Entidades PKI

Uma configuração de entidade Infraestrutura de Chave Pública (PKI) do XenMobile representa um componente que realiza operações reais da PKI (emissão, revogação e informações de status). Esses componentes são internos ou externos ao XenMobile. Os componentes internos são conhecidos como discricionários. Os componentes externos fazem parte da sua infraestrutura corporativa.

O XenMobile é compatível com os seguintes tipos de entidades PKI:

• Serviços de Certificado da Microsoft

• Autoridades de Certificação (CAs) Discricionárias

O XenMobile é compatível com os seguintes servidores de AC:

• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2

Conceitos de PKI comuns

Independentemente do tipo, cada entidade PKI tem um subconjunto dos seguintes recursos:

• Assinar:emitir um novo certificado com base em uma Solicitação de Assinatura de Certificado (CSR).
• Obter:recuperar um certificado e um par de chaves existentes.
• Revogar:revogar um certificado cliente.

Sobre certificados AC

indique ao Quando低地configura乌玛entidade PKIXenMobile qual certificado AC será o signatário dos certificados emitidos por (ou recuperados de) essa entidade. Essa entidade PKI pode retornar certificados (obtidos ou assinados recentemente) assinados por qualquer número de ACs diferentes.

Forneça o certificado de cada uma dessas CAs como parte da configuração da entidade PKI. Para fazer isso, carregue os certificados no XenMobile e faça referência a eles na entidade PKI. Para CAs discricionárias, o certificado é, implicitamente, o certificado de AC de assinatura. Para entidades externas, você deve especificar o certificado manualmente.

Importante:

Quando você cria um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados: não use caracteres especiais no nome do modelo. Por exemplo, não use:! : $ ( ) # % + * ~ ? | { } [ ]

Serviços de Certificado da Microsoft

O XenMobile faz interface com os Serviços de Certificado da Microsoft por meio da respectiva interface de registro na Web. O XenMobile só oferece suporte à emissão de novos certificados por meio dessa interface. Se a AC da Microsoft gerar um certificado de usuário do Citrix Gateway, o Citrix Gateway oferece a renovação e revogação para esses certificados.

Para criar uma entidade PKI da AC da Microsoft no XenMobile, você deve especificar a URL base da interface da Web dos Serviços de Certificado. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e a interface da Web dos Serviços de Certificado.

Adicionar uma entidade dos Serviços de Certificado da Microsoft

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique emEntidades PKI.

2. Na páginaEntidades PKI, clique emAdicionar.

   É exibido um menu de tipos de entidade PKI.

3. Clique emEntidade de serviços de certificado da Microsoft.

   A páginaEntidade de serviços de certificado da Microsoft: Informações geraisé exibida.

4. Na páginaEntidade de serviços de certificado da Microsoft: Informações gerais, defina estas configurações:

   • Nome:digite um nome para a nova entidade que você usará mais tarde para se referir a ela. Os nomes de entidade devem ser exclusivos.
   • URL raiz do serviço de registro na Web:digite a URL base do seu serviço de registro na Web da AC da Microsoft, por exemplo,https://192.0.2.13/certsrv/. A URL pode usar HTTP simples ou HTTP sobre SSL.
   • certnew.cer page name:o nome da página certnew.cer. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
   • certfnsh.asp:阿省da pagina certfnsh.asp。使用o省padraomenos que você o tenha renomeado por algum motivo.
   • Tipo de autenticação:escolha no método de autenticação que você deseja usar.
     • Nenhum
     • HTTP básico:digite o nome do usuário e a senha necessários para se conectar.
     • Certificado cliente:escolha o certificado cliente SSL correto.

5. Clique emTestar conexãopara garantir que o servidor esteja acessível. Se ele não estiver acessível, será exibida uma mensagem informando que a conexão falhou. Verifique as definições de configuração.

6. Clique emNext.

   A páginaEntidade de serviços de certificado da Microsoft: modelosé exibida. Nessa página, especifique os nomes internos dos modelos com os quais a sua AC da Microsoft é compatível. Quando você criar provedores de credenciais, selecione um modelo na lista definida aqui. Cada provedor de credenciais que usa essa entidade usa exatamente um desses modelos.

   Para os requisitos de modelo dos Serviços de Certificado da Microsoft, consulte a documentação da Microsoft relativa à versão do Microsoft Server. O XenMobile não tem requisitos para os certificados que distribui além dos formatos de certificado indicados emCertificados.

7. Na páginaEntidade de serviços de certificado da Microsoft: Modelosclique emAdicionar, digite o nome do modelo e clique emSalvar. Repita essa etapa para cada modelo que você desejar adicionar.

8. Clique emNext.

   A páginaEntidade de serviços de certificado da Microsoft: parâmetros HTTPé exibida. Nesta página, você especifica parâmetros personalizados para o XenMobile adicionar à solicitação HTTP para a interface de registro na Web da Microsoft. Parâmetros personalizados são úteis somente para scripts personalizados em execução na autoridade de certificação.

9. Na páginaEntidade de serviços de certificado da Microsoft: Parâmetros HTTP, clique emAdicionar, digite o nome e o valor dos parâmetros HTTP que você deseja adicionar e, em seguida, clique emAvançar.

   É exibida a páginaEntidade de serviços de certificado da Microsoft: certificados AC. Nessa página, você deve informar ao XenMobile sobre os signatários dos certificados que o sistema obtém por meio dessa entidade. Quando seu certificado de CA for renovado, atualize-o no XenMobile. O XenMobile aplica a mudança à entidade de forma transparente.

10. Na páginaEntidade de serviços de certificado da Microsoft: Certificados AC, selecione os certificados que você deseja usar para esta entidade.

11. Clique emSave.

    A entidade é exibida na tabela Entidades PKI.

Lista de certificados revogados (CRL) de Citrix ADC

O XenMobile dá suporte à Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação.

Quando você configurar a autenticação baseada em certificado de cliente, decida se é necessário ou não configurar a opção Lista de revogação de certificados (CRL) do Citrix ADC,Ativar atualização automática da CRL. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo.

O XenMobile emite novamente um novo certificado porque ele não impede que um usuário gere um certificado de usuário depois que um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

CAs discricionárias

Uma AC discricionária é criada quando você fornece ao XenMobile um certificado de AC e a chave privada associada. O XenMobile manipula a emissão, a revogação e as informações de status do certificado internamente, de acordo com os parâmetros que você especificar.

Quando você configura uma AC discricionária, pode ativar o suporte do Protocolo OCSP (Online Certificate Status Protocol) para essa AC. Se, e somente se, você ativar o suporte do OCSP, a AC adicionará uma extensãoid-pe-authorityInfoAccessaos certificados que a AC emitir. A extensão aponta para o respondente OCSP interno do XenMobile na seguinte localização:

https:////ocsp

Quando você configura o serviço OCSP, especifique um certificado de assinatura OCSP para a entidade discricionária em questão. Você pode usar o próprio certificado de AC como signatário. Para evitar a exposição desnecessária da chave privada de AC (recomendado): crie um certificado de assinatura OCSP assinado pelo certificado de AC e inclua a extensão:id-kp-OCSPSigning extendedKeyUsage.

O serviço do respondedor OCSP do XenMobile é compatível com respostas OCSP básicas e com os seguintes algoritmos de hash em solicitações:

• SHA-1
• SHA-224
• SHA-256
• SHA-384
• SHA-512

As respostas são assinadas com SHA-256 e o algoritmo de chave do certificado de assinatura (DSA, RSA ou ECDSA).

Adicionar ACs discricionárias

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique emMais > Entidades PKI.

2. Na páginaEntidades PKI, clique emAdicionar.

   É exibido um menu de tipos de entidade PKI.

3. Clique emCA discricionária.

   A páginaCA discricionária: Informações geraisé exibida.

4. Na páginaCA discricionária: Informações gerais, faça o seguinte:

   • Nome:digite um nome descritivo para a CA discricionária.

   • Certificado de AC para assinar solicitações de certificado:集团没有certificado哒CA discricionária a ser usado para assinar solicitações de certificado.

     Essa lista de certificados é gerada com base nos certificados de AC com chaves privadas que você carregou para o XenMobile emConfigurar > Configurações > Certificados.

5. Clique emNext.

   A páginaCA discricionária: Parâmetrosé exibida.

6. Na páginaCA discricionária: Parâmetros, faça o seguinte:

   • Gerador de número de série:a CA discricionária gera números de série para os certificados que ela emite. Nessa lista, clique emSequencialouNão sequencialpara determinar como os números serão gerados.
   • Próximo número de série:digite um valor para determinar o próximo número emitido.
   • Certificado válido para:digite o número de dias durante os quais o certificado é válido.
   • Uso da chave:identifique o propósito dos certificados emitidos pela CA discricionária definindo as chaves adequadas comoAtivado. Depois de definida, a AC é limitada a emitir certificados para esses fins.
   • Uso de chave estendido:para adicionar mais parâmetros, clique emAdicionar, escreva o nome da chave e clique emSalvar.

7. Clique emNext.

   A páginaCA discricionária: Distribuiçãoé exibida.

8. Na páginaCA discricionária: Distribuição, selecione um modo de distribuição:

   • Centralizado: geração de chave do lado do servidor. A Citrix recomenda a opção centralizada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
   • Distribuído: geração de chave do lado do dispositivo. As chaves privadas são geradas nos dispositivos do usuário. Esse modo distribuído usa o SCEP e requer um certificado de criptografia RA com a extensãokeyUsage keyEncryptione um certificado de assinatura RA com a extensãokeyUsage digitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.

9. Clique emNext.

   A páginaCA discricionária: Protocolo OCSP (Online Certificate Status Protocol)é exibida.

   Na páginaCA discricionária: Protocolo OCSP (Online Certificate Status Protocol), faça o seguinte:

   • Se você desejar adicionar uma extensãoAuthorityInfoAccess(RFC2459) aos certificados assinados por essa AC, definaAtivar suporte a OCSP para esta ACcomoAtivado. Essa extensão aponta para o respondente OCSP da AC emhttps:////ocsp.
   • Se você tiver ativado o suporte do OCSP, selecione um certificado de AC de assinatura OSCP. Essa lista de certificados é gerada com base nos certificados de AC que você carregou no XenMobile.

10. Clique emSave.

    A AC discricionária é exibida na tabela Entidades PKI.