PKI-Entitäten

Eine Endpoint Management-PKI-Entität ist eine Komponente, die PKI-Vorgänge (Ausstellung, Sperrung und Statusinformationen) durchführt. Dies sind interne oder externe Komponenten von Endpoint Management. Interne Komponenten werden als eigenverwaltet bezeichnet. Externe Komponenten sind Teil Ihrer Unternehmensinfrastruktur.

Endpoint Management unterstützt folgende Arten von PKI-Entitäten:

  • Generic PKIs (GPKIs)

Die Unterstützung von Endpoint Management für GPKIs umfasst Symantec Managed PKI.

  • Microsoft Zertifikatdienste
  • Eigenverwaltete CAs

Endpoint Management unterstützt die folgenden Zertifizierungsstellenserver:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Allgemeine PKIs – Konzepte

Unabhängig von ihrem Typ umfasst jede PKI-Entität folgende Funktionen:

  • Sign: Ausstellung eines neuen Zertifikats nach Zertifikatsignieranforderung (CSR)
  • Fetch: Abruf eines vorhandenen Zertifikat-/Schlüsselpaars
  • Revoke: Sperre eines Clientzertifikats

Informationen über Zertifizierungsstellenzertifikate

Beim Konfigurieren einer PKI-Entität müssen Sie in Endpoint Management angeben, welches ZS-Zertifikat die von dieser Entität ausgestellten bzw. wiederhergestellten Zertifikate signiert. Diese PKI-Entität kann abgerufene oder neu signierte Zertifikate, die von einer beliebigen Zahl verschiedener Zertifizierungsstellen signiert wurden, zurückgeben.

Stellen Sie das Zertifikat jeder dieser Zertifizierungsstellen als Teil der PKI-Entitätskonfiguration bereit. Hierfür laden Sie die Zertifikate in Endpoint Management hoch und referenzieren sie dann in der PKI-Entität. Bei eigenverwalteten Zertifizierungsstellen gehört das Zertifikat implizit zur signierenden Zertifizierungsstelle. Bei externen Entitäten müssen Sie das Zertifikat manuell definieren.

Wichtig:

Zur Vermeidung von Problemen bei der Authentifizierung registrierter Geräte verwenden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage keine Sonderzeichen im Vorlagennamen. Beispiele für Sonderzeichen: ! : $ ( ) # % + * ~ ? | { } [ ]

Generic PKI

Das Protokoll Generic PKI (GPKI) ist ein Endpoint Management-eigenes Protokoll, das über eine SOAP-Webdienstschicht zur Vereinheitlichung der Schnittstelle mit verschiedenen PKI-Lösungen ausgeführt wird. GPKI definiert folgende grundlegenden PKI-Vorgänge:

  • Sign: Der Adapter kann Zertifikatsignieranforderungen (CSR) entgegennehmen, an die PKI übertragen und neu signierte Zertifikate zurückgeben.
  • Fetch: Der Adapter kann vorhandene Zertifikate und Schlüsselpaare (je nach Eingabeparametern) von der PKI abrufen bzw. wiederherstellen.
  • Revoke: Die Adapter kann eine Sperre von Zertifikaten durch die PKI auslösen.

Empfänger der GPKI-Befehle ist der GPKI-Adapter. Der Adapter übersetzt die grundlegenden Vorgänge für den spezifischen PKI-Typ, für den er erstellt wurde. So gibt es beispielsweise GPKI-Grafikadapter für RSA und Entrust.

Der GPKI-Adapter veröffentlicht als SOAP-Webdienst-Endpunkt eine selbstbeschreibende WSDL-Definition (Web Services Description Language). Das Erstellen einer GPKI-PKI-Entität geschieht durch Bereitstellen dieser WSDL-Definition für Endpoint Management über eine URL oder durch Hochladen der Datei selbst.

Unterstützung für die einzelnen PKI-Vorgänge ist bei einem Adapter optional. Wenn ein Adapter einen bestimmten Vorgang unterstützt, hat der Adapter die entsprechende Funktion (sign, fetch oder revoke). Jeder Funktion können diverse Benutzerparameter zugeordnet werden.

Benutzerparameter sind Paramenter, die der GPKI-Adapter für einen bestimmten Vorgang definiert und für die Sie Endpoint Management die Werte angeben müssen. Endpoint Management ermittelt durch Analyse der WSDL, welche Vorgänge ein Adapter bietet und welche Parameter er für diese Vorgänge jeweils benötigt. Bei entsprechender Auswahl verwenden Sie die SSL-Clientauthentifizierung zum Schützen der Verbindung zwischen Endpoint Management und dem GPKI-Adapter.

Hinzufügen einer GPKI

  1. Klicken Sie in der Endpoint Management-Konsole auf Einstellungen > PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  3. Klicken Sie auf Generic PKI-Entität.

    Die Seite “Generic PKI-Entität: Allgemeine Informationen” wird angezeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  4. Führen Sie auf der Seite Generic PKI-Entität: Allgemeine Informationen folgende Schritte aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die PKI-Entität ein.
    • WSDL URL: Geben Sie den Speicherort der WSDL mit der Beschreibung des Adapters ein.
    • Authentifizierungstyp: Klicken Sie auf die Authentifizierungsmethode, die Sie verwenden möchten.
    • Keine
    • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung mit dem Adapter ein.
    • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
  5. Klicken Sie auf Weiter.

    Die Seite “Generic PKI-Entität: Adapterfunktionen” wird angezeigt.

  6. Prüfen Sie auf der Seite Generic PKI-Entität: Adapterfunktionen die Funktionen und Parameter des Adapters und klicken Sie dann auf Weiter.

    Die Seite Generic PKI-Entität: Ausstellen von ZS-Zertifikaten wird angezeigt.

  7. Wählen Sie auf der Seite “Generic PKI-Entität: Ausstellen von ZS-Zertifikaten” die Zertifikate aus, die Sie für die Entität verwenden möchten.

    Entitäten können zwar von verschiedenen Zertifizierungsstellen signierte Zertifikate zurückgeben, es müssen jedoch alle von einem bestimmten Zertifikatanbieter abgerufenen Zertifikate von derselben Zertifizierungsstelle signiert sein. Wählen Sie daher bei der Konfiguration der Einstellung Anmeldeinformationsanbieter auf der Seite Verteilung eines der hier konfigurierten Zertifikate aus.

  8. Klicken Sie auf Speichern.

    Die Entität wird in der Tabelle der PKI-Entitäten angezeigt.

Symantec Managed PKI

Die Unterstützung von Endpoint Management für GPKIs umfasst Symantec Managed PKI (“MPKI”). In diesem Abschnitt wird beschrieben, wie Sie Windows Server und Endpoint Management für Symantec Managed PKI einrichten.

Voraussetzungen

  • Zugriff auf die Symantec Managed PKI-Infrastruktur
  • Windows Server 2012 R2-Server mit folgenden (im vorliegenden Artikel beschriebenen) Komponenten:
    • Java
    • Apache Tomcat
    • Symantec PKI-Client
    • Portecle
  • Zugriff auf die Endpoint Management-Downloadseite

Installieren von Java unter Windows Server

Laden Sie Java von https://java.com/en/download/faq/java_win64bit.xml herunter und installieren Sie es. Klicken Sie in dem Dialogfeld mit der Sicherheitswarnung auf Ausführen.

Installieren von Apache Tomcat unter Windows Server

Laden Sie das 32- oder 64-Bit-Windows-Installationsprogramm für Apache Tomcat von https://tomcat.apache.org/download-80.cgi herunter und installieren Sie es. Klicken Sie in dem Dialogfeld mit der Sicherheitswarnung auf Ausführen. Führen Sie die Einrichtung von Apache Tomcat anhand der nachfolgenden Beispiele als Leitfaden aus.

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Ändern Sie dann in den Windows-Diensten den Starttyp von Manuell in Automatisch.

Abbildung des Konfigurationsbildschirms für Windows-Dienste

Abbildung des Konfigurationsbildschirms für Windows-Dienste

Installieren von Symantec PKI Client unter Windows Server

Laden Sie das Installationsprogramm aus der PKI Manager-Konsole hoch. Wenn Sie keinen Zugriff auf diese Konsole haben, laden Sie das Installationsprogramm von der Symantec-Supportseite How to download Symantec PKI Client? herunter. Entpacken Sie das Installationsprogramm und führen Sie es aus.

Abbildung der Symantec PKI Client-Installation

Abbildung der Symantec PKI Client-Installation

Klicken Sie in dem Dialogfeld mit der Sicherheitswarnung auf Ausführen. Folgen Sie den Anweisungen im Installationsprogramm, um die Einrichtung abzuschließen. Wenn das Installationsprogramm abgeschlossen ist, werden Sie zum aufgefordert, einen Neustart auszuführen.

Installieren von Portecle unter Windows Server

Laden Sie das Installationsprogramm von https://sourceforge.net/projects/portecleinstall/files/ herunter, enpacken Sie es und führen Sie es aus.

Generieren des Registrierungsstellenzertifikats für Symantec Managed PKI

Der Schlüsselspeicher für die Clientzertifikatauthentifizierung ist in einem Zertifikat der Registrierungsstelle (RA) mit dem Namen RA.jks enthalten. Nachfolgend wird beschrieben, wie Sie das Zertifikat mit Portecle erstellen. Sie können das RA-Zertifikat auch über die Befehlsschnittstelle (CLI) von Java generieren.

In diesem Artikel wird auch beschrieben, wie Sie das RA-Zertifikat und öffentliche Zertifikate hochladen.

  1. Navigieren Sie in Portecle zu Tools > Generate Key Pair, geben Sie die erforderlichen Informationen ein und generieren Sie das Schlüsselpaar.

    Abbildung des Portecle-Konfigurationsbildschirms

  2. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar und klicken Sie auf Generate Certification Request, um die Zertifizierungsanforderung zu erstellen.

    Abbildung des Portecle-Konfigurationsbildschirms

  3. Kopieren Sie die Zertifikatsignieranforderung.

  4. Erstellen Sie im Symantec PKI Manager ein RA-Zertifikat: Klicken Sie auf Settings und dann auf Get a RA Certificate. Fügen Sie die CSR ein und klicken Sie auf Continue.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  5. Klicken Sie auf Download, um das erstellte RA-Zertifikat herunterzuladen.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  6. Importieren Sie das RA-Zertifikat in Portecle: Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar und klicken Sie auf Import CA Reply.

    Abbildung des Portecle-Konfigurationsbildschirms

  7. Gehen Sie im Symantec PKI Manager zu Resources > Web Services und laden Sie die ZS-Zertifikate herunter.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  8. Importieren Sie die Zwischen- und Stammzertifikate der Registrierungsstelle in Portecle in den Schlüsselspeicher: Gehen Sie zu Tools > Import Trusted Certificates.

    Abbildung des Portecle-Konfigurationsbildschirms

  9. Speichern Sie nach dem ZS-Import den Schlüsselspeicher als RA.jks im Verzeichnis C:\Symantec des Windows-Servers.

    Abbildung des Portecle-Konfigurationsbildschirms

Konfigurieren von Symantec PKI Adapter unter Windows Server

  1. Melden Sie sich als Administrator bei Windows Server an.

  2. Laden Sie die zuvor erstellte Datei RA.jks hoch. Laden Sie zudem die öffentlichen Zertifikate (cacerts.jks) für den Symantec MPKI-Server hoch.

  3. Auf der Citrix XenMobile-Downloadseite erweitern Sie Tools und laden die Symantec PKI-Adapterdatei herunter. Der Dateiname ist Endpoint Management_Symantec_PKI_Adapter.zip. Entpacken Sie die Datei und kopieren Sie die Dateien in das Laufwerk C: des Windows Server-Computers:

    • custom_gpki_adapter.properties

    • Symantec.war

  4. Öffnen Sie custom_gpki_adapter.properties im Editor und bearbeiten Sie die folgenden Werte:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Kopieren Sie Symantec.war unter den Ordner <tomcat dir>\webapps und starten Sie Tomcat.

  6. Vergewissern Sie sich, dass die Anwendung bereitgestellt wurde: Öffnen Sie einen Webbrowser und navigieren Sie zu https://localhost/Symantec. (Wenn Sie einen Zertifikatfehler erhalten, erwägen Sie ein Verbindung mit http.)

  7. Navigieren Sie zum Ordner <tomcat dir>\webapps\Symantec\WEB-INF\classes und bearbeiten Sie gpki_adapter.properties. Ändern Sie die Eigenschaft CustomProperties so, dass sie auf die Datei custom_gpki_adapter unter dem Ordner C:\Symantec verweist:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Starten Sie Tomcat neu, navigieren Sie zu https://localhost/Symantec und kopieren Sie die Endpunktadresse. Im nächsten Abschnitt fügen Sie diese Adresse beim Konfigurieren des PKI-Adapters ein.

    Abbildung des Konfigurationsbildschirms für Symantec PKI

Konfigurieren von Endpoint Management für Symantec Managed PKI

Richten Sie Windows Server ein, bevor Sie die folgende Konfiguration für Endpoint Management durchführen.

Importieren der Symantec-ZS-Zertifikate und Konfigurieren der PKI-Entität

  1. Importieren Sie die Symantec-ZS-Zertifikate, welche das Endbenutzerzertifikat ausstellen: Klicken Sie in der Endpoint Management-Konsole unter Einstellungen > Zertifikate auf Importieren.

    Abbildung des Bildschirms zur Zertifikatkonfiguration

  2. Fügen Sie die PKI-Entität hinzu und konfigurieren Sie sie: Klicken Sie unter Einstellungen > PKI-Entitäten auf Hinzufügen und wählen Sie dann Generic PKI-Entität. Fügen Sie unter WSDL-URL die beim Konfigurieren des PKI-Adapters (siehe vorheriger Abschnitt) kopierte Endpunktadresse ein und hängen Sie ?wsdl an (siehe Abb. unten).

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  3. Klicken Sie auf Weiter. Endpoint Management füllt die Parameternamen aus der WSDL ein.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  4. Klicken Sie auf Weiter, wählen Sie das richtige ZS-Zertifikat und klicken Sie auf Speichern.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  5. Vergewissern Sie sich auf der Seite Einstellungen > PKI-Entitäten, dass die von Ihnen hinzugefügte PKI-Entität als Status die Option Gültig zeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

Erstellen eines Anmeldeinformationsanbieters für Symantec Managed PKI

  1. Kopieren Sie in der Symantec PKI Manager-Konsole die Zertifikatprofil-OID aus der Zertifikatvorlage.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  2. Klicken Sie in der Endpoint Management-Konsole unter Einstellungen > Anmeldeinformationsanbieter auf Hinzufügen und konfigurieren Sie die Einstellungen wie nachfolgend beschrieben.

    • Name: Geben Sie einen eindeutigen Namen für die neue Anbieterkonfiguration ein. Unter diesem Namen wird die Konfiguration anschließend in anderen Teilen der Endpoint Management-Konsole angezeigt.

    • Beschreibung: Geben Sie eine Beschreibung für den Anmeldeinformationsanbieter ein. Dies ist zwar ein optionales Feld, eine Beschreibung kann jedoch nützlich sein, wenn Sie künftig Details über den Anmeldeinformationsanbieter benötigen.

    • Ausstellende Entität: Wählen Sie die ausstellende Entität.

    • Ausstellungsmethode: Wählen Sie Zertifikat signieren als Methode für den Bezug von Zertifikaten von der konfigurierten Entität.

    • certParams: Fügen Sie den folgenden Wert hinzu: commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: Fügen Sie die in Schritt 1 kopierte Zertifikatprofil-ID ein.

    Abbildung des Bildschirms zur Konfiguration des Anmeldeinformationsanbieters

  3. Klicken Sie auf Weiter. Akzeptieren Sie auf den verbleibenden Seiten (bis “Verlängerung”) die Standardeinstellungen. Wenn Sie fertig sind, klicken Sie auf Speichern.

Testen der Konfiguration und Problembehandlung

  1. Erstellen Sie eine Anmeldeinformationsrichtlinie: Klicken Sie unter Konfigurieren > Geräterichtlinien auf Hinzufügen. Beginnen Sie mit der Eingabe von Anmeldeinformationen und klicken Sie dann auf Anmeldeinformationen.

  2. Geben Sie einen Richtliniennamen ein.

  3. Konfigurieren Sie die Plattformeinstellungen wie folgt:

    • Anmeldeinformationstyp: Wählen Sie Anmeldeinformationsanbieter.

    • Anmeldeinformationsanbieter: Wählen Sie den Symantec-Anbieter.

    Abbildung des Bildschirms zur Konfiguration des Anmeldeinformationsanbieters

  4. Wenn Sie mit der Plattformeinstellung fertig sind, weisen Sie die Richtlinie auf der Seite Zuweisung Bereitstellungsgruppen zu und klicken Sie auf Speichern.

  5. Um zu prüfen, ob die Richtlinie auf Geräten bereitgestellt wurde, wählen Sie auf der Seite Verwalten > Geräte ein Gerät, klicken Sie auf Bearbeiten und klicken Sie dann auf Zugewiesene Richtlinien. Das folgende Beispiel zeigt eine erfolgreiche Bereitstellung.

    Abbildung des Bildschirms zur Geräteverwaltung

    Wenn die Richtlinie nicht bereitgestellt wurde, melden Sie sich bei Windows Server an und überprüfen Sie, ob die WSDL ordnungsgemäß geladen wird.

    Abbildung des Windows Server-Bildschirms

Zur weiteren Problembehandlung prüfen Sie die Tomcat-Protokolle unter <tomcat dir>\logs\catalina.<current date>.

Microsoft Zertifikatdienste

Endpoint Management interagiert mit Microsoft Zertifikatdiensten über seine Schnittstelle zur Webregistrierung. Endpoint Management unterstützt nur die Ausstellung neuer Zertifikate über diese Schnittstelle (entspricht der sign-Funktion von GPKI). Wenn die Microsoft-ZS ein Citrix Gateway-Benutzerzertifikat erstellt, unterstützt Citrix Gateway Verlängerung und Sperrung für diese Zertifikate.

Zum Erstellen einer PKI-Entität für eine Microsoft-Zertifizierungsstelle in Endpoint Management müssen Sie die Basis-URL der Webschnittstelle für die Zertifikatdienste angeben. Bei entsprechender Auswahl verwenden Sie die SSL-Clientauthentifizierung zum Schützen der Verbindung zwischen Endpoint Management und der Webschnittstelle für die Zertifikatdienste.

Hinzufügen einer Microsoft-Zertifikatdiensteentität

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Microsoft Zertifikatdiensteentität.

    Die Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.

  4. Konfigurieren Sie auf der Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen folgende Einstellungen:

    • Name: Geben Sie einen Namen für die neue Entität ein. Der Name von Entitäten muss eindeutig sein.
    • Stamm-URL des Webregistrierungsdiensts: Geben Sie die Stamm-URL des Webregistrierungsdiensts für die Microsoft-Zertifizierungsstelle ein. Beispiel: https://192.0.2.13/certsrv/. Die URL darf HTTP oder HTTP über SSL verwenden.
    • certnew.cer page name: Name der certnew.cer-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
    • certfnsh.asp: Name der certfnsh.asp-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
    • Authentifizierungstyp: Wählen Sie die Authentifizierungsmethode, die Sie verwenden möchten.
      • Keine
      • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung ein.
      • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
  5. Klicken Sie auf Verbindung testen um sicherzustellen, dass der Server erreichbar ist. Andernfalls wird eine Meldung angezeigt, dass die Verbindung fehlgeschlagen ist. Überprüfen Sie die Konfigurationseinstellungen.

  6. Klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: Vorlagen wird angezeigt. Auf dieser Seite geben Sie die internen Namen der Vorlagen ein, die die Microsoft-Zertifizierungsstelle unterstützt. Beim Erstellen von Anmeldeinformationsanbietern wählen Sie eine Vorlage aus der hier definierten Liste aus. Jeder Anmeldeinformationsanbieter, der diese Entität verwendet, verwendet eine Vorlage.

    Informationen zu den Anforderungen für Microsoft Zertifikatdienste-Vorlagen finden Sie in der Microsoft-Dokumentation zu Ihrer Windows Server-Version. In Endpoint Management gelten außer den unter Zertifikate aufgeführten Regeln für Zertifikatformate keine weiteren Anforderungen für die von Endpoint Management verteilten Zertifikate.

  7. Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: Vorlagen auf Hinzufügen, geben Sie den Namen der Vorlage ein und klicken Sie auf Speichern. Wiederholen Sie diesen Schritt für jede Vorlage, die Sie hinzufügen möchten.

  8. Klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter wird angezeigt. Auf dieser Seite legen Sie benutzerdefinierte Parameter fest, die Endpoint Management in HTTP-Anforderungen an die Microsoft-Webregistrierungsschnittstelle einfügen soll. Benutzerdefinierte Parameter sind nur für angepasste Skripts nützlich, die auf der Zertifizierungsstelle ausgeführt werden.

  9. Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter auf Hinzufügen, geben Sie Namen und Wert der gewünschten HTTP-Parameter ein und klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate wird angezeigt. Auf dieser Seite müssen Sie die Signierer der Zertifikate angeben, die das System über diese Entität erhält. Wenn das ZS-Zertifikat erneuert wurde, aktualisieren Sie es in Endpoint Management. Endpoint Management wendet die Änderung transparent auf die Entität an.

  10. Wählen Sie auf der Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate die Zertifikate aus, die Sie für die Entität verwenden möchten.

  11. Klicken Sie auf Speichern.

    Die Entität wird in der Tabelle der PKI-Entitäten angezeigt.

Citrix Gateway-Zertifikatsperrliste

Endpoint Management unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in Endpoint Management zum Verwalten der Zertifikatsperre Citrix Gateway verwendet.

Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix Gateway-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren. Dadurch wird sichergestellt, dass Benutzer von Geräten im ausschließlichen MAM-Modus keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können.

Endpoint Management stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, nachdem eines gesperrt wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Eigenverwaltete Zertifizierungsstellen

Eine eigenverwaltete Zertifizierungsstelle wird erstellt, wenn Sie in Endpoint Management ein Zertifizierungsstellenzertifikat mit zugehörigem privatem Schlüssel angeben. Endpoint Management wickelt Zertifikatausstellung, Sperrungen und Statusinformationen intern gemäß den von Ihnen gewählten Parametern ab.

Beim Konfigurieren einer eigenverwalteten Zertifizierungsstelle können Sie OCSP-Unterstützung (Online Certificate Status Protocol) für diese ZS aktivieren. Wird die OCSP-Unterstützung aktiviert, fügt die Zertifizierungsstelle den von ihr ausgestellten Zertifikaten die Erweiterung id-pe-authorityInfoAccess hinzu. Die Erweiterung verweist auf die Endpoint Management-internen OCSP-Responder im folgenden Verzeichnis:

https://<server>/<instance>/ocsp

Wenn Sie den OCSP-Dienst konfigurieren, müssen Sie ein OCSP-Signaturzertifikat für die eigenverwaltete Entität angeben. Sie können das Zertifizierungsstellenzertifikat selbst als Signaturzertifikat verwenden. Um eine unnötige Offenlegung des privaten Schlüssels Ihrer Zertifizierungsstelle zu vermeiden (dies wird empfohlen), erstellen Sie ein von der eigenverwalteten Zertifizierungsstelle signiertes Delegate-OCSP-Signaturzertifikat und schließen Sie folgende Erweiterung ein: id-kp-OCSPSigning extendedKeyUsage.

Der OCSP-Responder-Dienst von Endpoint Management unterstützt einfache OCSP-Antworten und folgende Hashalgorithmen in Anforderungen:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Antworten werden mit SHA-256 und dem Signaturzertifikat-Schlüsselalgorithmus (DSA, RSA oder ECDSA) signiert.

Hinzufügen von eigenverwalteten Zertifizierungsstellen

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf Mehr > PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Eigenverwaltete ZS.

    Die Seite Eigenverwaltete ZS: Allgemeine Informationen wird angezeigt.

  4. Führen Sie auf der Seite Eigenverwaltete ZS: Allgemeine Informationen folgende Schritte aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die eigenverwaltete ZS ein.
    • ZS-Zertifikate zum Signieren von Zertifikatanforderungen: Klicken Sie auf das Zertifikat, das von der eigenverwalteten ZS zum Signieren von Zertifikatanforderungen verwendet werden soll.

      Die Liste der Zertifikate wird aus den von Ihnen über Konfigurieren > Einstellungen > Zertifikate hochgeladenen Zertifizierungsstellenzertifikaten mit privatem Schlüssel generiert.

  5. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Parameter wird angezeigt.

  6. Führen Sie auf der Seite Eigenverwaltete ZS: Parameter folgende Schritte aus:

    • Seriennummergenerator: Die eigenverwaltete ZS generiert Seriennummern für die von ihr herausgegebenen Zertifikate Klicken Sie in dieser Liste auf Sequenziell oder Nichtsequenziell, um zu bestimmen, wie die Nummern generiert werden sollen.
    • Nächste Seriennummer: Geben Sie einen Wert für die nächste Seriennummer ein.
    • Zertifikat gültig für: Geben Sie die Anzahl der Tage ein, für die das Zertifikat gültig sein soll.
    • Schlüsselverwendung: Legen Sie den Zweck der von der eigenverwalteten ZS herausgegebenen Zertifikate fest, indem Sie die entsprechenden Schlüssel auf Ein setzen. Im Anschluss an diese Einstellung ist die Zertifizierungsstelle auf die Ausstellung von Zertifikaten für diese Zwecke beschränkt.
    • Erweiterte Schlüsselverwendung: Zum Hinzufügen weiterer Parameter klicken Sie auf Hinzufügen, geben Sie den Schlüsselnamen ein und klicken Sie auf Speichern.
  7. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Verteilung wird angezeigt.

  8. Wählen Sie auf der Seite Eigenverwaltete ZS: Verteilung einen Verteilungsmodus aus:

    • Zentralisiert: Schlüssel serverseitig generieren: Citrix empfiehlt diese zentrale Verteilung. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und auf die Benutzergeräte verteilt.
    • Verteilt: Schlüssel geräteseitig generieren: Die privaten Schlüssel werden auf den Benutzergeräten generiert. Beim verteilten Modus wird SCEP verwendet und es ist ein RA-Verschlüsselungszertifikat mit der Erweiterung keyUsage keyEncryption sowie ein RA-Signaturzertifikat mit der Erweiterung keyUsage digitalSignature erforderlich. Das gleiche Zertifikat kann für Verschlüsselung und Signieren verwendet werden.
  9. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) wird angezeigt.

    Führen Sie auf der Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) folgende Schritte aus:

    • Wenn Sie den von dieser Zertifizierungsstelle signierten Zertifikaten die Erweiterung AuthorityInfoAccess (RFC2459) hinzufügen möchten, legen Sie OCSP-Unterstützung für diese ZS aktivieren auf Ein fest. Diese Erweiterung verweist auf den OCSP-Responder der Zertifizierungsstelle unter https://<server>/<instance>/ocsp.
    • Wenn Sie OCSP-Unterstützung aktiviert haben, wählen Sie ein OSCP-Zertifizierungsstellenzertifikat aus. Die Liste der Zertifikate wird aus den von Ihnen in Endpoint Management hochgeladenen Zertifizierungsstellenzertifikaten generiert.
  10. Klicken Sie auf Speichern.

    Die eigenverwaltete ZS wird in der Tabelle der PKI-Entitäten angezeigt.