Citrix Endpoint Management

Zertifikate und Authentifizierung

Mehrere Komponenten spielen für die Authentifizierung bei Citrix Endpoint Management-Operationen eine Rolle:

  • Citrix Endpoint Management: Auf dem Citrix Endpoint Management-Server legen Sie Registrierungssicherheit und die Registrierungserfahrung fest. Optionen für das Onboarding von Benutzern:
    • Registrierung für alle oder nur auf Einladung.
    • Zweistufige oder dreistufigen Authentifizierung. Clienteigenschaften in Citrix Endpoint Management ermöglichen es Ihnen, die Citrix-PIN-Authentifizierung zu aktivieren und die Komplexität sowie den Ablauf der PIN zu konfigurieren.
  • NetScaler Gateway: NetScaler Gateway ermöglicht Terminierung für Micro-VPN-SSL-Sitzungen. NetScaler Gateway bietet zudem Sicherheit bei der Datenübertragung im Netzwerk und ermöglicht das Definieren der Authentifizierungserfahrung beim Zugriff auf Apps durch Benutzer.
  • Citrix Secure Hub: Citrix Secure Hub und Citrix Endpoint Management Server wirken bei der Registrierung zusammen. Citrix Secure Hub ist auf Geräten die Entität, die mit NetScaler Gateway kommuniziert: Wenn eine Sitzung abläuft, erhält Citrix Secure Hub ein Authentifizierungsticket von NetScaler Gateway und übergibt es an die MDX-Apps. Citrix empfiehlt das Zertifikatpinning zum Schutz vor Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie in diesem Abschnitt im Citrix Secure Hub-Artikel zum Zertifikatpinning.

    Citrix Secure Hub moderiert zudem den MDX-Sicherheitscontainer durch Übertragen von Richtlinien, Erstellen einer Sitzung mit NetScaler Gateway bei einem App-Timeout und durch Festlegen des MDX-Timeouts und der Benutzererfahrung. Außerdem ist Citrix Secure Hub für die Erkennung von Jailbreaks, Geolocation-Prüfungen und alle von Ihnen angewendeten Richtlinien verantwortlich.

  • MDX-Richtlinien: MDX-Richtlinien erstellen den Datentresor auf Geräten. MDX-Richtlinien leiten Micro-VPN-Verbindungen zurück zu NetScaler Gateway und erzwingen Einschränkungen für den Offlinemodus sowie die Einhaltung von Clientrichtlinien (z. B. Timeouts).

Citrix Endpoint Management authentifiziert Benutzer mit den folgenden Authentifizierungsmethoden für ihre Ressourcen:

  • Mobilgeräteverwaltung (MDM)
    • Cloudgehostete Identitätsanbieter (IdPs)
    • Lightweight Directory Access Protocol (LDAP)
      • Einladungs-URL + PIN
      • Zweistufige Authentifizierung
  • Mobilanwendungsverwaltung (MAM)
    • LDAP
    • Zertifikat
    • MAM-Authentifizierung mit Sicherheitstoken erfordert NetScaler Gateway.

Informationen zu weiteren Konfigurationsdetails finden Sie in den folgenden Artikeln:

Zertifikate

Citrix Endpoint Management generiert bei der Installation ein selbstsigniertes SSL-Zertifikat (Secure Socket Layer) zum Sichern der Kommunikation mit dem Server. Ersetzen Sie das SSL-Zertifikat durch ein vertrauenswürdiges SSL-Zertifikat von einer allgemein bekannten Zertifizierungsstelle.

Citrix Endpoint Management verwendet zudem den eigenen PKI-Dienst bzw. ruft Zertifikate von der Zertifizierungsstelle (ZS) für Clientzertifikate ab. Alle Citrix Produkte unterstützen Platzhalter- und SAN-Zertifikate (Subject Alternative Name). Für die meisten Bereitstellungen genügen zwei Platzhalter- bzw. SAN Zertifikate.

Die Clientzertifikatauthentifizierung bietet zusätzliche Sicherheit für mobile Apps und ermöglicht den Benutzern den direkten Zugriff auf HDX-Apps. Bei konfigurierter Clientzertifikatauthentifizierung geben die Benutzer ihre Citrix-PIN für Single Sign-On (SSO) ein, um Zugriff auf Citrix Endpoint Management-aktivierte Apps zu erhalten. Citrix-PIN vereinfacht zudem die Benutzerauthentifizierung. Mit Citrix-PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden.

Zum Registrieren und Verwalten von iOS-Geräten mit Citrix Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (APNs) erstellen und einrichten. Anweisungen finden Sie unter APNs-Zertifikate.

In der folgenden Tabelle werden Format und Typ des Zertifikats für jede Citrix Endpoint Management-Komponente aufgeführt:

Citrix Endpoint Management-Komponenten Zertifikatformat Erforderlicher Zertifikattyp
NetScaler Gateway PEM (BASE64), PFX (PKCS #12) SSL, Stamm (NetScaler Gateway konvertiert PFX automatisch in PEM).
Citrix Endpoint Management .p12 (.pfx auf Windows-basierten Computern) SSL, SAML, APNs (Citrix Endpoint Management generiert während des Installationsprozesses auch eine vollständige PKI.) Wichtig: Citrix Endpoint Management unterstützt keine Zertifikate mit der Erweiterung “.pem”. Für die Verwendung eines PEM-Zertifikats müssen Sie die PEM-Datei in ein Zertifikat und einen Schlüssel unterteilen und diese einzeln in Citrix Endpoint Management importieren.
StoreFront PFX (PKCS #12) SSL, Stamm

Citrix Endpoint Management unterstützt Clientzertifikate einer Bitlänge von 4096 und 2048.

Für NetScaler Gateway und Citrix Endpoint Management empfiehlt sich das Abrufen von Serverzertifikaten einer öffentlichen Zertifizierungsstelle, z. B. Verisign, DigiCert oder Thawte. Sie können eine Zertifikatsignieranforderung (CSR) mit dem NetScaler Gateway- oder dem Citrix Endpoint Management-Konfigurationsprogramm erstellen. Übermitteln Sie die CSR dann zum Signieren an die Zertifizierungsstelle. Wenn die Zertifizierungsstelle das signierte Zertifikat zurückgesendet hat, können Sie es unter NetScaler Gateway oder Citrix Endpoint Management installieren.

Wichtig:

Anforderungen für vertrauenswürdige Zertifikate in iOS, iPadOS und macOS

Apple stellt neue Anforderungen an TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176.

Apple verkürzt die Gültigkeitsdauer von TLS-Serverzertifikaten. Diese Änderung betrifft nur Serverzertifikate, die nach September 2020 ausgestellt werden. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT211025.

LDAP-Authentifizierung

Citrix Endpoint Management unterstützt die domänenbasierte Authentifizierung für ein oder mehrere Lightweight Directory Access Protocol-konforme Verzeichnisse. LDAP ist ein Softwareprotokoll, das Zugriff auf Informationen über Gruppen, Benutzerkonten und zugehörige Eigenschaften bietet. Weitere Informationen finden Sie unter Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken.

Authentifizierung von Identitätsanbietern

Sie können einen Identitätsanbieter (IdP) über Citrix Cloud zum Registrieren und Verwalten von Benutzergeräten konfigurieren.

Unterstützte Anwendungsfälle für IdPs:

  • Azure Active Directory über Citrix Cloud
    • Workspace-Integration ist optional
    • NetScaler Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • iOS und macOS für die Apple Business Manager-Registrierung
    • Legacy-Android (DA)

    Features für die automatische Registrierung (z. B. Apple School Manager) werden derzeit nicht unterstützt.

  • Okta über Citrix Cloud
    • Workspace-Integration ist optional
    • NetScaler Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • iOS und macOS für die Apple Business Manager-Registrierung
    • Legacy-Android (DA)

    Features für die automatische Registrierung (z. B. Apple School Manager) werden derzeit nicht unterstützt.

  • On-Premises-NetScaler Gateway über Citrix Cloud
    • NetScaler Gateway, konfiguriert für die zertifikatbasierte Authentifizierung
    • Android Enterprise (Preview. Unterstützt BYOD, vollständig verwaltete Geräte und erweiterte Registrierungsprofile)
    • iOS für die MDM+MAM- und MDM-Registrierung
    • Legacy-Android (DA) Features für die automatische Registrierung (z. B. Apple-Bereitstellungsprogramm) werden derzeit nicht unterstützt.
Zertifikate und Authentifizierung