PKI-Entitäten

Eine Endpoint Management-PKI-Entität ist eine Komponente, die PKI-Vorgänge (Ausstellung, Sperrung und Statusinformationen) durchführt. Dies sind interne oder externe Komponenten von Endpoint Management. Interne Komponenten werden als eigenverwaltet bezeichnet. Externe Komponenten sind Teil Ihrer Unternehmensinfrastruktur.

Endpoint Management unterstützt folgende Arten von PKI-Entitäten:

  • Generic PKIs (GPKIs)

Die Unterstützung von Endpoint Management für GPKIs umfasst Symantec Managed PKI.

  • Microsoft Zertifikatdienste
  • Eigenverwaltete CAs

Endpoint Management unterstützt die folgenden Zertifizierungsstellenserver:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Allgemeine PKIs – Konzepte

Unabhängig von ihrem Typ umfasst jede PKI-Entität folgende Funktionen:

  • Sign: Ausstellung eines neuen Zertifikats nach Zertifikatsignieranforderung (CSR)
  • Fetch: Abruf eines vorhandenen Zertifikat-/Schlüsselpaars
  • Revoke: Sperre eines Clientzertifikats

Informationen über Zertifizierungsstellenzertifikate

Beim Konfigurieren einer PKI-Entität müssen Sie in Endpoint Management angeben, welches ZS-Zertifikat die von dieser Entität ausgestellten bzw. wiederhergestellten Zertifikate signiert. Diese PKI-Entität kann abgerufene oder neu signierte Zertifikate, die von einer beliebigen Zahl verschiedener Zertifizierungsstellen signiert wurden, zurückgeben.

Stellen Sie das Zertifikat jeder dieser Zertifizierungsstellen als Teil der PKI-Entitätskonfiguration bereit. Hierfür laden Sie die Zertifikate in Endpoint Management hoch und referenzieren sie dann in der PKI-Entität. Bei eigenverwalteten Zertifizierungsstellen gehört das Zertifikat implizit zur signierenden Zertifizierungsstelle. Bei externen Entitäten müssen Sie das Zertifikat manuell definieren.

Wichtig:

Zur Vermeidung von Problemen bei der Authentifizierung registrierter Geräte verwenden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage keine Sonderzeichen im Vorlagennamen. Beispiele für Sonderzeichen: ! : $ ( ) # % + * ~ ? | { } [ ]

Generic PKI

Das Protokoll Generic PKI (GPKI) ist ein Endpoint Management-eigenes Protokoll, das über eine SOAP-Webdienstschicht zur Vereinheitlichung der Schnittstelle mit verschiedenen PKI-Lösungen ausgeführt wird. GPKI definiert folgende grundlegenden PKI-Vorgänge:

  • Sign: Der Adapter kann Zertifikatsignieranforderungen (CSR) entgegennehmen, an die PKI übertragen und neu signierte Zertifikate zurückgeben.
  • Fetch: Der Adapter kann vorhandene Zertifikate und Schlüsselpaare (je nach Eingabeparametern) von der PKI abrufen bzw. wiederherstellen.
  • Revoke: Die Adapter kann eine Sperre von Zertifikaten durch die PKI auslösen.

Empfänger der GPKI-Befehle ist der GPKI-Adapter. Der Adapter übersetzt die grundlegenden Vorgänge für den spezifischen PKI-Typ, für den er erstellt wurde. So gibt es beispielsweise GPKI-Grafikadapter für RSA und Entrust.

Der GPKI-Adapter veröffentlicht als SOAP-Webdienst-Endpunkt eine selbstbeschreibende WSDL-Definition (Web Services Description Language). Das Erstellen einer GPKI-PKI-Entität geschieht durch Bereitstellen dieser WSDL-Definition für Endpoint Management über eine URL oder durch Hochladen der Datei selbst.

Unterstützung für die einzelnen PKI-Vorgänge ist bei einem Adapter optional. Wenn ein Adapter einen bestimmten Vorgang unterstützt, hat der Adapter die entsprechende Funktion (sign, fetch oder revoke). Jeder Funktion können diverse Benutzerparameter zugeordnet werden.

Benutzerparameter sind Paramenter, die der GPKI-Adapter für einen bestimmten Vorgang definiert und für die Sie Endpoint Management die Werte angeben müssen. Endpoint Management ermittelt durch Analyse der WSDL, welche Vorgänge ein Adapter bietet und welche Parameter er für diese Vorgänge jeweils benötigt. Bei entsprechender Auswahl verwenden Sie die SSL-Clientauthentifizierung zum Schützen der Verbindung zwischen Endpoint Management und dem GPKI-Adapter.

Hinzufügen einer GPKI

  1. Klicken Sie in der Endpoint Management-Konsole auf Einstellungen > PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  3. Klicken Sie auf Generic PKI-Entität.

    Die Seite “Generic PKI-Entität: Allgemeine Informationen” wird angezeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  4. Führen Sie auf der Seite Generic PKI-Entität: Allgemeine Informationen folgende Schritte aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die PKI-Entität ein.
    • WSDL URL: Geben Sie den Speicherort der WSDL mit der Beschreibung des Adapters ein.
    • Authentifizierungstyp: Klicken Sie auf die Authentifizierungsmethode, die Sie verwenden möchten.
      • Ohne
      • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung mit dem Adapter ein.
      • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
  5. Klicken Sie auf Weiter.

    Die Seite “Generic PKI-Entität: Adapterfunktionen” wird angezeigt.

  6. Prüfen Sie auf der Seite Generic PKI-Entität: Adapterfunktionen die Funktionen und Parameter des Adapters und klicken Sie dann auf Weiter.

    Die Seite Generic PKI-Entität: Ausstellen von ZS-Zertifikaten wird angezeigt.

  7. Wählen Sie auf der Seite “Generic PKI-Entität: Ausstellen von ZS-Zertifikaten” die Zertifikate aus, die Sie für die Entität verwenden möchten.

    Entitäten können zwar von verschiedenen Zertifizierungsstellen signierte Zertifikate zurückgeben, es müssen jedoch alle von einem bestimmten Zertifikatanbieter abgerufenen Zertifikate von derselben Zertifizierungsstelle signiert sein. Wählen Sie daher bei der Konfiguration der Einstellung Anmeldeinformationsanbieter auf der Seite Verteilung eines der hier konfigurierten Zertifikate aus.

  8. Klicken Sie auf Speichern.

    Die Entität wird in der Tabelle der PKI-Entitäten angezeigt.

Symantec Managed PKI

Die Unterstützung von Endpoint Management für GPKIs umfasst Symantec Managed PKI (“MPKI”). In diesem Abschnitt wird beschrieben, wie Sie Windows Server und Endpoint Management für Symantec Managed PKI einrichten.

Voraussetzungen

  • Zugriff auf die Symantec Managed PKI-Infrastruktur
  • Windows Server 2012 R2-Server mit folgenden (im vorliegenden Artikel beschriebenen) Komponenten:
    • Java
    • Apache Tomcat
    • Symantec PKI-Client
    • Portecle
  • Zugriff auf die Endpoint Management-Downloadseite

Installieren von Java unter Windows Server

Laden Sie Java von https://java.com/en/download/faq/java_win64bit.xml herunter und installieren Sie es. Klicken Sie im Dialogfeld mit der Sicherheitswarnung auf Ausführen.

Installieren von Apache Tomcat unter Windows Server

Laden Sie das 32- oder 64-Bit-Windows-Installationsprogramm für Apache Tomcat von https://tomcat.apache.org/download-80.cgi herunter und installieren Sie es. Klicken Sie im Dialogfeld mit der Sicherheitswarnung auf Ausführen. Führen Sie die Einrichtung von Apache Tomcat anhand der nachfolgenden Beispiele als Leitfaden aus.

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Abbildung des Einrichtungsbildschirms für Apache Tomcat

Ändern Sie dann in den Windows-Diensten den Starttyp von Manuell in Automatisch.

Abbildung des Konfigurationsbildschirms für Windows-Dienste

Abbildung des Konfigurationsbildschirms für Windows-Dienste

Installieren des Symantec PKI-Client unter Windows Server

Laden Sie das Installationsprogramm aus der PKI Manager-Konsole hoch. Wenn Sie keinen Zugriff auf diese Konsole haben, laden Sie das Installationsprogramm von der Symantec-Supportseite How to download Symantec PKI Client herunter. Entpacken Sie das Installationsprogramm und führen Sie es aus.

Abbildung der Symantec PKI Client-Installation

Abbildung der Symantec PKI Client-Installation

Klicken Sie im Dialogfeld mit der Sicherheitswarnung auf Ausführen. Folgen Sie den Anweisungen im Installationsprogramm, um die Einrichtung abzuschließen. Wenn das Installationsprogramm abgeschlossen ist, werden Sie zum aufgefordert, einen Neustart auszuführen.

Installieren von Portecle unter Windows Server

Laden Sie das Installationsprogramm von https://sourceforge.net/projects/portecleinstall/files/ herunter, entpacken Sie es und führen Sie es aus.

Generieren des Registrierungsstellenzertifikats für Symantec Managed PKI

Der Schlüsselspeicher für die Clientzertifikatauthentifizierung ist in einem Zertifikat der Registrierungsstelle (RA) mit dem Namen RA.jks enthalten. Nachfolgend wird beschrieben, wie Sie das Zertifikat mit Portecle erstellen. Sie können das RA-Zertifikat auch über die Befehlsschnittstelle (CLI) von Java generieren.

In diesem Artikel wird auch beschrieben, wie Sie das RA-Zertifikat und öffentliche Zertifikate hochladen.

  1. Navigieren Sie in Portecle zu Tools > Generate Key Pair, geben Sie die erforderlichen Informationen ein und generieren Sie das Schlüsselpaar.

    Abbildung des Portecle-Konfigurationsbildschirms

  2. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar und klicken Sie auf Generate Certification Request, um die Zertifizierungsanforderung zu erstellen.

    Abbildung des Portecle-Konfigurationsbildschirms

  3. Kopieren Sie die Zertifikatsignieranforderung.

  4. Erstellen Sie im Symantec PKI Manager ein RA-Zertifikat: Klicken Sie auf Settings und dann auf Get a RA Certificate. Fügen Sie die CSR ein und klicken Sie auf Continue.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  5. Klicken Sie auf Download, um das erstellte RA-Zertifikat herunterzuladen.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  6. Importieren Sie das RA-Zertifikat in Portecle: Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar und klicken Sie auf Import CA Reply.

    Abbildung des Portecle-Konfigurationsbildschirms

  7. Gehen Sie im Symantec PKI Manager zu Resources > Web Services und laden Sie die ZS-Zertifikate herunter.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  8. Importieren Sie die Zwischen- und Stammzertifikate der Registrierungsstelle in Portecle in den Schlüsselspeicher: Gehen Sie zu Tools > Import Trusted Certificates.

    Abbildung des Portecle-Konfigurationsbildschirms

  9. Speichern Sie nach dem ZS-Import den Schlüsselspeicher als RA.jks im Verzeichnis C:\Symantec des Windows-Servers.

    Abbildung des Portecle-Konfigurationsbildschirms

Konfigurieren des Symantec PKI-Adapters unter Windows Server

  1. Melden Sie sich als Administrator bei Windows Server an.

  2. Laden Sie die zuvor erstellte Datei RA.jks hoch. Laden Sie zudem die öffentlichen Zertifikate (cacerts.jks) für den Symantec MPKI-Server hoch.

  3. Auf der Citrix XenMobile-Downloadseite erweitern Sie Tools und laden die Symantec PKI-Adapterdatei herunter. Der Dateiname ist Endpoint Management_Symantec_PKI_Adapter.zip. Entpacken Sie die Datei und kopieren Sie die Dateien in das Laufwerk C: des Windows Server-Computers:

    • custom_gpki_adapter.properties

    • Symantec.war

  4. Öffnen Sie custom_gpki_adapter.properties im Editor und bearbeiten Sie die folgenden Werte:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Kopieren Sie Symantec.war unter den Ordner <tomcat dir>\webapps und starten Sie Tomcat.

  6. Vergewissern Sie sich, dass die Anwendung bereitgestellt wurde: Öffnen Sie einen Webbrowser und navigieren Sie zu https://localhost/Symantec. (Wenn Sie einen Zertifikatfehler erhalten, erwägen Sie einen Verbindungsaufbau über HTTP.)

  7. Navigieren Sie zum Ordner <tomcat dir>\webapps\Symantec\WEB-INF\classes und bearbeiten Sie gpki_adapter.properties. Ändern Sie die Eigenschaft CustomProperties so, dass sie auf die Datei custom_gpki_adapter unter dem Ordner C:\Symantec verweist:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Starten Sie Tomcat neu, navigieren Sie zu https://localhost/Symantec und kopieren Sie die Endpunktadresse. Im nächsten Abschnitt fügen Sie diese Adresse beim Konfigurieren des PKI-Adapters ein.

    Abbildung des Konfigurationsbildschirms für Symantec PKI

Konfigurieren von Endpoint Management für Symantec Managed PKI

Richten Sie Windows Server ein, bevor Sie die folgende Konfiguration für Endpoint Management durchführen.

Importieren der Symantec-ZS-Zertifikate und Konfigurieren der PKI-Entität

  1. Importieren Sie die Symantec-ZS-Zertifikate, welche das Endbenutzerzertifikat ausstellen: Klicken Sie in der Endpoint Management-Konsole unter Einstellungen > Zertifikate auf Importieren.

    Abbildung des Bildschirms zur Zertifikatkonfiguration

  2. Fügen Sie die PKI-Entität hinzu und konfigurieren Sie sie: Klicken Sie unter Einstellungen > PKI-Entitäten auf Hinzufügen und wählen Sie dann Generic PKI-Entität. Fügen Sie unter WSDL-URL die beim Konfigurieren des PKI-Adapters (siehe vorheriger Abschnitt) kopierte Endpunktadresse ein und hängen Sie ?wsdl an (siehe folgende Abbildung).

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  3. Klicken Sie auf Weiter. Endpoint Management füllt die Parameternamen aus der WSDL ein.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  4. Klicken Sie auf Weiter, wählen Sie das richtige ZS-Zertifikat und klicken Sie auf Speichern.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

  5. Vergewissern Sie sich auf der Seite Einstellungen > PKI-Entitäten, dass die von Ihnen hinzugefügte PKI-Entität als Status die Option Gültig zeigt.

    Abbildung des Konfigurationsbildschirms für PKI-Entitäten

Erstellen eines Anmeldeinformationsanbieters für Symantec Managed PKI

  1. Kopieren Sie in der Symantec PKI Manager-Konsole die Zertifikatprofil-OID aus der Zertifikatvorlage.

    Abbildung des Konfigurationsbildschirms für Symantec PKI Manager

  2. Klicken Sie in der Endpoint Management-Konsole unter Einstellungen > Anmeldeinformationsanbieter auf Hinzufügen und konfigurieren Sie die Einstellungen wie nachfolgend beschrieben.

    • Name: Geben Sie einen eindeutigen Namen für die neue Anbieterkonfiguration ein. Unter diesem Namen wird die Konfiguration anschließend in anderen Teilen der Endpoint Management-Konsole angezeigt.

    • Beschreibung: Geben Sie eine Beschreibung für den Anmeldeinformationsanbieter ein. Dies ist zwar ein optionales Feld, eine Beschreibung kann jedoch nützlich sein, wenn Sie künftig Details über den Anmeldeinformationsanbieter benötigen.

    • Ausstellende Entität: Wählen Sie die ausstellende Entität.

    • Ausstellungsmethode: Wählen Sie Zertifikat signieren als Methode für den Bezug von Zertifikaten von der konfigurierten Entität.

    • certParams: Fügen Sie den folgenden Wert hinzu: commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: Fügen Sie die in Schritt 1 kopierte Zertifikatprofil-ID ein.

    Abbildung des Bildschirms zur Konfiguration des Anmeldeinformationsanbieters

  3. Klicken Sie auf Weiter. Akzeptieren Sie auf den verbleibenden Seiten (bis “Verlängerung”) die Standardeinstellungen. Wenn Sie fertig sind, klicken Sie auf Speichern.

Testen der Konfiguration und Problembehandlung

  1. Erstellen Sie eine Anmeldeinformationsrichtlinie: Klicken Sie unter Konfigurieren > Geräterichtlinien auf Hinzufügen. Beginnen Sie mit der Eingabe von Anmeldeinformationen und klicken Sie dann auf Anmeldeinformationen.

  2. Geben Sie einen Richtliniennamen ein.

  3. Konfigurieren Sie die Plattformeinstellungen wie folgt:

    • Anmeldeinformationstyp: Wählen Sie Anmeldeinformationsanbieter.

    • Anmeldeinformationsanbieter: Wählen Sie den Symantec-Anbieter.

    Abbildung des Bildschirms zur Konfiguration des Anmeldeinformationsanbieters

  4. Wenn Sie mit der Plattformeinstellung fertig sind, weisen Sie die Richtlinie auf der Seite Zuweisung Bereitstellungsgruppen zu und klicken Sie auf Speichern.

  5. Um zu prüfen, ob die Richtlinie auf Geräten bereitgestellt wurde, wählen Sie auf der Seite Verwalten > Geräte ein Gerät, klicken Sie auf Bearbeiten und klicken Sie dann auf Zugewiesene Richtlinien. Das folgende Beispiel zeigt eine erfolgreiche Bereitstellung.

    Abbildung des Bildschirms zur Geräteverwaltung

    Wenn die Richtlinie nicht bereitgestellt wurde, melden Sie sich bei Windows Server an und überprüfen Sie, ob die WSDL ordnungsgemäß geladen wird.

    Abbildung des Windows Server-Bildschirms

Zur weiteren Problembehandlung prüfen Sie die Tomcat-Protokolle unter <tomcat dir>\logs\catalina.<current date>.

Entrust PKI-Adapter

Anstelle der Symantec Managed PKI können Sie auch den Entrust PKI-Adapter installieren. Lesen Sie vor der Installation des Adapters die Schritte zum Installieren von Java und Apache Tomcat unter Windows Server im Abschnitt Symantec Managed PKI dieses Artikels.

Stellen Sie sicher, dass der Citrix Cloud Connector ebenfalls installiert ist. Weitere Informationen zum Cloud Connector finden Sie unter Citrix Cloud Connector.

Installieren des Entrust PKI-Adapters

  1. Der Entrust PKI-Adapter steht auf der Website https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-90-enterprise-edition.html im Abschnitt Adapters zum Download bereit.
  2. Extrahieren Sie die Datei entrust.war aus der heruntergeladenen ZIP-Datei und speichern Sie sie im Verzeichnis C:\Programme(x86)\Apache Software Foundation\Tomcat 8.5\webapps.
  3. Bearbeiten Sie unter C:\Programme (x86)\Apache Software Foundation\Tomcat 8.5\webapps\Entrust\WEB-INF\classes die Datei entrust_adapter.properties und definieren Sie CustomProperties als c:\\zenprise\\custom_entrust_adapter.properties. Abbildung des Bildschirms zur Geräteverwaltung
  4. Erstellen Sie auf dem Laufwerk C: ein Zenprise-Verzeichnis und eine neue Datei namens custom_entrust_adapter.properties.
  5. Bearbeiten Sie die Datei mit dem folgenden Inhalt. Achten Sie darauf, Entrust.MdmSvc.URL, AdminUserID und AdminPassword entsprechend zu ersetzen. ~ # geben Sie hier die richtige URL ein für AS/IG Entrust.MdmSvc.Url=https://pki.yourcorp.com:19443/mdmws/services/AdminServiceV8

    # set to 1 or true to force user creation from passed user and group parameters if using IG and user does not exist
    CreateUser =
    
    # set the credentials for the endpoint
    AdminUserId=`[User ID]`
    AdminPassword=`[password]`
    
    
    # keystore for client-cert auth
    #keyStore=
    #keyStorePassword=
    #keyStoreType: JKS, JCEKS and PKCS12  -- not needed for .p12 and .jks files
    
    # truststore for server with self-signed root CA
    #trustStore=
    #trustStorePassword=
    #trustStoreType: JKS, JCEKS and PKCS12  -- not needed for .p12 and .jks files
    ~
    
  6. Starten Sie den Tomcat-Dienst neu. Navigieren Sie zu C:\Programme (x86)\Apache Software Foundation\Tomcat 8.5\logs und öffnen Sie Catalina_201x-MM-DD.log. Vergewissern Sie sich, dass keine Fehler vorliegen und dass die folgende Zeile angezeigt wird: 13-Nov-2018 09:02:35.319 INFO [localhost-startStop-1] org.apache.cxf.endpoint.ServerImpl.initDestination Setting the server's publish address to be /EntrustGpkiAdapter
  7. Navigieren Sie zu http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl oder zur öffentlichen URL Ihres Servers, und überprüfen Sie, ob die richtige XML-Datei angezeigt wird. Abbildung des Bildschirms zur Geräteverwaltung

Konfigurieren von Endpoint Management für den Entrust PKI-Adapter

  1. Melden Sie sich an der Endpoint Management-Konsole an und navigieren Sie zu Einstellungen > PKI-Entitäten. Klicken Sie auf Hinzufügen > Generic PKI-Entität.
  2. Geben Sie die folgenden Informationen ein:
    • Name: Geben Sie einen Namen für die PKI-Entität ein.
    • WSDL-URL: Wenn Sie Citrix Cloud Connector verwenden, geben Sie ein: http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl. Wenn Sie Citrix Cloud Connector nicht verwenden, geben Sie die öffentliche URL Ihres Servers ein.
    • Authentifizierungstyp: Wählen Sie die Authentifizierungsmethode, die Sie verwenden möchten.
      • Ohne
      • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung ein.
      • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
    • Cloud Connector verwenden: Wählen Sie Ein oder Aus, je nachdem, ob Sie den Citrix Cloud Connector verwenden oder nicht.
    • Ressourcenstandort: Wählen Sie Eigener Ressourcenstandort.
    • Zulässige relative Pfade: Geben Sie ein: /Entrust/*.
  3. Nach dem Konfigurieren der PKI-Entität kehren Sie zur Seite Einstellungen zurück und fügen einen Anmeldeinformationsanbieter hinzu.
  4. Wählen Sie auf der Registerkarte Allgemein Ihre Entrust-Entität als Ausstellende Entität und SIGNIEREN als Ausstellungsmethode aus.
  5. Konfigurieren Sie auf der Registerkarte Zertifikatsignieranforderung folgende Einstellungen:
    • Schlüsselalgorithmus: RSA
    • Schlüsselgröße: 2048
    • Signaturalgorithmus: SHA1withRSA
    • Antragstellername: cd=$user.username
    • Alternative Antragstellernamen: Optional. Wir empfehlen Folgendes:
      • Typ: Benutzerprinzipalname
      • Wert: $user.userprincipalname

        Hinweis: Wenn Sie eine Einstellung auf dem Adapter ändern, passen Sie die Konfiguration des Anmeldeinformationsanbieters mit der folgenden Schrittfolge an.

  6. Nach der Konfiguration des Anmeldeinformationsanbieters navigieren Sie zu Konfigurieren > Geräterichtlinien und fügen eine Anmeldeinformationsrichtlinie hinzu.
  7. Konfigurieren Sie die Richtlinie für die Betriebssysteme, die Sie verwenden möchten. Wählen Sie auf den Konfigurationsseiten der einzelnen Betriebssysteme unter Anmeldeinformationstyp die Option Anmeldeinformationsanbieter. Wählen Sie im Menü für Anmeldeinformationen den zuvor konfigurierten Anmeldeinformationsanbieter.

Microsoft Zertifikatdienste

Endpoint Management interagiert mit Microsoft Zertifikatdiensten über seine Schnittstelle zur Webregistrierung. Endpoint Management unterstützt nur die Ausstellung neuer Zertifikate über diese Schnittstelle (entspricht der sign-Funktion von GPKI). Wenn die Microsoft-ZS ein Citrix Gateway-Benutzerzertifikat erstellt, unterstützt Citrix Gateway Verlängerung und Sperrung für diese Zertifikate.

Zum Erstellen einer PKI-Entität für eine Microsoft-Zertifizierungsstelle in Endpoint Management müssen Sie die Basis-URL der Webschnittstelle für die Zertifikatdienste angeben. Bei entsprechender Auswahl verwenden Sie die SSL-Clientauthentifizierung zum Schützen der Verbindung zwischen Endpoint Management und der Webschnittstelle für die Zertifikatdienste.

Hinzufügen einer Microsoft-Zertifikatdiensteentität

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Microsoft Zertifikatdiensteentität.

    Die Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.

  4. Konfigurieren Sie auf der Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen folgende Einstellungen:

    • Name: Geben Sie einen Namen für die neue Entität ein. Der Name von Entitäten muss eindeutig sein.
    • Stamm-URL des Webregistrierungsdiensts: Geben Sie die Stamm-URL des Webregistrierungsdiensts für die Microsoft-Zertifizierungsstelle ein. Beispiel: https://192.0.2.13/certsrv/. Die URL darf HTTP oder HTTP über SSL verwenden.
    • certnew.cer page name: Name der certnew.cer-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
    • certfnsh.asp: Name der certfnsh.asp-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
    • Authentifizierungstyp: Wählen Sie die Authentifizierungsmethode, die Sie verwenden möchten.
      • Ohne
      • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung ein.
      • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
    • Cloud Connector verwenden: Wählen Sie Ein, um Cloud Connector für Verbindungen mit dem PKI-Server zu verwenden. Geben Sie dann einen Ressourcenstandort und Zulässige relative Pfade für die Verbindung an.

      • Ressourcenstandort: Treffen Sie Ihre Auswahl unter den unter Citrix Cloud Connector definierten Ressourcenstandorten.
      • Zulässige relative Pfade: die relativen Pfade, die für den angegebenen Ressourcenstandort zulässig sind. Geben Sie einen Pfad pro Zeile an. Sie können das Sternchen (*) als Platzhalter verwenden.

        Angenommen, der Ressourcenstandort ist https://www.ServiceRoot/certsrv. Um Zugriff auf alle URLs in diesem Pfad zu gewähren, geben Sie \* in Zulässige relative Pfade ein.

    Bild des PKI-Konfigurationsbildschirms

  5. Klicken Sie auf Verbindung testen um sicherzustellen, dass der Server erreichbar ist. Andernfalls wird eine Meldung angezeigt, dass die Verbindung fehlgeschlagen ist. Überprüfen Sie die Konfigurationseinstellungen.

  6. Klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: Vorlagen wird angezeigt. Auf dieser Seite geben Sie die internen Namen der Vorlagen ein, die die Microsoft-Zertifizierungsstelle unterstützt. Beim Erstellen von Anmeldeinformationsanbietern wählen Sie eine Vorlage aus der hier definierten Liste aus. Jeder Anmeldeinformationsanbieter, der diese Entität verwendet, verwendet eine Vorlage.

    Informationen zu den Anforderungen für Microsoft Zertifikatdienste-Vorlagen finden Sie in der Microsoft-Dokumentation zu Ihrer Windows Server-Version. In Endpoint Management gelten außer den unter Zertifikate aufgeführten Regeln für Zertifikatformate keine weiteren Anforderungen für die von Endpoint Management verteilten Zertifikate.

  7. Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: Vorlagen auf Hinzufügen, geben Sie den Namen der Vorlage ein und klicken Sie auf Speichern. Wiederholen Sie diesen Schritt für jede Vorlage, die Sie hinzufügen möchten.

  8. Klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter wird angezeigt. Auf dieser Seite legen Sie benutzerdefinierte Parameter fest, die Endpoint Management in HTTP-Anforderungen an die Microsoft-Webregistrierungsschnittstelle einfügen soll. Benutzerdefinierte Parameter sind nur für angepasste Skripts nützlich, die auf der Zertifizierungsstelle ausgeführt werden.

  9. Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter auf Hinzufügen, geben Sie Namen und Wert der gewünschten HTTP-Parameter ein und klicken Sie auf Weiter.

    Die Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate wird angezeigt. Auf dieser Seite müssen Sie für Endpoint Management die Signierer der Zertifikate angeben, die das System über diese Entität erhält. Wenn das ZS-Zertifikat erneuert wurde, aktualisieren Sie es in Endpoint Management. Endpoint Management wendet die Änderung transparent auf die Entität an.

  10. Wählen Sie auf der Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate die Zertifikate aus, die Sie für die Entität verwenden möchten.

  11. Klicken Sie auf Speichern.

    Die Entität wird in der Tabelle der PKI-Entitäten angezeigt.

Citrix Gateway-Zertifikatsperrliste

Endpoint Management unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in Endpoint Management zum Verwalten der Zertifikatsperre Citrix Gateway verwendet.

Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix Gateway-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren. Dadurch wird sichergestellt, dass Benutzer von Geräten im ausschließlichen MAM-Modus keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können.

Endpoint Management stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, nachdem eines gesperrt wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Eigenverwaltete Zertifizierungsstellen

Eine eigenverwaltete Zertifizierungsstelle wird erstellt, wenn Sie in Endpoint Management ein Zertifizierungsstellenzertifikat mit zugehörigem privatem Schlüssel angeben. Endpoint Management wickelt Zertifikatausstellung, Sperrungen und Statusinformationen intern gemäß den von Ihnen gewählten Parametern ab.

Beim Konfigurieren einer eigenverwalteten Zertifizierungsstelle können Sie OCSP-Unterstützung (Online Certificate Status Protocol) für diese ZS aktivieren. Nur wenn die OCSP-Unterstützung aktiviert wird, fügt die Zertifizierungsstelle den von ihr ausgestellten Zertifikaten die Erweiterung id-pe-authorityInfoAccess hinzu. Die Erweiterung verweist auf die Endpoint Management-internen OCSP-Responder im folgenden Verzeichnis:

https://<server>/<instance>/ocsp

Wenn Sie den OCSP-Dienst konfigurieren, müssen Sie ein OCSP-Signaturzertifikat für die eigenverwaltete Entität angeben. Sie können das Zertifizierungsstellenzertifikat selbst als Signaturzertifikat verwenden. Um eine unnötige Offenlegung des privaten Schlüssels Ihrer Zertifizierungsstelle zu vermeiden (dies wird empfohlen), erstellen Sie ein von der eigenverwalteten Zertifizierungsstelle signiertes Delegate-OCSP-Signaturzertifikat und schließen Sie folgende Erweiterung ein: id-kp-OCSPSigning extendedKeyUsage.

Der OCSP-Responder-Dienst von Endpoint Management unterstützt einfache OCSP-Antworten und folgende Hashalgorithmen in Anforderungen:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Antworten werden mit SHA-256 und dem Signaturzertifikat-Schlüsselalgorithmus (DSA, RSA oder ECDSA) signiert.

Hinzufügen von eigenverwalteten Zertifizierungsstellen

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf Mehr > PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü der PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Eigenverwaltete ZS.

    Die Seite Eigenverwaltete ZS: Allgemeine Informationen wird angezeigt.

  4. Führen Sie auf der Seite Eigenverwaltete ZS: Allgemeine Informationen folgende Schritte aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die eigenverwaltete ZS ein.
    • ZS-Zertifikate zum Signieren von Zertifikatanforderungen: Klicken Sie auf das Zertifikat, das von der eigenverwalteten ZS zum Signieren von Zertifikatanforderungen verwendet werden soll.

      Die Liste der Zertifikate wird aus den von Ihnen über Konfigurieren > Einstellungen > Zertifikate in Endpoint Management hochgeladenen Zertifizierungsstellenzertifikaten mit privatem Schlüssel generiert.

  5. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Parameter wird angezeigt.

  6. Führen Sie auf der Seite Eigenverwaltete ZS: Parameter folgende Schritte aus:

    • Seriennummergenerator: Die eigenverwaltete ZS generiert Seriennummern für die von ihr herausgegebenen Zertifikate Klicken Sie in dieser Liste auf Sequenziell oder Nichtsequenziell, um zu bestimmen, wie die Nummern generiert werden sollen.
    • Nächste Seriennummer: Geben Sie einen Wert für die nächste Seriennummer ein.
    • Zertifikat gültig für: Geben Sie die Anzahl der Tage ein, für die das Zertifikat gültig sein soll.
    • Schlüsselverwendung: Legen Sie den Zweck der von der eigenverwalteten ZS herausgegebenen Zertifikate fest, indem Sie die entsprechenden Schlüssel auf Ein setzen. Im Anschluss an diese Einstellung ist die Zertifizierungsstelle auf die Ausstellung von Zertifikaten für diese Zwecke beschränkt.
    • Erweiterte Schlüsselverwendung: Zum Hinzufügen weiterer Parameter klicken Sie auf Hinzufügen, geben Sie den Schlüsselnamen ein und klicken Sie auf Speichern.
  7. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Verteilung wird angezeigt.

  8. Wählen Sie auf der Seite Eigenverwaltete ZS: Verteilung einen Verteilungsmodus aus:

    • Zentralisiert: Schlüssel serverseitig generieren: Citrix empfiehlt diese zentrale Verteilung. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und auf die Benutzergeräte verteilt.
    • Verteilt: Schlüssel geräteseitig generieren: Die privaten Schlüssel werden auf den Benutzergeräten generiert. Beim verteilten Modus wird SCEP verwendet und es ist ein RA-Verschlüsselungszertifikat mit der Erweiterung keyUsage keyEncryption sowie ein RA-Signaturzertifikat mit der Erweiterung keyUsage digitalSignature erforderlich. Das gleiche Zertifikat kann für Verschlüsselung und Signieren verwendet werden.
  9. Klicken Sie auf Weiter.

    Die Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) wird angezeigt.

    Führen Sie auf der Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) folgende Schritte aus:

    • Wenn Sie den von dieser Zertifizierungsstelle signierten Zertifikaten die Erweiterung AuthorityInfoAccess (RFC2459) hinzufügen möchten, legen Sie OCSP-Unterstützung für diese ZS aktivieren auf Ein fest. Diese Erweiterung verweist auf den OCSP-Responder der Zertifizierungsstelle unter https://<server>/<instance>/ocsp.
    • Wenn Sie OCSP-Unterstützung aktiviert haben, wählen Sie ein OSCP-Zertifizierungsstellenzertifikat aus. Die Liste der Zertifikate wird aus den von Ihnen in Endpoint Management hochgeladenen Zertifizierungsstellenzertifikaten generiert.
  10. Klicken Sie auf Speichern.

    Die eigenverwaltete ZS wird in der Tabelle der PKI-Entitäten angezeigt.