Citrix Endpoint Management

Zertifikate und Authentifizierung

Mehrere Komponenten spielen für die Authentifizierung bei Endpoint Management-Operationen eine Rolle:

  • Endpoint Management: Auf dem Endpoint Management-Server legen Sie Registrierungssicherheit und die Registrierungserfahrung fest. Optionen für das Onboarding von Benutzern:
    • Registrierung für alle oder nur auf Einladung.
    • Zweistufige oder dreistufigen Authentifizierung. Über die Clienteigenschaften in Endpoint Management können Sie die Citrix-PIN-Authentifizierung aktivieren und die PIN-Komplexität und -Ablaufzeit konfigurieren.
  • Citrix Gateway: Citrix Gateway ermöglicht das Beenden von Micro-VPN-SSL-Sitzungen. Citrix Gateway bietet zudem Sicherheit bei der Datenübertragung im Netzwerk und ermöglicht das Definieren der Authentifizierungserfahrung beim Zugriff auf Apps durch Benutzer.
  • Secure Hub: Secure Hub und Endpoint Management Server wirken bei der Registrierung zusammen. Secure Hub ist auf Geräten die Entität, die mit Citrix Gateway kommuniziert: Wenn eine Sitzung abläuft, erhält Secure Hub ein Authentifizierungsticket von Citrix Gateway und übergibt es an die MDX-Apps. Citrix empfiehlt das Zertifikatpinning zum Schutz vor Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie im Secure Hub-Abschnitt Zertifikatpinning.

    Secure Hub moderiert zudem den MDX-Sicherheitscontainer durch Übertragen von Richtlinien, Erstellen einer Sitzung mit Citrix Gateway bei einem App-Timeout und durch Festlegen des MDX-Timeouts und der Benutzererfahrung. Außerdem ist Secure Hub für die Erkennung von Jailbreaks, Geolocation-Prüfungen und alle von Ihnen angewendeten Richtlinien verantwortlich.

  • MDX-Richtlinien: MDX-Richtlinien erstellen den Datentresor auf Geräten. MDX-Richtlinien leiten Micro-VPN-Verbindungen zurück zu Citrix Gateway und erzwingen Einschränkungen für den Offlinemodus sowie die Einhaltung von Clientrichtlinien (z. B. Timeouts).

Weitere Informationen zur Konfiguration der Authentifizierung und eine Übersicht über die ein- und zweistufige Authentifizierung finden Sie im Bereitstellungshandbuch unter Authentifizierung.

Sie verwenden Zertifikate in Endpoint Management, um sichere Verbindungen zu erstellen und Benutzer zu authentifizieren. Informationen zu weiteren Konfigurationsdetails finden Sie in den folgenden Artikeln:

Zertifikate

Endpoint Management generiert bei der Installation ein selbstsigniertes SSL-Zertifikat (Secure Socket Layer) zum Sichern der Kommunikation mit dem Server. Ersetzen Sie das SSL-Zertifikat durch ein vertrauenswürdiges SSL-Zertifikat von einer allgemein bekannten Zertifizierungsstelle.

Endpoint Management verwendet zudem den eigenen PKI-Dienst bzw. ruft Zertifikate von der Zertifizierungsstelle (ZS) für Clientzertifikate ab. Alle Citrix Produkte unterstützen Platzhalter- und SAN-Zertifikate (Subject Alternative Name). Für die meisten Bereitstellungen genügen zwei Platzhalter- bzw. SAN Zertifikate.

Die Clientzertifikatauthentifizierung bietet zusätzliche Sicherheit für mobile Apps und ermöglicht den Benutzern den direkten Zugriff auf HDX-Apps. Bei konfigurierter Clientzertifikatauthentifizierung geben die Benutzer ihre Citrix-PIN für Single Sign-On (SSO) ein, um Zugriff auf Endpoint Management-aktivierte Apps zu erhalten. Citrix-PIN vereinfacht zudem die Benutzerauthentifizierung. Mit Citrix-PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden.

Zum Registrieren und Verwalten von iOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (APNs) erstellen und einrichten. Informationen zu dem Verfahren finden Sie unter APNs-Zertifikate.

In der folgenden Tabelle werden Format und Typ des Zertifikats für jede Endpoint Management-Komponente aufgeführt:

Endpoint Management-Komponenten Zertifikatformat Erforderlicher Zertifikattyp
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Stamm (Citrix Gateway konvertiert PFX automatisch in PEM).
Endpoint Management .p12 (.pfx auf Windows-basierten Computern) SSL, SAML, APNs (Endpoint Management generiert während des Installationsprozesses auch eine vollständige PKI.) Wichtig: Endpoint Management unterstützt keine Zertifikate mit der Erweiterung “.pem”. Für die Verwendung eines PEM-Zertifikats müssen Sie die PEM-Datei in ein Zertifikat und einen Schlüssel unterteilen und diese einzeln in Endpoint Management importieren.
StoreFront PFX (PKCS #12) SSL, Stamm

Endpoint Management unterstützt Clientzertifikate einer Bitlänge von 4096, 2048 und 1024. 1024-Bit-Zertifikate lassen sich jedoch leicht manipulieren.

Für Citrix Gateway und Endpoint Management empfiehlt Citrix das Abrufen von Serverzertifikaten einer öffentlichen Zertifizierungsstelle, z. B. Verisign, DigiCert oder Thawte. Sie können eine Zertifikatsignieranforderung (CSR) mit dem Citrix Gateway- oder dem Endpoint Management-Konfigurationsprogramm erstellen. Übermitteln Sie die CSR dann zum Signieren an die Zertifizierungsstelle. Wenn die Zertifizierungsstelle das signierte Zertifikat zurückgesendet hat, können Sie es unter Citrix Gateway oder Endpoint Management installieren.

Wichtig:

Anforderungen für vertrauenswürdige Zertifikate in iOS, iPadOS und macOS

Apple stellt neue Anforderungen an TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176.

Apple verkürzt die Gültigkeitsdauer von TLS-Serverzertifikaten. Diese Änderung betrifft nur Serverzertifikate, die nach September 2020 ausgestellt werden. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT211025.

Authentifizierung von Identitätsanbietern

Sie können einen Identitätsanbieter (IdP) über Citrix Cloud zum Registrieren und Verwalten von Benutzergeräten konfigurieren.

Unterstützte Anwendungsfälle für IdPs:

  • Azure Active Directory über Citrix Cloud
    • Workspace-Integration ist optional
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • Legacy-Android (DA)
    • Features für die automatische Registrierung (z. B. Apple Deployment Program) werden derzeit nicht unterstützt.
  • Okta über Citrix Cloud
    • Workspace-Integration ist optional
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • Legacy-Android (DA)
    • Features für die automatische Registrierung (z. B. Apple Deployment Program) werden derzeit nicht unterstützt.
  • On-Premises Citrix Gateway über Citrix Cloud (Preview)
    • Citrix Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • iOS für die MDM+MAM- und MDM-Registrierung
    • Legacy-Android (DA)
    • Features für die automatische Registrierung (z. B. Apple Deployment Program) werden derzeit nicht unterstützt.
Zertifikate und Authentifizierung