Documentação de produtos
XenMobile
服务器10
PDF版本

凭证证明

2022年8月11日
Contribuicao德:
C C

Os credenciais são as configurações reais de certificado que você usa em várias partes do sistema XenMobile。证书提供者定义为原产地,parâmetros证书维生的ciclos de vida de seus certificate。Essas operações ororrem se os certificados fizerem parte das configurações do dispositivo ou se forem independentes (isto é, enviados como estão para o dispositivo)。

O登记册,做处置,重新安排,vida, do certificate。Ou seja, o XenMobile não emite certificados antes do registro, embora ele possa emitir alguns certificados como parte do prote de registro。Além disso, os certificados emitidos da PKI内部没有上下文de um registro são revogados quando o processso de registro é revogado。海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋海洋

Você pode usar uma configuração de creddenciais em vários本地para que uma configuração possa reger qualquer número de certificados ao mesmo tempo。A unidade está no recurso de implantação e na implantação。Por范例,作为证明的提供者P的植入para o dispositivo D como部分达configuração C,作为configurações de emissão para P确定o证明的é植入em D. da mesma forma,作为configurações de renovação de D se aplicam quando C é atualizada。E as configurações de revogação de D também se aplicam quando C é excluída ou quando D é revogado。

De acordo com essas regras, a configuração do provider De creddenciais no XenMobile determina o segugute:

  • 一份证书。
  • O método pelo qual os certificados são obtidos: assinando um novo certificado ou obtendo(恢复)um certificado e um par de chaves存在。
  • Os parâmetros para emissão ou recuperação。Por exemplo, os parâmetros de CSR (Solicitação de Assinatura de Certificado), como tamanho da chave, algorimo de chave e extensões de Certificado。
  • 一份证书的共同形式são转让合同。
  • Condições de revogação。Embora todos os certificados sejam revogados no XenMobile quando o relacionamento de gerenciamento é interrompido,一个configuração pode speciificar uma revogação anterior。Por exemplo, configuração pode speciificar revogação de um certificado quando configuração do dispositivo associado é excluída。Além disso, sob alguma condições, a revogação do certificado associado no XenMobile pode ser enviada para a infrastructura de chave pública (PKI) de后端。Ou seja, a revogação de certificados no XenMobile pode causar a revogação de certificados na PKI。
  • Configurações de renovação。Os证书,obtidos, meio, de determindo,提供证书,podem, ser, renovados, automaticamente, quando estão próximos, do,复仇。Ou, separadamente dessa situação,作为notificações podem ser emitidas quando essa expiração se proximar。

一个disponibilidade das opções de configuração dependent principalmente do tipo de Entidade PKI edo método de emissão que você选择para um提供de creddenciais。

Métodos de emissão de证书

Você pode obter um certificado, conhecido como método de emissão, por assinatura。

Com esse método, emissão包含criação de uma nova chave privada, criação de uma CSR e o envio da CSR para uma Autoridade de Certificação (AC) para assinatura。O XenMobile é compatível com método de assinatura para entiades de Serviços de Certificado da Microsoft e entiades de CA discricionárias。

嗯,提供de creddenciais usa o método de emissão Assinar。

证书证书

Dois modos de entrrega de certificado estão disponíveis no XenMobile: centralizado e distribuído。O modo distribuído usa O protocol de Registro de Certificado simple (SCEP) e está disponível somente nas situações em que O cliente é compatível com O protocol (somente iOS)。O modo distribuído é obrigatório em algumas situações。

Para que um提供de creddenciais seja compatível com a entrega distribuída(辅助por SCEP), é necessária uma etapa de configuração特别:配置证书de Autoridade de Registro (RA)。Os certificados de RA são necessários porque, ao usar o protocolo SCEP, o XenMobile age como um representante (um registrador) da AC real。O XenMobile精确控制对客户进行即时自动控制对通信。Essa autoridade é estabelecida fazendo o upload para o XenMobile dos certificados foreormente mencionados。

São necessárias duas funções de certificado dientes (embora um único certificado possa atender a ambos os requisitos): assinatura de RA e criptografia de RA。As restrições dessas funções são As seguintes:

  • X.509型计算机数字计算程序。
  • O cryptografia certificate deve ter a codificação X.509。

Para configurar os certificados de RA do provider de creddenciais, você carrega os certificados Para o XenMobile e cria links Para eles no provider de creddenciais。

嗯证书提供者é condemado como compatível com entregas distribuídas有些东西是关于配置证书的funções de证书。Você pode configurar cada provider de credenciais para dar preferência ao modo centralizado, ao modo distribuído ou para exigir o modo distribuído。O result tado real rely do contexto: se O contexto não for compatível com O modo distribuído, mas O provider de credenciais exigir esse modo, a implantação não será realizada。形式的解释,上下文的解释distribuído,凭证的提供não é compatível com ele,一个implantação não é实现。Em todos os outros casos, configuração优惠é respeitada。

A segguinte tabela mostra A distribuição SCEP em todo o XenMobile:

Contexto SCEP com支持 连necessario
Serviço de Perfil do iOS Sim卡 Sim卡
登记册做gerenciamento de dispositivo móvel做iOS Sim卡 Nao
Perfis de configuração do iOS Sim卡 Nao
Registro SHTP Nao Nao
Configuracao SHTP Nao Nao
注册做Windows平板电脑 Nao Nao
Configuração做Windows平板电脑 Não, exceto para a política de dispositivo Wi-Fi, que é compatível com Windows 10 e Windows 11 Nao

Revogação de certificados

Há três tipos de revogação。

  • Revogacao interna:A revogação interna afeta o状态做证书,符合mantido pelo XenMobile。O XenMobile考虑状态的有效性证书的提交方式informações状态OCSP para um certificate。A configuração do provider de creddenciais determina como status é afetado sob várias condições。Por范例,o提供凭证的pode特定的sinalizar证书,como revogados, quando os, certificados são excluídos do dispositivo。
  • Revogação propaganda externamente:Também conhecido como Revogação XenMobile, esse tipo de revogação se aos certificados obtidos de uma PKI externa。O certificado foi revogado na PKI quando O XenMobile O revogou international, sob as condições definidas pela configuração do proverdor de credenciais。
  • Revogação induzida externamente:Também conhecida como Revogação PKI, esse tipo de revogação também se aplica somente aos certificados obtidos de uma PKI外部。Sempre que o XenMobile安全确定证书状态,咨询PKI全权状态。Se o certificado tiver sido revogado, o XenMobile revoga-o international。Esse mechanismo usa o protocolo OCSP。

Esses três tipos não são exclusivos, mas appicam -se juntos。乌玛revogação外部乌descoberta独立pode causar乌玛revogação内部。Uma revogação interna afeta potentialmente Uma revogação externa。

Renovação de certificado

一个renovação de certificado é一个combinação de uma revogação do certificado存在e uma emissão de outo certificado。

O XenMobile priimiro tenta obter O novo certificado antes de revogar O certificado前面para evitar descontinuação do serviço quando a emissão falhar。Para entrega distribuída (suportada pelo SCEP), a revogação também ocorre somente após o certificado ter sido instalado com êxito no dispositivo。Caso contrário, a revogação cororre antes que o novo certificate seja enviado ao dispositivo。Essa revogação é independente do sucesso ou falha da instalação do certificado。

A configuração de revogação exige que você especfique uma determinada duração (em dias)。数据处理,数据验证NotAfter做certificado é posterior à data atual, menos a duração especificada。Se o certificado atender a essa condição, o XenMobile tentará renovar o certificado。

Criar um provider de creddenciais

配置凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证凭证。Você在国外和国外的鉴别中心和凭证证明:

  • Uma entidade discricionária, que é interna para o XenMobile, é Uma entidade interna。O método de emissão para uma entidade discricionária é sempre Assinar。Assinar significa que, a cada operação de emissão, o XenMobile assina um novo par de chaves com o certificate de CA selecionado para a entidade。A geração do par de chaves no dispositivo ou no servidor depend do método de distribuição selecionado。

  • 我们有外部力量,我们有基础设施和公司的一部分,包括微软。

  1. 没有控制台XenMobile,没有派系ícone de engrenagem没有canto superior direito e clique emConfigurações >证明

  2. Na pagina凭证证明,小集团Adicionar

    一个paginacredenciais: informações geraise exibida。

  3. Na paginacredenciais: informações gerais, faça o seguinte:

    • 省:数字嗯Nome排他para a nova configuração做提供者。Este nome é usado mais tarde para identifier a configuração em outas partes do console XenMobile。
    • Descricao:Descreva o provdor de credciais。Embora esse campo seja optional, uma descrição pode fornecer detalhes úteis清醒的esse提供de credenciais。
    • Entidade de emissão:Clique na entidade de emissão do certificate。
    • Método de emissão:集团新兴市场AssinarObterPara servir como método que o sistema utiliza Para obter certificate da entidade configurada。Para usar a autenticação客户证书,Assinar

    • Se a lista de莫德罗estiver disponível,选择o modelo que você adicionou sob entidade PKI para o provider de credciais。

      Esses modelos são disponibilizados quando as Entidades de serviços de certificado da Microsoft são adicionadas emConfigurações >配置PKI

  4. 集团新兴市场Avancar

    一个pagina证书提供者:solicitação de assinatura de certificadoe exibida。

  5. Na pagina证书:solicitação de assinatura de certificado,配置o seguinte de acordo com configuração do seu certificado:

    • 算法:求求求求,求求求,求求,求求,求求。Os valores disponíveis sãoRSADSAeECDSA

    • Tamanho da chave:数码塔曼尼奥,他们的比特,做par de chaves。Este campo é obrigatório。

      权利的价值取决于生命的价值。Por exemplo, o tamanho máximo para chaves DSA é de 1024位。Para evitar falsos negativos, o que依赖做硬件e做软件的下属,o XenMobile não impõe tamanhos de chave。Sempre test as configurações do creddenciais em em ambiente de teste antes de ativá-lo em produção。

    • assinatura算法:权贵集团,重新证明。Os valores依赖于算法。

    • Nome de entidade:necessario。数字编号的区别(DN)授权做新的证书。为什么exemplo:CN = ${用户。username}, OU=${user.department}, O=${user.companyname},C=${user.c}\ endquote

      Por exemplo, para a autenticação de certificado de cliente,使用estas configurações:

      • 算法:RSA
      • Tamanho da chave:2048
      • assinatura算法:SHA256withRSA
      • Nome de entidade:cn = $ user.username

    • Para adicionar uma entrada à tabela备选名称,小集团Adicionar.选择名字上的名字,数字上的勇气,第二节。

      Para autenticação de certificado de cliente,具体为:

      • 蒂波:省隐喻

      • 勇气:user.userprincipalname美元

        Assim como para o nome de entidade, você pode usar macros do XenMobile no campo de valor。

  6. 集团新兴市场Avancar

    一个pagina证明:distribuiçãoe exibida。

  7. Na pagina证明:distribuição, faça o seguinte:

    • 娜里Emissão CA证书,集团没有证书的权利。Como o certificate provider de creddenciais usa uma entidade de CA discricionária, o certificado de CA do creddenciais é sempre o certificado de CA configuration na própria entidade。O certificado de CA é aprenado aqui para consistência com configurações que usam entidades externas。
    • 新兴市场选择modo de distribuição、“分配者之团”:
      • 首选modo centralizado: geração de chaves do lado do servidor:a Citrix建议essa opção centralizada。Ela é compatível com todas as plataformas compatíveis com o XenMobile e é exigida quando a autenticação do Citrix Gateway é usada。As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário。
      • 首选modo distribuído: geração de chaves do lado do dispositivo:As chaves privadas são geradas e armazenadas nos dispositivos do usuário。Esse modo distribuído usa SCEP e requer um certificado de criptografia RA com o keyUsage keyEncryption um certificado de assinatura RA com o keyUsage digitalSignature。O mesmo certificate pode ser usado para autenticação e criptografia。
      • someente distribuído: geração de chaves do lado do dispositivo:Essa opção funciona da mesma forma que Preferir modo distribuído: geração de chaves do lado do dispositivo, exceto que, como é " Somente " em vez de " Preferir ", nenhuma opção estará disponível se a geração de chave do lado do dispositivo falhar ou não estiver disponível。

    Se você tiver selecionado首选modo distribuído: geração de chaves do lado do dispositivoSomente distribuído: geração de chaves do lado do dispositivo,集团没有证书的assinatura RA和没有证书的密码。O mesmo certificate, pode ser usado para ambos。Novos campos são exibidos para esses certificados。

  8. 集团新兴市场Avancar

    一个pagina证明:revogação XenMobilee exibida。Nessa página, você pode configurar as condições sob as quais o XenMobile sinaliza international como revogados os certificados emitidos por essa configuração de provdor。

  9. Na pagina证明:revogação XenMobile, faça o seguinte:

    • 新兴市场Revogar certificados emitidos,选择uma das opções que indicam quando revogar OS certificados。

    • Para que o XenMobile envie uma notificação quando o certificado为revogado,定义o valor deEnviar notificacao科莫AtivadoE escolha um modelo de notificação。

    • Para revogar o certificado na PKI quando ele tiver sido revogado do XenMobile,定义重写PKI证书科莫Ativadoe, na有鉴于Entidade,莫德罗集团。A lista Entidade mostra todas作为entidades disponíveis com capacidades de revogação。Quando o certificado é revogado do XenMobile, uma chamada de revogação é enviada para a PKI selecionada da lista Entidade。

  10. 集团新兴市场Avancar

    一个pagina证书证明:revogação PKIe exibida。Nessa página,标识为ações a serem tomadas na PKI se o certificado用于revogado。Você também tem a opção de criar uma mensagem de notificação。

  11. Na pagina证书证明:revogação PKI, faça o seguinte se você deseja revogar os certificados da PKI:

    • Altere a configuração deAtivar verificações de revogação externa帕拉Ativado.São exibidos mais campos relacionados à revogação PKI。

    • 娜里证书de AC做响应或OCSP(英文)“clique no nomdistinto (DN) da entidade do certificado”。

      Você pode usar宏做XenMobile para os valores de campo de DN。为什么exemplo:CN = ${用户。username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\ endquote

    • 娜里为revogado的Quando certificate, clique em uma das seguintes ações a serem tomadas em relação à entidade PKI quando o certificado é revogado:

      • Não fazer nada。
      • Renovar o certificate。
      • Revogar e apagar o dispositivo。

    • Para que o XenMobile envie uma notificação quando o certificado为revogado,定义o valor deEnviar notificacao科莫Ativado

      Você pode escolher entre duas opções de notificação:

    • Se você escolher选择模态notificação, poderá select uma mensagem de notificação previamente escrita que poderá personalizar。Esses modelos estão na lista Modelo de notificação。
    • Se você选择性Inserir detalhes da notificação, poderá escrever sua própria mensagem de notificação。Além de fornecer endereço de email do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada。

  12. 集团新兴市场Avancar

    一个pagina证明:renovaçãoe exibida。Nessa página, você pode configuration o XenMobile para fazer o seguinte:

    • Renovar o certificate。Você pode, opcionalmente, enviar uma notificação清醒a renovação e, opcionalmente, excluir certificados já expirados da operação。
    • Emitir uma notificação para os certificados que estão perto do复仇(notificação antes da renovação)。

  13. Na paginaProvedores de Credenciais: renovação, faça o seguinte se desejar renovar OS certificate icados quando les expirarem:

    DefinaRenovar certificados呼气权Ativado.祝你好运。

    • 没有草原翻新权和到期证书,数字quantos dias antes da expiração para renovar o certificado。
    • Opcionalmente, selecioneNão renovar certificados que já expiraram.Nesse caso,“já expiraram”表示数据NotAfterEstá no passado, não que tenha sido revogada。O XenMobile não renova certificados depois que eles são revogados国际。

    Para que o XenMobile envie uma notificação quando o certificado tiver sido renovado,定义aEnviar notificacao科莫Ativado.Para que o XenMobile envie uma notificação quando o certificado estiver prestes a expirar, defina过期通知科莫Ativado.Para qualquer uma dessas opções, você pode escolher entre duas opções de notificação:

    • 选择模型notificação:选择uma mensagem de notificação previamente escriita que você pode personizar。Esses modelos estão na lista Modelo de notificação。
    • Inserir detalhes da notificação:Escreva a sua própria mensagem de notificação。Forneça o endereço de e-mail do destinatário, uma mensagem e uma frequência para enviar a notificação。

    没有草原权证通知和到期证书,数字quantos dias antes da expiração do certificado a notificação deve ser enviada。

  14. 集团新兴市场保存

    O provider de creddenciais é exibido na tabela provider de creddenciais。

凭证证明
2022年8月11日
Contribuicao德:
C C
2022年8月11日
Contribuicao德:
C C

Neste artigo

反馈做现场 | 法律条款的私权 | Preferências de cookies | Configurações de consenmento
©1999 -云软件集团有限公司版权所有。