Citrix Gateway 13.0

Konfigurieren von Clientzertifikaten oder Clientzertifikaten und Domänenauthentifizierung

Sie können den Citrix ADC für Citrix Endpoint Management-Assistenten verwenden, um die für Citrix Endpoint Management erforderliche Konfiguration durchzuführen, wenn Sie nur Citrix ADC-Zertifikatauthentifizierung oder Zertifikat plus Domänenauthentifizierung verwenden. Sie können den Citrix ADC für Citrix Endpoint Management-Assistenten nur einmal ausführen. Hinweise zur Verwendung des Assistenten finden Sie unterKonfigurieren von Einstellungen für Ihre Citrix Endpoint Management-Umgebung.

Wenn Sie den Assistenten bereits verwendet haben, verwenden Sie die Anweisungen in diesem Artikel für die zusätzliche Konfiguration, die für die Clientzertifikatauthentifizierung oder Clientzertifikat plus Domänenauthentifizierung erforderlich ist.

Um sicherzustellen, dass sich der Benutzer eines Geräts im Nur-MAM-Modus nicht mithilfe eines vorhandenen Zertifikats auf dem Gerät authentifizieren kann, lesen Sie weiter unten in diesem Artikel unter “Citrix ADC Certificate Revocation List (CRL)”.

Manuelles Konfigurieren von Citrix Gateway für die Clientzertifikatauthentifizierung

  1. Wechseln Sie unter Verkehrsverwaltung > Lastenausgleich > Virtuelle Server zu jedem virtuellen Server (sowohl 443 als auch 8443), aktualisieren Sie die SSL-Parameter und setzen Sie die Sitzungswiederverwendung aktivieren auf DISABLED.

    lokalisiertes Bild

  2. Wählen Sie auf dem virtuellen Citrix Gateway-Server unter Clientauthentifizierung aktivieren - > Clientzertifikat die Option Clientauthentifizierung aus, und wählen Sie für Clientzertifikat die Option Obligatorisch aus.

    lokalisiertes Bild

  3. Erstellen Sie eine Authentifizierungszertifikatrichtlinie, damit Citrix Endpoint Management den Benutzerprinzipalnamen oder das SAMAccount aus dem Clientzertifikat extrahieren kann, das von Secure Hub für Citrix Gateway bereitgestellt wird. Einzelheiten finden Sie unter Assistent für Citrix ADC für XenMobile.

  4. Legen Sie die folgenden Parameter für das Zertifikatprofil fest:

    Authentifizierungstyp: CERT

    Zwei Faktoren: OFF (nur für Zertifikatauthentifizierung)

    Feld Benutzername: Betreff: CN

    Gruppenname Feld: SubjectAltName:PrincipalName

    lokalisiertes Bild

  5. Binden Sie nur die Zertifikatauthentifizierungsrichtlinie als primäre Authentifizierung im virtuellen Citrix Gateway-Server an.

    lokalisiertes Bild

  6. Binden Sie das Stammzertifizierungsstellenzertifikat an Citrix Gateway, um die Vertrauensstellung des Clientzertifikats zu überprüfen.

    lokalisiertes Bild

Manuelles Konfigurieren von Citrix Gateway für Clientzertifikate und Domänenauthentifizierung

  1. Wechseln Sie unter Datenverkehrsverwaltung > Lastenausgleich > Virtuelle Serverzu jedem virtuellen Server (sowohl 443 als auch 8443), aktualisieren Sie die SSL-Parameterund setzen Sie die Wiederverwendung von Sitzungen aktivierenauf DEAKTIVIERT.

    lokalisiertes Bild

  2. Gehen Sie zu Richtlinien > Authentifizierung > Zertifikat, wählen Sie die Registerkarte Server, und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

  3. Geben Sie den Namen des Profils ein, setzen Sie T wo Factorauf ON, und wählen Sie im Feld Benutzername die Option SubjectAltNamePrincipalName aus.

    lokalisiertes Bild

  4. Gehen Sie zu Richtlinien und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

  5. Geben Sie den Namen der Richtlinie ein, wählen Sie unter Server das Zertifikatprofil aus, legen Sie den Ausdruck als ns_true fest, und klicken Sie auf Erstellen.

    lokalisiertes Bild

  6. Wechseln Sie zu Virtuelle Server, wählen Sie den virtuellen Server aus, und klicken Sie auf Bearbeiten.

    lokalisiertes Bild

  7. Klicken Sie neben Authentifizierungauf +, um die Zertifikatauthentifizierung hinzuzufügen.

    lokalisiertes Bild

  8. Um die Authentifizierungsmethode auszuwählen: Wählen Sie unter Richtlinieauswählen die Option Zertifikataus.

    lokalisiertes Bild

  9. Wählen Sie unter Typ auswählendie Option Primäraus. Dadurch wird die Zertifikatauthentifizierung als primäre Authentifizierung mit derselben Priorität wie der LDAP-Authentifizierungstyp gebunden.

    lokalisiertes Bild

  10. Klicken Sie unter Richtlinienbindungauf Klicken Sie auf Auswählen, um die zuvor erstellte Zertifikatrichtlinie auszuwählen.

    lokalisiertes Bild

  11. Wählen Sie die zuvor erstellte Zertifikatrichtlinie aus, und klicken Sie auf OK.

    lokalisiertes Bild

  12. Legen Sie die Priorität auf 100 fest, und klicken Sie dann auf Binden. Verwenden Sie dieselbe Prioritätsnummer, wenn Sie die LDAP-Authentifizierungsrichtlinie in den nachfolgenden Schritten konfigurieren.

    lokalisiertes Bild

  13. Klicken Sie in der Zeile für LDAP-Richtlinieauf >.

    lokalisiertes Bild

  14. Wählen Sie die Richtlinie aus, und klicken Sie dann im Dropdownmenü Bearbeiten auf Bindung bearbeiten.

    lokalisiertes Bild

  15. Geben Sie denselben Prioritäts wert ein, den Sie für die Zertifikatrichtlinie angegeben haben. Klicken Sie auf Bind.

    lokalisiertes Bild

  16. Klicken Sie auf Schließen.

    lokalisiertes Bild

  17. Klicken Sie unter Erweitertauf SSL-Parameter.

    lokalisiertes Bild

  18. Aktivieren Sie das Kontrollkästchen Clientauthentifizierung, wählen Sie unter Clientzertifikat die Option Obligatorisch aus, und klicken Sie auf OK .

    lokalisiertes Bild

  19. Klicken Sie auf Fertig.

    lokalisiertes Bild

Citrix ADC-Zertifikatsperrliste (CRL)

Citrix Endpoint Management unterstützt Zertifikatsperrliste (Certificate Revocation List, CRL) nur für eine Zertifizierungsstelle eines Drittanbieters. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, verwendet Citrix Endpoint Management Citrix ADC, um die Sperrung zu verwalten. Wenn Sie die clientzertifikatbasierte Authentifizierung konfigurieren, prüfen Sie, ob Sie die Citrix ADC-Zertifikatsperrliste (Certificate Revocation List, CRL) -Einstellung “ Automatische Aktualisierung aktivieren” konfigurieren müssen. Dadurch wird sichergestellt, dass Benutzer von Geräten im ausschließlichen MAM-Modus keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können. Citrix Endpoint Management stellt ein neues Zertifikat erneut aus, da es einen Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines gesperrt wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Konfigurieren von Clientzertifikaten oder Clientzertifikaten und Domänenauthentifizierung