证书和身份验证
在端点管理操作期间,若干组件都会参与身份验证:
- 终端管理:端点管理服务器是您定义注册安全性和注册体验的位置。用于加入用户的选项包括:
- 向所有用户开放注册还是仅对收到邀请的用户开放注册。
- 要求执行双重身份验证还是三重身份验证。端点管理客户端属性允许您启用 Citrix PIN 身份验证以及配置 PIN 复杂性和过期时间。
- Citrix网关:Citrix Gateway为Micro VPN SSL会话提供终止服务。Citrix网关还提供网络在途安全,并允许您定义用户每次访问应用程序时的身份验证体验。
安全中心:注册期间,安全集线器与端点管理协同工作。安全中心是设备上可以与Citrix网关通信的实体:会话过期时,安全中心会从Citrix网关获取身份验证票证,并将该票证传递给MDX应用程序。Citrix建议使用证书固定,以防范中间人攻击。有关详细信息,请参阅Secure Hub 文章中的证书固定部分。
安全中心还有助于使用MDX安全容器:安全中心会推送策略,在应用程序超时后与Citrix网关建立会话,以及定义MDX超时和身份验证体验。安全集线器还可执行越狱检测,地理定位检查以及您应用的所有策略。
- MDX策略:MDX策略会在设备上创建数据保管库。MDX策略会将微VPN连接引导回Citrix网关,强制执行脱机模式限制,以及强制执行超时等客户端策略。
Citrix端点管理使用以下身份验证方法对用户进行身份验证以访问其资源:
- 移动设备管理(mdm)
- 云托管身份提供程序(IdP)
- 轻型目录访问协议(ldap)
- 邀请url + pin
- 双重身份验证
- 移动应用程序管理(妈)
- LDAP
- 证书
- 安全令牌MAM身份验证需要使用Citrix Gateway。
有关其他配置详细信息,请参阅以下文章:
- 上载、更新和续订证书
- Citrix Gateway和Endpoint Management
- 域或域加安全令牌身份验证
- 客户端证书或证书加域身份验证
- Pki实体
- 凭据提供程序
- apn证书
- 如果您的站点未启用工作空间:用于单点登录Citrix Files的SAML
- 通过Citrix Cloud使用Azure Active Directory进行身份验证
- 通过Citrix Cloud使用Okta进行身份验证
- 通过Citrix Cloud使用本地Citrix Gateway进行身份验证
- 要对Wi-Fi服务器进行身份验证,请将证书发送到设备:网络设备策略
- 要推送未用于身份验证的唯一证书,例如内部根证书颁发机构(ca)证书或特定策略(证书设备策略),请执行以下操作:
证书
端点管理在安装过程中生成自签名安全套接字层(SSL)证书,用于确保与服务器之间的通信流安全。使用知名证书颁发机构发布的可信SSL证书替换此SSL证书。
端点管理还使用自己的公钥基础结构(PKI)服务或从客户端证书的CA获取证书。所有Citrix产品均支持通配符和使用者备用名称(SAN)证书。对于大多数部署,仅需两个通配符或SAN证书。
客户端证书身份验证为移动应用程序提供了一个额外的安全层,允许用户无缝访问HDX应用程序。配置了客户端证书身份验证时,用户将键入其Citrix销以对启用了端点管理的应用程序进行单点登录(SSO)访问。Citrix PIN还简化了用户身份验证体验。Citrix PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。
要在端点管理中注册并管理iOS设备,应设置并创建苹果提供的苹果推送通知服务(apn)证书。有关步骤,请参阅apn证书。
下表显示了每个终端管理组件的证书格式和类型:
| 终端管理组件 | 证书格式 | 必需的证书类型 |
|---|---|---|
| Citrix网关 | Pem (base64), pfx (pkcs #12) | SSL,根证书(Citrix Gateway自动将PFX转换为PEM。 |
| 端点管理 | .p12(在基于Windows的计算机上为.pfx) | SSL, SAML,比例导引(端点管理还在安装过程中生成完全PKI)。重要:端点管理不支持扩展名为.pem的证书。要使用.pem证书,请将.pem文件拆分为证书和密钥,并将各自导入到端点管理中。 |
| 店面 | PFX (pkcs #12) | ssl,根证书 |
端点管理支持位长度为4096和2048的客户端证书。
对于Citrix Gateway和Endpoint Management,Citrix建议从公共CA(如Verisign, DigiCert或Thawte)获取服务器证书。您可以从Citrix网关或端点管理配置实用程序创建证书签名请求(CSR)。创建CSR后,将其提交到ca进行签名。CA 返回已签名证书后,即可在 Citrix Gateway 或 Endpoint Management 上安装该证书。
重要:
iOS、iPadOS和macOS中的可信证书的要求
苹果对TLS服务器证书有新要求。验证所有证书都符合苹果的要求。请参阅苹果出版物https://support.apple.com/en-us/HT210176。
苹果正在缩短TLS服务器证书的最长允许生命周期。此更改仅影响 2020 年 9 月之后颁发的服务器证书。请参阅苹果出版物https://support.apple.com/en-us/HT211025。
Ldap身份验证
端点管理支持对一个或多个(与轻型目录访问协议(LDAP)兼容的)目录执行基于域的身份验证。Ldap是一个软件协议、用于提供对与组、用户帐户和相关属性有关的信息的访问权限。有关详细信息,请参阅域或域加安全令牌身份验证。
身份提供程序身份验证
可以通过Citrix Cloud配置身份提供程序(IdP)以注册和管理用户设备。
IdP支持的用例:
- Azure Active Directory(通过Citrix Cloud)
- 工作空间集成是可选的
- 配置为进行基于证书的身份验证的Citrix Gateway
- Android企业版(预览版)。支持byod,完全托管设备和增强的注册配置文件)
- iOS(适用于MDM+MAM和MDM注册)
- 适用于苹果商务管理的iOS和macOS注册
- 旧版Android (DA)
苹果校园教务管理等自动注册功能目前不受支持。
- 通过Citrix Cloud进行的Okta
- 工作空间集成是可选的
- 配置为进行基于证书的身份验证的Citrix Gateway
- Android企业版(预览版)。支持byod,完全托管设备和增强的注册配置文件)
- iOS(适用于MDM+MAM和MDM注册)
- 适用于苹果商务管理的iOS和macOS注册
- 旧版Android (DA)
苹果校园教务管理等自动注册功能目前不受支持。
- 本地Citrix Gateway(通过Citrix Cloud)
- 配置为进行基于证书的身份验证的Citrix Gateway
- Android企业版(预览版)。支持byod,完全托管设备和增强的注册配置文件)
- iOS(适用于MDM+MAM和MDM注册)
- 目前不支持苹果部署计划等旧版安卓(DA)自动注册功能。