Zertifikate und Authentifizierung

Mehrere Komponenten spielen für die Authentifizierung bei Endpoint Management-Operationen eine Rolle:

  • Endpoint Management: Auf dem Endpoint Management-Server legen Sie Registrierungssicherheit und die Registrierungserfahrung fest. Optionen für das Onboarding von Benutzern:
    • Registrierung für alle oder nur auf Einladung.
    • Zweistufige oder dreistufigen Authentifizierung. Über die Clienteigenschaften in Endpoint Management können Sie die Citrix PIN-Authentifizierung aktivieren und die PIN-Komplexität und -Ablaufzeit konfigurieren.
  • Citrix Gateway: Citrix Gateway ermöglicht das Beenden von Micro-VPN-SSL-Sitzungen. Citrix Gateway bietet zudem Sicherheit bei der Datenübertragung im Netzwerk und ermöglicht das Definieren der Authentifizierungserfahrung beim Zugriff auf Apps durch Benutzer.
  • Secure Hub: Secure Hub und Endpoint Management Server wirken bei der Registrierung zusammen. Secure Hub ist auf Geräten die Entität, die mit Citrix Gateway kommuniziert: Wenn eine Sitzung abläuft, erhält Secure Hub ein Authentifizierungsticket von Citrix Gateway und übergibt es an die MDX-Apps. Citrix empfiehlt die Verwendung von Zertifikatpinning zum Schutz vor Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie im Abschnitt über das Zertifikatpinning zu Secure Hub.

    Secure Hub moderiert zudem den MDX-Sicherheitscontainer durch Übertragen von Richtlinien, Erstellen einer Sitzung mit Citrix Gateway bei einem App-Timeout und durch Festlegen des MDX-Timeouts und der Benutzererfahrung. Außerdem ist Secure Hub für die Erkennung von Jailbreaks, Geolocation-Prüfungen und alle von Ihnen angewendeten Richtlinien verantwortlich.

  • MDX-Richtlinien: MDX-Richtlinien erstellen den Datentresor auf Geräten. MDX-Richtlinien leiten Micro-VPN-Verbindungen zurück zu Citrix Gateway und erzwingen Einschränkungen für den Offlinemodus sowie die Einhaltung von Clientrichtlinien (z. B. Timeouts).

Weitere Informationen zur Konfiguration der Authentifizierung und eine Übersicht über die ein- und zweistufige Authentifizierung finden Sie im Bereitstellungshandbuch unter Authentifizierung.

Sie verwenden Zertifikate in Endpoint Management, um sichere Verbindungen zu erstellen und Benutzer zu authentifizieren. Im Rest dieses Artikels werden Zertifikate behandelt. Informationen zu weiteren Konfigurationsdetails finden Sie in den folgenden Artikeln:

Zertifikate

Standardmäßig umfasst Endpoint Management ein selbstsigniertes SSL-Zertifikat (Secure Socket Layer), das während der Installation zum Sichern der Kommunikation mit dem Server generiert wird. Citrix empfiehlt, dass Sie das SSL-Zertifikat durch ein vertrauenswürdiges SSL-Zertifikat einer etablierten Zertifizierungsstelle (ZS) ersetzen.

Hinweis:

Geräte mit iOS 10.3 unterstützen keine selbstsignierten Zertifikate. Wenn Endpoint Management selbstsignierte Zertifikate verwendet, können die Benutzer keine iOS 10.3-Geräte bei Endpoint Management registrieren. Um Geräte mit iOS 10.3 oder höher in Endpoint Management zu registrieren, müssen Sie vertrauenswürdige SSL-Zertifikate in Endpoint Management verwenden.

Endpoint Management verwendet zudem den eigenen PKI-Dienst bzw. ruft Zertifikate von der Zertifizierungsstelle (ZS) für Clientzertifikate ab. Alle Citrix Produkte unterstützen Platzhalter- und SAN-Zertifikate (Subject Alternative Name). Für die meisten Bereitstellungen genügen zwei Platzhalter- bzw. SAN Zertifikate.

Die Clientzertifikatauthentifizierung bietet zusätzliche Sicherheit für mobile Apps und ermöglicht den Benutzern den direkten Zugriff auf HDX-Apps. Bei konfigurierter Clientzertifikatauthentifizierung geben die Benutzer ihre Citrix PIN für Single Sign-On (SSO) ein, um Zugriff auf Endpoint Management-aktivierte Apps zu erhalten. Citrix PIN vereinfacht zudem die Benutzerauthentifizierung. Mit Citrix PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden.

Zum Registrieren und Verwalten von iOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (APNs) erstellen und einrichten. Anweisungen finden Sie unter APNs-Zertifikate.

In der folgenden Tabelle werden Format und Typ des Zertifikats für jede Endpoint Management-Komponente aufgeführt:

     
Endpoint Management-Komponenten Zertifikatformat Erforderlicher Zertifikattyp
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Stamm (Citrix Gateway konvertiert PFX automatisch in PEM).
Endpoint Management .p12 (.pfx auf Windows-basierten Computern) SSL, SAML, APNs (Endpoint Management generiert während des Installationsprozesses auch eine vollständige PKI.) Wichtig: Endpoint Management unterstützt keine Zertifikate mit der Erweiterung “.pem”. Für die Verwendung eines PEM-Zertifikats müssen Sie die PEM-Datei in ein Zertifikat und einen Schlüssel unterteilen und diese einzeln in Endpoint Management importieren.
StoreFront PFX (PKCS #12) SSL, Stamm

Endpoint Management unterstützt Clientzertifikate einer Bitlänge von 4096, 2048 und 1024. Hinweis: 1024-Bit-Zertifikate lassen sich leicht manipulieren.

Für Citrix Gateway und Endpoint Management empfiehlt Citrix das Abrufen von Serverzertifikaten einer öffentlichen Zertifizierungsstelle, z. B. VeriSign, DigiCert oder Thawte. Sie können eine Zertifikatsignieranforderung (CSR) mit dem Citrix Gateway- oder dem Endpoint Management-Konfigurationsprogramm erstellen. Übermitteln Sie die CSR dann zum Signieren an die Zertifizierungsstelle. Wenn die Zertifizierungsstelle das signierte Zertifikat zurückgesendet hat, können Sie es unter Citrix Gateway oder Endpoint Management installieren.

Hochladen von Zertifikaten in Endpoint Management

Jedes hochgeladene Zertifikat erhält einen Eintrag in der Tabelle der Zertifikate mit einer Zusammenfassung seines Inhalts. Wenn Sie Komponenten zur PKI-Integration konfigurieren, die ein Zertifikat erfordern, wählen Sie ein Serverzertifikat aus, das die kontextabhängigen Kriterien erfüllt. Beispiel: Sie konfigurieren die Integration von Endpoint Management in Ihrer Microsoft-Zertifizierungsstelle. Die Verbindung mit der Microsoft-Zertifizierungsstelle erfordert eine Authentifizierung mit einem Clientzertifikat.

In diesem Abschnitt finden Sie allgemeine Anleitungen zum Hochladen von Zertifikaten. Einzelheiten zum Erstellen, Hochladen und Konfigurieren von Clientzertifikaten finden Sie unter Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne.

Anforderungen an private Schlüssel

Endpoint Management kann den privaten Schlüssel für ein bestimmtes Zertifikat haben oder auch nicht. Analog erfordert Endpoint Management einen privaten Schlüssel für hochgeladene Zertifikate oder auch nicht.

Hochladen von Zertifikaten in die Konsole

Beim Hochladen von Zertifikaten in die Konsole haben Sie zwei Hauptoptionen:

  • Sie können per Klick den Import eines Schlüsselspeichers veranlassen. Anschließend geben Sie im Schlüsselspeicherrepository an, welchen Eintrag Sie installieren möchten (es sei denn, Sie laden ein PKCS #12-Zertifikat hoch).
  • Sie können ein Zertifikat per Klick importieren.

Sie können das ZS-Zertifikat (ohne privaten Schlüssel) hochladen, das von der Zertifizierungsstelle zum Signieren von Zertifikatsanforderungen verwendet wird. Sie können auch ein SSL-Clientzertifikat (mit privatem Schlüssel) für die Clientauthentifizierung hochladen.

Beim Konfigurieren der Entität der Microsoft-Zertifizierungsstelle müssen Sie das ZS-Zertifikat angeben. Dieses wählen Sie aus der Liste aller Serverzertifikate aus, die ZS-Zertifikate sind. Analog können Sie bei der Konfiguration der Clientauthentifizierung aus einer Liste mit allen Serverzertifikaten auswählen, für die Endpoint Management den privaten Schlüssel hat.

Importieren eines Schlüsselspeichers

Schlüsselspeicher sind Repositorys mit Sicherheitszertifikaten und können als solche mehrere Einträge enthalten. Beim Laden aus einem Schlüsselspeicher werden Sie aufgefordert, das Alias des gewünschten Eintrags anzugeben. Wenn Sie kein Alias angeben, wird der erste Eintrag aus dem Speicher geladen. Da PKCS #12-Dateien normalerweise nur einen Eintrag enthalten, wird das Aliasfeld nicht angezeigt, wenn Sie PKCS #12 als Schlüsselspeichertyp auswählen.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Abbildung der Seite "Zertifikate"

  3. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

  4. Konfigurieren Sie folgende Einstellungen:

    • Importieren: Klicken Sie in der Liste auf Schlüsselspeicher. Das Dialogfeld Importieren ändert sich und enthält nun die verfügbaren Schlüsselspeicheroptionen.

    Abbildung der Seite "Zertifikate"

    • Schlüsselspeichertyp: Klicken Sie in der Liste auf PKCS #12.
    • Verwenden als: Wählen Sie in der Liste aus, wie Sie das Zertifikat verwenden möchten. Es gibt folgende Optionen:
      • Server. Serverzertifikate werden funktional von Endpoint Management verwendet. Sie laden Serverzertifikate in die Endpoint Management-Webkonsole hoch. Zu diesen Zertifikaten gehören ZS-Zertifikate, RA-Zertifikate und Zertifikate für die Clientauthentifizierung bei anderen Komponenten der Infrastruktur. Außerdem können Sie Serverzertifikate als Speicher für Zertifikate verwenden, die Sie Geräten bereitstellen möchten. Dies gilt insbesondere für Zertifizierungsstellen, die zur Herstellung einer Vertrauensbeziehung auf dem Gerät verwendet werden.
      • SAML. Mit der SAML-Zertifizierung (Security Assertion Markup Language) können Sie Single Sign-On auf Servern, Websites und für Apps bereitstellen.
      • APNs. APNs-Zertifikate von Apple ermöglichen die Mobilgeräteverwaltung über das Apple Push-Netzwerk.
      • SSL-Listener. Der Secure Sockets Layer-Listener benachrichtigt Endpoint Management über SSL-Kryptografieaktivitäten.
    • Schlüsselspeicherdatei: Navigieren Sie zu dem Schlüsselspeicher, den Sie importieren möchten. Der Dateityp ist “P12” (auf Windows-Computern “PFX”).
    • Kennwort: Geben Sie das dem Zertifikat zugewiesene Kennwort ein.
    • Beschreibung: Geben Sie optional eine Beschreibung für den Schlüsselspeicher ein, anhand derer Sie diesen von anderen Schlüsselspeichern unterscheiden können.
  5. Klicken Sie auf Importieren. Der Schlüsselspeicher wird der Zertifikattabelle hinzugefügt.

Importieren eines Zertifikats

Beim Importieren eines Zertifikats aus einer Datei oder einem Schlüsselspeichereintrag versucht Endpoint Management die Erstellung einer Zertifikatkette aus der Eingabe. Endpoint Management importiert alle Zertifikate in dieser Kette, um jeweils einen Serverzertifikateintrag zu erstellen. Dies funktioniert nur, wenn die Zertifikate in der Datei oder dem Schlüsselspeichereintrag tatsächlich eine Kette bilden, z. B. wenn jedes folgende Zertifikat in der Kette Aussteller des vorherigen Zertifikats ist.

Sie können optional eine Beschreibung für die importierten Zertifikate eingeben. Die Beschreibung wird nur dem ersten Zertifikat in der Kette angefügt. Sie können die Beschreibung der verbleibenden Zertifikate später aktualisieren.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf Zertifikate.

  2. Klicken Sie auf der Seite Zertifikate auf Importieren. Das Dialogfeld Importieren wird angezeigt.

  3. Aktivieren Sie im Dialogfeld Importieren unter Importieren die Option Zertifikat, sofern sie noch nicht aktiviert ist.

  4. Das Dialogfeld Importieren ändert sich und enthält nun die verfügbaren Zertifikatoptionen. Wählen Sie unter Verwenden als aus, wie Sie den Schlüsselspeicher verwenden möchten. Es gibt folgende Optionen:

    • Server. Serverzertifikate werden funktional von Endpoint Management verwendet. Sie laden Serverzertifikate in die Endpoint Management-Webkonsole hoch. Zu diesen Zertifikaten gehören ZS-Zertifikate, RA-Zertifikate und Zertifikate für die Clientauthentifizierung bei anderen Komponenten der Infrastruktur. Außerdem können Sie Serverzertifikate als Speicher für Zertifikate verwenden, die Sie Geräten bereitstellen möchten. Dies gilt insbesondere für Zertifizierungsstellen, die zur Herstellung einer Vertrauensbeziehung auf dem Gerät verwendet werden.
    • SAML. Mit der SAML-Zertifizierung (Security Assertion Markup Language) können Sie Single Sign-On (SSO) auf Servern, Websites und für Apps bereitstellen.
    • SSL-Listener. Der Secure Sockets Layer-Listener benachrichtigt Endpoint Management über SSL-Kryptografieaktivitäten.
  5. Navigieren Sie zu dem Schlüsselspeicher, den Sie importieren möchten. Der Dateityp ist “P12” (auf Windows-Computern “PFX”).

  6. Navigieren Sie optional zu einer Datei eines privaten Schlüssels für das Zertifikat. Der private Schlüssel wird für die Ver- und Entschlüsselung im Zusammengang mit dem Zertifikat verwendet.

  7. Geben Sie optional eine Beschreibung für das Zertifikat ein, anhand derer Sie dieses von anderen Zertifikaten unterscheiden können.

  8. Klicken Sie auf Importieren. Das Zertifikat wird der Zertifikattabelle hinzugefügt.

Aktualisieren eines Zertifikats

In Endpoint Management darf nur jeweils ein Zertifikat pro öffentlichem Schlüssel im System vorhanden sein. Wenn Sie versuchen, ein Zertifikat für ein Schlüsselpaar zu importieren, das bereits ein importiertes Zertifikat besitzt, können Sie den vorhandenen Eintrag entweder ersetzen oder löschen.

Dies ist die effektivste Methode, Ihre Zertifikate in der Endpoint Management-Konsole zu aktualisieren: Klicken Sie in der oberen rechten Ecke der Konsole auf das Zahnradsymbol, um die Seite Einstellungen zu öffnen. Klicken Sie dann auf Zertifikate. Importieren Sie das neue Zertifikat im Dialogfeld Importieren.

Wenn Sie ein Serverzertifikat aktualisieren, wechseln Komponenten, die das vorherige Zertifikat verwendet haben, automatisch zu dem neuen. Gleichermaßen wird das Serverzertifikat auf Geräten, auf denen es bereitgestellt ist, bei der nächsten Bereitstellung automatisch aktualisiert.

Verwalten der Endpoint Management-Zertifikate

Es empfiehlt sich, eine Liste der in einer Endpoint Management-Bereitstellung verwendeten Zertifikate zu erstellen und insbesondere Ablaufdatum und verknüpfte Kennwörter zu notieren. Die Informationen in diesem Abschnitt sollen Ihnen die Zertifikatverwaltung in Endpoint Management erleichtern.

Ihre Umgebung kann einige oder alle der folgenden Zertifikate enthalten:

  • Endpoint Management-Server
    • SSL-Zertifikat für MDM-FQDN
    • SAML-Zertifikat (Citrix Files)
    • Stamm- und Zwischenzertifikate für die zuvor genannten Zertifikate und andere interne Ressourcen (StoreFront, Proxy usw.)
    • APNs-Zertifikat für die Verwaltung von iOS-Geräten
    • Internes APNs-Zertifikat für Secure Hub Benachrichtigungen des Endpoint Management-Servers
    • PKI-Benutzerzertifikat für die Verbindung mit der PKI
  • MDX Service oder MDX Toolkit
    • Apple Developer-Zertifikat
    • Apple-Provisioningprofil (pro Anwendung)
    • APNs-Zertifikat von Apple (zur Verwendung für Citrix Secure Mail)
    • Android-Schlüsselspeicherdatei
    • Windows Phone – Symantec-Zertifikat
  • Citrix Gateway
    • SSL-Zertifikat für MDM-FQDN
    • SSL-Zertifikat für Gateway-FQDN
    • SSL-Zertifikat für ShareFile StorageZones Controller-FQDN
    • SSL-Zertifikat für Exchange-Lastausgleich (Abladung der Konfiguration)
    • SSL-Zertifikat für StoreFront-Lastausgleich
    • Stamm- und Zwischenzertifikate für die o. g. Zertifikate

Erneuern des Gerätezertifikats

Sie können nun anfordern, dass Citrix Cloud Operations die internen PKI-Zertifizierungsstellen in Ihrer Endpoint Management-Bereitstellung aktualisiert oder neu generiert. Öffnen Sie einen Technischer Support-Fall für diese Anfragen.

Wenn die neuen ZS verfügbar sind, teilt Ihnen Cloud Operations mit, dass Sie mit der Erneuerung der Gerätezertifikate für Ihre Benutzer fortfahren können.

Für unterstützte iOS-, macOS- und Android-Geräte können Sie die Zertifikatsverlängerung über die Sicherheitsaktion “Zertifikatserneuerung” einleiten. Sie erneuern Gerätezertifikate über die Endpoint Management-Konsole oder die öffentliche REST API. Registrierte Windows-Geräte müssen von den Benutzern erneut registriert werden, damit sie eine neue Geräte-ZS erhalten.

Ist Citrix Gateway für SSL-Offload eingerichtet, stellen Sie beim Generieren eines neuen Zertifikats sicher, dass Sie den Load Balancer mit der neuen cacert.perm aktualisieren.

Wenn Geräte das nächste Mal eine Verbindung zu Endpoint Management herstellen, gibt der Endpoint Management-Server neue Gerätezertifikate basierend auf der neuen Zertifizierungsstelle aus.

Erneuern der Gerätezertifikate über die Konsole

  1. Gehen Sie zu Verwalten > Geräte und wählen Sie die Geräte aus, für die Sie Gerätezertifikate erneuern möchten.
  2. Klicken Sie auf Sichern und klicken Sie dann auf Zertifikaterneuerung.

    Abbildung der Zertifikaterneuerung in den Sicherheitsaktionen

    Registrierte Geräte funktionieren weiterhin ohne Unterbrechung. Endpoint Management gibt ein Gerätezertifikat aus, wenn ein Gerät eine Verbindung zum Server herstellt.

Abfragen der Geräte, die in einer bestimmten Zertifizierungsstellengruppe für Gerätezertifikate sind:

  1. Erweitern Sie ggf. unter Verwalten > Geräte den Bereich Filter.
  2. Erweitern Sie im Bereich Filter die Option Ausstellende ZS für Gerätezertifikat und wählen Sie dann die ausstellende ZS, die Sie erneuern möchten.

    In der Gerätetabelle werden die Geräte für die ausgewählten ausstellenden Zertifizierungsstellen angezeigt.

    Abbildung einer Geräteliste nach Zertifizierungsstellenzertifikatgruppe gefiltert

Erneuern der Gerätezertifikate über die REST API

Endpoint Management verwendet intern folgende Zertifizierungsstellen für PKI: Stamm-ZS, Geräte-ZS und Server-ZS. Diese Zertifizierungsstellen sind eine logische Gruppe und haben einen Gruppennamen. Während des Endpoint Management-Provisioning generiert der Server drei Zertifizierungsstellen und gibt ihnen den Gruppennamen “Standard”.

Mit den folgenden APIs können Sie die von den Zertifizierungsstellen ausgestellten Gerätezertifikate verwalten und erneuern. Registrierte Geräte funktionieren weiterhin ohne Unterbrechung. Endpoint Management gibt ein Gerätezertifikat aus, wenn ein Gerät eine Verbindung zum Server herstellt. Weitere Informationen finden Sie im PDF-Dokument Public API for REST Services.

  • Liefert eine Liste von Geräten, die noch die alte ZS verwenden (siehe Abschnitt 3.16.2 im PDF-Dokument “Public API for REST Services”).
  • Gerätezertifikat erneuern (siehe Abschnitt 3.16.58)
  • Alle ZS-Gruppen abrufen (siehe Abschnitt 3.23.1)

Endpoint Management-Zertifikatauflaufrichtlinie

Wenn ein Zertifikat abläuft, wird es ungültig. Sie können dann keine weiteren sicheren Transaktionen in Ihrer Umgebung ausführen und haben keinen Zugriff mehr auf Endpoint Management-Ressourcen.

Hinweis:

Die Zertifizierungsstelle (ZS) fordert Sie vor dem Ablaufdatum zur Verlängerung des SSL-Zertifikats auf.

APNs-Zertifikat für Citrix Secure Mail

APNs-Zertifikate laufen jeweils nach einem Jahr ab. Erstellen Sie vor dem Ablaufen ein APNs-SSL-Zertifikat und aktualisieren Sie es im Citrix Portal. Läuft das Zertifikat ab, verursacht dies für Benutzer Inkonsistenzen bei Secure Mail-Pushbenachrichtigungen. Außerdem können Sie keine weiteren Pushbenachrichtigungen für Ihre Apps senden.

APNs-Zertifikat für die Verwaltung von iOS-Geräten

Zum Registrieren und Verwalten von iOS-Geräten bei bzw. mit Endpoint Management müssen Sie ein APNs-Zertifikat von Apple erstellen und einrichten. Wenn das Zertifikat abläuft, können die Benutzer keine Registrierung bei Endpoint Management durchführen und Sie können keine iOS-Geräte verwalten. Informationen finden Sie unter APNs-Zertifikate.

Sie können den APNs-Zertifikatstatus und das Ablaufdatum anzeigen, indem Sie sich beim Apple Push Certificate Portal anmelden. Sie müssen sich mit demselben Benutzerkonto anmelden, das bei der Erstellung des Zertifikats verwendet wurde.

Sie erhalten außerdem 30 und 10 Tage vor dem Ablaufdatum eine E-Mail-Benachrichtigung von Apple: Die Benachrichtigung enthält die folgenden Informationen:

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.

Thank You,

Apple Push Notification Service

MDXService oder MDX Toolkit (iOS-Verteilungszertifikat)

Für alle nicht aus dem Apple App Store stammenden Apps, die auf einem physischen iOS-Gerät ausgeführt werden, gelten folgend Anforderungen:

  • Signieren Sie die App mit einem Provisioningprofil.
  • Signieren Sie die App mit einem entsprechenden Verteilungszertifikat.

Um sich zu vergewissern, dass Sie ein gültiges iOS-Verteilungszertifikat haben, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie über das Apple Enterprise Developer-Portal eine explizite App-ID für jede App, die Sie mit MDX umschließen möchten. Beispiel einer zulässigen App-ID: com.CompanyName.ProductName.
  2. Wählen Sie im Apple Enterprise Developer-Portal Provisioning Profiles > Distribution und erstellen Sie ein Provisioningprofil zum hausinternen Gebrauch. Wiederholen Sie diesen Schritt für jede zuvor erstellte App-ID.
  3. Laden Sie alle Provisioningprofile herunter. Weitere Informationen finden Sie unter Umschließen von mobilen iOS-Apps.

Um sich zu vergewissern, dass alle Endpoint Management-Serverzertifikate gültig sind, führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Endpoint Management-Konsole auf Einstellungen > Zertifikate.
  2. Vergewissern Sie sich, dass alle Zertifikate (APNs-, SSL- Listener-, Stamm- und Zwischenzertifikate) gültig sind.

Android-Schlüsselspeicher

Der Schlüsselspeicher ist eine Datei mit den Zertifikaten, mit denen Sie Android-Apps signieren. Wenn die Gültigkeit der Schlüssel abläuft, können Benutzer kein nahtloses Upgrade auf neue App-Versionen mehr ausführen.

Symantec-Zertifikat für Windows Phone-Geräte

Symantec ist exklusiver Anbieter von Codesignaturzertifikaten für den Microsoft App Hub-Dienst. Entwickler und Softwareherausgeber verwenden App Hub zum Verteilen von Apps für Windows Phone und Xbox 360 zum Download über den Microsoft Store bzw. Windows Marketplace. Weitere Informationen finden Sie unter Symantec Code Signing Certificates for Windows Phone in der Symantec-Dokumentation.

Wenn das Zertifikat abläuft, können Windows Phone-Benutzer sich nicht registrieren. Die Benutzer können keine vom Unternehmen veröffentlichte und signierte App installieren und keine auf dem Gerät installierte Unternehmensapp starten.

Citrix Gateway

Weitere Informationen zur Handhabung des Zertifikatablaufs bei Citrix Gateway finden Sie unter How to handle certificate expiry on NetScaler im Knowledge Center des Citrix Supports.

Ein abgelaufenes Citrix Gateway-Zertifikat hindert Benutzer daran, Geräte zu registrieren und auf den Store zuzugreifen. Das abgelaufene Zertifikat verhindert außerdem, dass Benutzer bei der Verwendung von Secure Mail eine Verbindung mit Exchange Server herstellen. Darüber hinaus können Benutzer keine HDX-Apps anzeigen und öffnen (je nachdem, welches Zertifikat abgelaufen ist).

Expiry Monitor und Command Center ermöglichen Ihnen, Ihre Citrix Gateway-Zertifikate zu überwachen. Das Center benachrichtigt Sie zudem, wenn ein Zertifikatablauf ansteht. Die Tools helfen bei der Überwachung der folgenden Citrix Gateway-Zertifikate:

  • SSL-Zertifikat für MDM-FQDN
  • SSL-Zertifikat für Gateway-FQDN
  • SSL-Zertifikat für ShareFile StorageZones Controller-FQDN
  • SSL-Zertifikat für Exchange-Lastausgleich (Abladung der Konfiguration)
  • SSL-Zertifikat für StoreFront-Lastausgleich
  • Stamm- und Zwischenzertifikate für die o. g. Zertifikate

Zertifikate und Authentifizierung