키저장소를가져오려면
보서저장소。따라서키저장소에서로드할경우로드할항목을식별하는항목별칭을지정하라는메시지가나타납니다。별칭을지정하지않으면저장소의첫번째항목이로드됩니다。PKCS # 12파일은대개항목하나만포함하기때문에pkcs# 12를키저장소유형으로선택하면별칭필드가나타나지않습니다。
XenMobile콘솔에서콘솔의오른쪽맨위에있는기어아이콘을클릭합니다。설정페이지가나타납니다。
有声有声서를클릭합니다。有声有声서페이지가나타납니다。
가져오기를클릭합니다。가져오기대화상자가나타납니다。
다음설정을구성합니다。
- 가져오기:목록에서키 저장소를클릭합니다。가져오기대화상자가변경되어사용가능한키저장소옵션이나타납니다。
- 키저장소유형:목록에서PKCS # 12를클릭합니다。
- 용도:목록에서外公外公서사용방법을클릭합니다。사용가능한옵션은다음과같습니다。
- 서버.서버인증서는XenMobile웹콘솔에업로드되어XenMobile服务器에서기능적으로사용되는인증서입니다。여기에는CA인증서,RA인증서및클라이언트인증용인증서와인프라의다른구성요소가포함됩니다。또한서버서를장치에배포할서의저장소로사용할수있습니다。이용도는특히장치에서신뢰를형성하는데사용되는ca에적용됩니다。
- SAML.SAML(安全性断言标记语言)인증을사용하면서버,웹사이트및앱에대한SSO액세스를제공할수있습니다。
- 比例导引.苹果의apn인증서를사용하면苹果推动网络를통해모바일장치를관리할수있습니다。
- SSL수신기.SSL(安全套接字层)수신기는XenMobile에SSL암호화활동을알립니다。
- 키저장소파일:찾아보기로가져올.p12(또Windows기는반컴퓨터의경우.pfx)파일형식의키저장소를찾습니다。
- 암호:。
- 설명:필한경우서로다른키저장소를구분하는데도움이되는설명을입력합니다。
가져오기를클릭합니다。키저장소가外公外公서테이블에추가됩니다。
인증서를가져오려면
파일또는키저장소항목에서인증서를가져오면XenMobile이입력에서인증서체인을구성합니다。XenMobile은해당체인의모든인증서를가져와각인증서에대한서버인증서항목을만듭니다。이작업은파일또는키저장소항목의서가체을형성하는경우에만작동합니다。예를들어체의각후속서가이전서의발급자여야합니다。
필한경우가져온서에대한설명을추가할수있습니다。설명은체의첫번째서에만첨부됩니다。나중에나머지外公外公서의설명을업데이트할수있습니다。
XenMobile콘솔에서콘솔의오른쪽맨위에있는기어아이콘을클릭한다음有声有声서를클릭합니다。
有声有声서페이지에서가져오기를클릭합니다。가져오기대화상자가나타납니다。
가져오기대화상자의가져오기에서外公外公서가선택되어있지않은경우有声有声서를클릭합니다。
가져오기대화상자가변경되어사용가능한外公外公서옵션이나타납니다。용도에서키저장소를사용할방법을선택합니다。사용가능한옵션은다음과같습니다。
- 서버.서버인증서는XenMobile웹콘솔에업로드되어XenMobile服务器에서기능적으로사용되는인증서입니다。여기에는CA인증서,RA인증서및클라이언트인증용인증서와인프라의다른구성요소가포함됩니다。또한서버서를장치에배포할서의저장소로사용할수있습니다。이옵션은특히장치에서신뢰를형성하는데사용되는ca에적용됩니다。
- SAML.SAML(安全性断言标记语言)인증을사용하면서버,웹사이트및앱에대한SSO(单点登录)액세스를제공할수있습니다。
- SSL수신기.SSL(安全套接字层)수신기는XenMobile에SSL암호화활동을알립니다。
찾아보기로가져올.p12(또Windows기는반컴퓨터의경우.pfx)파일형식의키저장소를찾습니다。
찾아보기로서에대한선택적키파일을찾습니다。개키는서의암호화및암호해독에사용됩니다。
필요한경우서로다른인증서를구분할때도움이되도록인증서에대한설명을입력합니다。
가져오기를클릭합니다。。
REST API로iOS장치에서를일괄업로드합니다
한번에인증서하나를업로드하는것이실용적이지않다면REST API를사용하여iOS장치에일괄업로드할수있습니다。이방식은.p12형식의서를지원합니다。Rest api에대한자세한정보는REST API를참조하십시오。
device_identity_value.p12형식으로각外公外公서파일의이름을변경합니다。device_identity_value는각장치의imei,일련번호또는meid일수있습니다。일례로,일련번호를방식으로사용하기로선택합니다。한장치의일련번호가
A12BC3D4EFGH이므로해당장치에설치될것으로예상되는外公外公서파일에A12BC3D4EFGH.p12라는이름을지정합니다。.p12外公外公서의암호를저장할텍스트파일을만듭니다。해당파일의새줄에각장치의장치식별자와암호를입력합니다。
device_identity_value =密码형식을사용합니다。다음을참조하십시오。A12BC3D4EFGH.p12 =密码!A12BC3D4EFIJ。p12 = password2@ A12BC3D4EFKL。p12 = password3 # < !——NeedCopy >- 생성한모든서와텍스트파일을.zip파일에담습니다。
- REST API클라이언트를실행하고XenMobile에로그인한다음인증토큰을가져옵니다。
。
{"alias": "", "useAs": "device", "uploadType": "keystore", "keystoreType": "PKCS12", "identityType":"SERIAL_NUMBER", #身份类型可以是"SERIAL_NUMBER","IMEI","MEID" "credentialFileName":" credentialtxt " # .zip格式的证书文件名}
- 인증서유형이IKEv2항상켜짐이고장치外公外公방식이장치id기반장치서tmp VPN정책을만듭니다。인증서파일이름에사용한장치id유형을선택합니다。VPN장치정책을참조하십시오。
iOS장치를등록하고VPN정책이배포되기를기다립니다。장치의MDM구성을확하여서설치를확합니다。XenMobile콘솔에서도장치세부정보를확通讯录할수있습니다。
삭제할각外公外公서에나열된device_identity_value로텍스트파일을만들어서外公外公서를일괄삭제할수도있습니다。Rest api에서삭제api를호출하고다음청을사용하여device_identity_value를적절한식별자로대체합니다。
{"identityType"="device_identity_value"} “”
인증서업데이트
XenMobile은특정시점에공개키당하나의인증서만시스템에존재하도록허용합니다。이미가져온인증서와동일한키쌍의인증서를가져오려고하면기존항목을바꾸거나항목을삭제할수있습니다。
。콘솔의오른쪽맨위에있는기어아이콘을클릭하여설정페이지를연다음有声有声서를클릭합니다。가져오기대화상자에서새外公外公서를가져옵니다。
서버인증서를업데이트할경우이전인증서를사용하는구성요소가자동으로새인증서를사용하도록전환됩니다。마찬가지로,장치에서버인증서를배포한경우인증서가다음번배포에서자동으로업데이트됩니다。
인증서갱신
XenMobile服务器는PKI:루트CA,장치CA및서버CA에대해내부적으로다음과같은인증기관을사용합니다。이러한ca는논리적그룹으로분류되며그룹이름이제공됩니다。새XenMobile服务器인스턴스를프로비저닝하면세개의CA가생성되고그룹이름“默认(기본)“가지정됩니다。
XenMobile服务器콘솔또는공용REST API를사용하여지원되는iOS, macOS및Android장치에대한CA를갱신할수있습니다。등록된Windows장치의경우새장치CA를받으려면사용자가장치를재등록해야합니다。
XenMobile服务器에서내부PKI CA를갱신하거나다시생성하고이러한인증기관에서발급한장치인증서를갱신하는데다음과같은API를사용할수있습니다。
- 새그룹ca(기관)를만듭니다。
- 새ca를활성화하고이전ca를비활성화합니다。
- 구성된장치목록에서장치外公外公서를갱신합니다。이미등록된장치는중단없이계속작동합니다。장치가서버에다시연결되면장치外公外公서가발급됩니다。
- 여전히이전ca를사용중장치의목록을반환합니다。
- 모든장치가새ca를사용하게되면이전ca를삭제합니다。
자세한내용은REST服务的公共API (REST서비스에대한공용API)Pdf에서다음섹션을참조하십시오。
- 섹션3.16.58,更新设备证书(장치서갱신)
- 섹션3.23,内部PKI CA组(내부PKI CA그룹)
장치 관리콘솔에는장치에서등록서를갱신하는데사용된보인증서갱신이포함됩니다。
사전구사항
- 기본적으로이外公外公서새로고침기능은사용되지않도록설정됩니다。인증서새로고침기능을활성화하려면refresh.internal.ca서버속성값을真正的로설정하십시오。
중:
Citrix ADC SSL에오프로드가설정된경우새인증서를생성할때새cacert。烫发으로부하분산장치를업데이트해야합니다。Citrix Gateway설정에대한자세한내용은对Citrix ADC IPs使用SSL Offload模式(NCitrix ADC VIP에대해SSL오프로드모드사용)를참조하십시오。
클러스터노드에대한서버ca서암호를재설정하는cli옵션
한XenMobile服务器노드에서서버CA인증서를생성한후XenMobile CLI를사용하여다른클러스터노드의인증서암호를재설정합니다。Cli기본메뉴에서시스템>고급설정> ca서암호재설정을선택합니다。새CA인증서가없는경우암호를재설정하면XenMobile이암호를재설정하지않습니다。
XenMobile外公外公서관리
특히만료날짜와관련암호에대해,XenMobile배포에서사용하는인증서를기록해두는것이좋습니다。이섹션에서는XenMobile에서外公外公서를보다쉽게관리할수있도록도와줍니다。
환경에다음과같은外公外公서중일부또는전체가포함될수있습니다。
- XenMobile服务器
- MDM fqdn에대한SSL外公外公서
- SAML显卡显卡서(Citrix Files용)
- 이전인증서및다른모든내부리소스(店面/프록시등)에대한루트및중간CA인증서
- iOS장치관리용APN서
- XenMobile服务器安全集控器알림을위한내부APNs서
- Pki연결을위한Pki사용자서
- MDX工具包
- Apple Developer殃及梨花梨花서
- 苹果프로비전프로필(응용프로그램별)
- Apple APNs显卡邮箱서(Citrix Secure Mail용)
- Android키저장소파일
Mam sdk는앱을래핑하지않으므로서가필하지않습니다。
- Citrix ADC
- MDM fqdn에대한SSL外公外公서
- 网关FQDN에대한SSL外公外公서
- ShareFile SZC FQDN에대한SSL外公外公서
- Exchange부하분산에대한SSL leclecleclec.com서(오프로드구성)
- StoreFront부하분산에대한SSL透视图界面서
- 이전서에대한루트및중간ca서
XenMobile外公外公서만료정책
。더이상환경에서보안트랜잭션을실행할수없으며XenMobile리소스에액세스할수없습니다。
참고:
만료날짜전에ca(기관)에서SSL서를갱신하라는메시지를시합니다。
Citrix安全邮件용APNs서
APNs(Apple푸시알림서비스)殃及殃及狱卒서는매년만료됩니다。인증서가만료되기전에apn SSL인증서를만들고Citrix포털에서업데이트하십시오。。또한더이상앱에대한푸시알림을보낼수없습니다。
iOS장치관리용APNs서
iOS XenMobile에서장치를등록하고관리하려면苹果에서apn인증서를설정하고만드십시오。인증서가만료되면사용자가XenMobile에등록할수없으며사용자의iOS장치를관리할수없게됩니다。자세한내용은APNs서를참조하십시오。
苹果推动证书门户에로그온하여apn인증서상태및만료날짜를확인할수있습니다。。
또한만료날짜30일전10과일전에苹果로부터전자메일알림을받게됩니다。알림에는다음정보가포함되어있습니다。
以下为Apple ID CustomerID创建的Apple推送通知服务证书将在日期到期。撤销或允许此证书过期将需要使用新的推送证书重新注册现有设备。请联系您的供应商生成一个新请求(已签名的CSR),然后访问https://identity.apple.com/pushcert更新您的Apple推送通知服务证书。感谢Apple推送通知服务MDX Toolkit(iOS배포서)
물리적iOS장치에서실행되는앱(苹果App Store의앱제외)은다음과같은서명요구사항을충족해야합니다。
- 프로비전프로필로앱을서명합니다。
- 해당하는배포外公外公서로앱을서명합니다。
유효한iOS배포서가있는지확하려면다음을수행하십시오。
- 苹果Enterprise Developer포털에서MDX工具包으로래핑할각앱에대한명시적앱ID를만듭니다。사용할수있는앱id의예는다음과같습니다。
com.CompanyName.ProductName. - 苹果企业开发人员포털에서配置简介(프로비전프로필)>分发(배포)으로이동하고사내프로비전프로필을만듭니다。이전단계에서만든각앱id에대해이단계를반복합니다。
- 모든프로비전프로필을다운로드합니다。자세한내용은iOS모바일앱래핑을참조하십시오。
모든XenMobile Server서가유효한지확하려면다음을수행하십시오。
- XenMobile콘솔에서설정>서를클릭합니다。
- 比例导引,SSL수신기,루트및중간인증서를비롯한모든인증서가유효한지확인합니다。
Android키저장소
키저장소는Android앱에서명하는데사용된外公外公서가들어있는파일입니다。키유효기간이만료되면사용자가더이상새버전의앱으로원활하게업그레이드할수없습니다。
Citrix ADC
Citrix ADC에서인증서만료를처리하는방법에대한자세한내용은Citrix支持知识中心에서如何在NetScaler上处理证书过期(NetScaler에서서만료를처리하는방법)를참조하십시오。
만료된Citrix ADC인증서를통해서는사용자가스토어에등록및액세스할수없습니다。또한만료된인증서로인해安全邮件사용시Exchange服务器에연결할수없습니다。또한사용자가HDX앱을나열하고열수없습니다(만료된서에따라다름)。
到期监控器및Command Center를사용하면Citrix ADC tmd狱狱器서를추적할수있습니다。。이러한도구를사용하여다음과같은Citrix ADC tallylr서를모니터링할수있습니다。
- MDM fqdn에대한SSL外公外公서
- 网关FQDN에대한SSL外公外公서
- ShareFile SZC FQDN에대한SSL外公外公서
- Exchange부하분산에대한SSL leclecleclec.com서(오프로드구성)
- StoreFront부하분산에대한SSL透视图界面서
- 이전서에대한루트및중간ca서