Entidades PKI

Uma configuração de entidade infrestrutura de Chave Pública (PKI) do XenMobile代表组件实现operações reais da PKI (emissão, revogação e informações de status)。ess组件são internos ou externos ao XenMobile。Os组件internos são conhecidos como discricionários。外部要素，部分要素，基础设施，法人。

O XenMobile é compatível com os seguintes tipos de entidades PKI:

• Serviços de Certificado da微软

• Autoridades de Certificação (CAs) Discricionárias

O XenMobile é compatível com os seguintes servidores de AC:

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2

PKI公社的构想

独立的，有权利的，有权利的，有权利的，有权利的

• Assinar:国际认证中心新认证中心Solicitação国际认证中心(CSR)。
• Obter:有这样的地方。
• Revogar:Revogar um certificado客户。

清醒的证书

Quando você configura uma entidade PKI, indique ao XenMobile qual certificado AC será o signatário dos certificados emitidos por (ou condiados de) essa entidade。Essa entidade PKI pode retornar certificados (obtidos ou assinados recentemente) assinados por qualquer número de ACs不同。

Forneça o certificado de cada uma dessas ca como partte da configuração da entidade PKI。Para fazer isso, cargue os certificados no XenMobile e faça referência a eles na entidade PKI。Para CAs discricionárias, o certificado é，隐含，o certificado de AC de assinatura。Para entidades externas, você开发特定的证书手册。

重要的:

Quando você cria um modelo de Entidade de Serviços de certificate icado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados: não use caracteres especais no nome do modelo。Por exemplo, não使用:！: $ () # % + * ~ ?| {} []

Serviços de Certificado da微软

O XenMobile faz interface com os Serviços de Certificado da Microsoft por meio da respectiva interface de registro na Web。O XenMobile só oferece支持à emissão de novos certificados por meio dessa接口。Se a AC da Microsoft gerar um certificado de usuário do Citrix Gateway, o Citrix Gateway oferece a renovação e revogação para esses certificado。

Para criar uma entidade PKI da AC da Microsoft no XenMobile, você deve具体URL base da interface da Web dos Serviços de Certificado。在você preferir上，使用autenticação de client SSL para proteger和conexão entre，使用XenMobile接口和Web dos Serviços de Certificado。

Adicionar uma entidade dos Serviços de Certificado da Microsoft

1. 没有控制台XenMobile，派系没有ícone de engrenagem没有canto superior direito do console e派系emEntidades PKI．

2. Na paginaEntidades PKI，小团体Adicionar．

   É exibido um菜单de tipos de entidade PKI。

3. 集团新兴市场Entidade de serviços de certificado da Microsoft．

   一个paginaEntidade de serviços de certificado da微软:Informações geraise exibida。

4. Na paginaEntidade de serviços de certificado da微软:Informações gerais， defina estas configurações:

   • 省:数字的开端，新事物的发展você usará我们的未来，我们的未来。Os nomes de entidade dev ser exclusive。
   • 网址raiz do serviço de registro na网址:digite a URL base do seu serviço de registro na Web da AC da Microsoft, por exemplo，https://192.0.2.13/certsrv/．URL pode usar HTTP简化了HTTP和SSL。
   • certnew。Cer页面名称:O Nome da página certnew.cer。使用o nome padrão a menos que você o tenha renomeado por algum motivo。
   • certfnsh.asp:O Nome da página certfnsh.asp。使用o nome padrão a menos que você o tenha renomeado por algum motivo。
   • Tipo de autenticação:Escolha no método de autenticação que você deseja usar。
     • Nenhum
     • HTTP basico:Digite o Nome do usuário e a senha necessários para se conectar。
     • Certificado cliente:escolha o certificado客户端SSL对应。

5. 集团新兴市场Testar conexaoPara garantir que o servidor esteja acessível。Se ele não estiver acessível, será exibida uma mensagem informdo que a conexão falhou。验证为definições de configuração。

6. 集团新兴市场下一个．

   一个paginaEntidade de serviços de certificado da微软:modelose exibida。内萨página，特别os nomes internos dos modelos com quais a AC da微软é compatível。Quando você criar prododode credenciais，选择的模型和定义的水。我是美国的老师，美国的老师。

   Para os requisitos de modelo dos Serviços de Certificado da Microsoft, consult a documentação da Microsoft relativa à versão do Microsoft Server。O XenMobile não系统证书分发方式além系统证书索引格式方式Certificados．

7. Na paginaEntidade de serviços de certificado da微软:Modelos集团新兴市场Adicionar数字o Nome do modelo e clique emSalvar．Repita essa etapa para cada modelo que você desejar adicionar。

8. 集团新兴市场下一个．

   一个paginaEntidade de serviços de certificado da微软:parâmetros HTTPe exibida。内斯塔página, você especifica parâmetros personalizados para o XenMobile adicionar à solicitação HTTP para a interface de registro na Web da Microsoft。Parâmetros personalizados são úteis somente para scripts personalizados em execução na autoridade de certificação。

9. Na paginaEntidade de serviços de certificado da微软:Parâmetros HTTP，小团体Adicionar，数字o nome e o valor dos parâmetros HTTP que você deseja adicionar e, em seguida, clique emAvancar．

   É exibida a páginaEntidade de serviços de certificado da微软:certificados AC．内莎página, você deve informar ao XenMobile sobre os signatários dos certificados que o sistema obtém por meio dessa entidade。Quando seu certificado de CA for renovado, atualize-o no XenMobile。O XenMobile申请mudança à形式透明的提议书。

10. Na paginaEntidade de serviços de certificado da微软:Certificados AC， selecione OS certificados que você deseja usar para esta entidade。

11. 集团新兴市场保存．

    A entidade é exibida na tabela Entidades PKI。

Citrix证书列表(CRL)

O XenMobile dá support à Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira。Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação。

Quando você configurar a autenticação baseada em certificado de cliente, decida se é necessário ou não configurar a opção Lista de revogação de certificado (CRL) do Citrix ADC，Ativar atualização automática da CRL．Esta etapa garante que o usuário de dispositivo no modo someente MAM não possa autenticar usando um certificado existente no dispositivo。

O XenMobile新发明的新证书和猪肉não阻止的方式usuário让的是新证书和猪肉usuário保存的是新发明和猪肉。Essa opção aumenta a segurança de entidades PKI quando a CRL验证entidades PKI过期。

中科院discricionarias

Uma AC discricionária é criada quando você fornece ao XenMobile um ciave privada associada证书。O XenMobile操作一个emissão，一个revogação e作为informações de status do certificado internamente, de acordo com os parâmetros que você speciar。

Quando você configura uma AC discricionária, pode ativar o support do Protocolo OCSP(在线证书状态协议)para essa AC. Se, e somente Se, você ativar o support do OCSP, a AC adicionará uma extensãoid-pe-authorityInfoAccessaos certificados que a AC emit。A extensão aponta para o responde OCSP interno do XenMobile na seguinte localização:

https:// < server > / <实例> / ocsp

Quando você configura o serviço OCSP，具体的assinatura OCSP认证证书discricionária em questão。Você pode usar o próprio certificado de AC como signatário。Para evitar a exposição desnecessária da chave privada de AC(推荐):一份关于一个国家的证书的报告extensão:id-kp-OCSPSigning extendedKeyUsage．

O serviço do respondedor OCSP do XenMobile é compatível com respostas OCSP básicas e com os seguintes algoritmos de hash em solicitações:

• sha - 1
• sha - 224
• sha - 256
• sha - 384
• sha - 512

As respostas são assinadas com SHA-256 e o algorithm itmo de chave do certificado de assinatura (DSA, RSA ou ECDSA)。

Adicionar ACs discricionárias

1. 没有控制台XenMobile，派系没有ícone de engrenagem没有canto superior direito do console e派系emMais > Entidades PKI．

2. Na paginaEntidades PKI，小团体Adicionar．

   É exibido um菜单de tipos de entidade PKI。

3. 集团新兴市场CA discricionaria．

   一个paginaCA discricionária: Informações geraise exibida。

4. Na paginaCA discricionária: Informações gerais， faça o seguinte:

   • 省:数字um nome description para a CA discricionária。

   • AC para assinar证书solicitaçõesclique no certificado da CA discricionária a ser usado para assinar solicitações de certificado。

     埃萨的证书列表é gerada com base nos certificados de AC com chaves privadas que você carregou para o XenMobile em配置> Configurações > Certificados．

5. 集团新兴市场下一个．

   一个paginaCA discricionária: Parâmetrose exibida。

6. Na paginaCA discricionária: Parâmetros， faça o seguinte:

   • Gerador de número de série:a CA discricionária gera números de série para os certificados que ela emite。内莎·利斯特，小团体Sequencial欧Nao sequencialPara determinar como OS números serão gerados。
   • Próximo número de série:数字，英勇，para determinar o próximo número emitido。
   • Certificado válido para:数字o número de dias durante OS quais o certificado é válido。
   • Uso da chave:identique o propósito dos certificados emitidos pela CA discricionária definindo as chaves充足的comoAtivado．沉积定义，一个AC é限制，一个emitir certificados para esses fins。
   • Uso de chave estendido:Para adicionar mais parâmetros，小团体Adicionar， escreva o Nome da chave e clique emSalvar．

7. 集团新兴市场下一个．

   一个paginaCA discricionária: Distribuiçãoe exibida。

8. Na paginaCA discricionária: Distribuição， selecione um modo de distribuição:

   • Centralizado: geração de chave do lado do servidor．Citrix推荐A opção centralizada。作为chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário。
   • Distribuído: geração de chave do lado do dispositivo．正如chaves privadas são geradas nos dispositivos do usuário。esesmodo distribuído美国o SCEP e要求认证和编码的RA com extensãokeyUsage keyEncryptione um certificado de assinatura RA com a extensãokeyUsage digitalSignature．O mesmo certificado pode ser usado para autenticação e criptografia。

9. 集团新兴市场下一个．

   一个paginaCA discricionária: Protocolo OCSP(在线证书状态协议)e exibida。

   Na paginaCA discricionária: Protocolo OCSP(在线证书状态协议)， faça o seguinte:

   • Se você desejar adicionar uma extensãoAuthorityInfoAccess(RFC2459) aos certificados assinados por essa AC，定义Ativar支持OCSP para esta AC科莫Ativado．Essa extensão aponta para o应答者OCSP da AC emhttps:// < server > / <实例> / ocsp．
   • Se você tiver ativado o support do OCSP, selecione um certificado de AC de assinatura OSCP。Essa lista de certificados é gerada com base nos certificados de AC que você carregou no XenMobile。

10. 集团新兴市场保存．

    A AC discricionária é exibida na tabela Entidades PKI。