Product Documentation

Konfigurieren der Clientzertifikat-Authentifizierung

Nov 20, 2015
Wichtig:
  • Access Gateway Enterprise Edition 9.x und 10.x werden von Receiver für iOS 5.5 und 5.6 mit XenApp Services-Sites unterstützt.
  • Die Clientzertifikatauthentifizierung wird von Receiver für iOS 5.5, 5.6, 5.7 und 5.9 unterstützt.
  • Nur Access Gateway Enterprise Edition 9.x und 10.xunterstützen die Clientzertifikat-Authentifizierung.
  • Die Zweiquellenauthentifizierungstypen müssen CERT und LDAP sein.
  • Receiver unterstützt optionale Clientzertifikat-Authentifizierung.
  • Nur Zertifikate im P12-Format werden unterstützt.

Benutzer, die sich an einem virtuellen Access Gateway-Server anmelden, können auch anhand der Attribute des Clientzertifikats authentifiziert werden, das dem virtuellen Server präsentiert wird. Die Clientzertifikat-Authentifizierung kann zusammen mit einem anderen Authentifizierungstyp, LDAP, verwendet werden, um eine Zweiquellenauthentifizierung bereit zu stellen.

Um Benutzer basierend auf Clientzertifikatattributen zu authentifizieren, sollte die Clientauthentifizierung auf dem virtuellen Server aktiviert sein und das Clientzertifikat angefordert werden. Sie müssen ein Stammzertifikat an den virtuellen Server von Access Gateway binden.

Wenn sich Benutzer an dem virtuellen Access Gateway-Server anmelden, werden nach der Authentifizierung die Benutzernamensinformationen aus dem angegebenen Feld des Zertifikats extrahiert. Normalerweise ist dieses Feld Betreff: CN. Wurde der Benutzername erfolgreich extrahiert, wird der Benutzer authentifiziert. Wenn der Benutzer kein gültiges Zertifikat während des TLS-Handshakes bereitstellt oder wenn der Benutzername nicht extrahiert werden kann, schlägt die Authentifizierung fehl.

Sie können Benutzer anhand des Clientzertifikats authentifizieren, indem Sie für den Standardauthentifizierungstyp die Verwendung des Clientzertifikats angeben. Sie können auch eine Zertifikataktion erstellen, mit der Sie definieren, was während der Authentifizierung basierend auf einem Client-SSL-Zertifikat geschehen soll.

Konfigurieren der XenApp Services-Site

Wenn keine XenApp Services-Site vorhanden ist, erstellen Sie eine XenApp Services-Site für Mobilgeräte in der XenApp-Konsole oder der Webinterface-Konsole (abhängig von der installierten XenApp-Version).

Receiver für Mobilgeräte ruft über eine XenApp Services-Site (früher Program Neighborhood Agent-Site) Informationen über die Anwendungen ab, für die ein Benutzer berechtigt ist und bietet sie Receiver an, der auf dem Gerät ausgeführt wird. Dies gleicht der Weise, wie das Webinterface für traditionelle SSL-basierte XenApp-Verbindungen, für die ein Access Gateway konfiguriert werden kann, verwendet wird.

Konfigurieren Sie die XenApp Services-Site für den Receiver für Mobilgeräte, um Verbindungen von einer Access Gateway-Verbindung zu ermöglichen.

  1. Wählen Sie in der XenApp Services-Site Sicheren Clientzugriff verwalten > Einstellungen für sicheren Clientzugriff verwalten.
  2. Ändern Sie die Zugriffsmethode zu Gateway: direkt.
  3. Geben Sie den FQDN des Access Gateway-Geräts ein.
  4. Geben Sie die Secure Ticket Authority (STA)-Informationen ein.

Konfigurieren des Access Gateway-Geräts

Konfigurieren Sie das Access Gateway für die Clientzertifikat-Authentifizierung mit der Zweifaktorauthentifizierung und den zwei Authentifizierungsrichtlinien: Cert und LDAP. Weitere Informationen finden Sie in Ihrer Version von Access Gateway Enterprise Edition (nur 9.x) oder Access Gateway 10 in den eDocs und suchen Sie nach Configuring Client Certificate Authentication.

  1. Erstellen Sie eine Sitzungsrichtlinie auf dem Access Gateway, um eingehende XenApp-Verbindungen von Receiver zuzulassen, und geben Sie den Speicherort der neu erstellten XenApp Services-Site an.
    • Erstellen Sie eine neue Sitzungsrichtlinie, mit der Sie angeben, dass die Verbindung von Receiver für Mobilgeräte ist. Konfigurieren Sie bei der Erstellung der Sitzungsrichtlinie den folgenden Ausdruck und wählen Sie Match All Expressions als Operator aus:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver



    • Stellen Sie in der zugeordneten Profilkonfiguration für die Sitzungsrichtlinie auf der Registerkarte Security den Eintrag Default Authorization auf Allow.

      Wenn dies auf der Registerkarte Published Applications keine globale Einstellung ist (das Kontrollkästchen Override Global ist aktiviert), stellen Sie sicher, dass das Feld ICA-Proxy auf OFF eingestellt ist.

      Geben Sie im Feld für die Webinterface-Adresse die URL mit der Datei config.xml für die XenApp Services-Site ein, die Gerätebenutzer verwenden, beispielsweise http://XenAppServerName/Citrix/PNAgent/config.xml oder http://XenAppServerName/BenutzerdefinierterPfad/config.xml.

    • Binden Sie die Sitzungsrichtlinie an den virtuellen Server.
    • Erstellen Sie Authentifizierungsrichtlinien für Cert und LDAP.
    • Binden Sie die Authentifizierungsrichtlinien an den virtuellen Server.
    • Konfigurieren Sie den virtuellen Server so, dass Clientzertifikate im SSL-Handshake angefordert werden. Öffnen Sie dafür auf der Registerkarte Certificate die Option SSL-Parameters und stellen Sie für die Clientauthentifizierung Client Certificate auf Mandatory.
    • Wichtig: Wenn das auf dem Access Gateway verwendete Serverzertifikat Teil einer Zertifikatskette ist (mit einem Zwischenzertifikat), müssen Sie sicherstellen, dass die Zwischenzertifikate auch richtig auf dem Access Gateway installiert werden. Weitere Informationen zur Installation von Zertifikaten finden Sie in der Access Gateway-Dokumentation.

Konfigurieren des mobilen Geräts für die Receiver-Anwendung

Wenn die Clientzertifikat-Authentifizierung in Access Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nachdem die Authentifizierung erfolgreich abgeschlossen ist, werden der Benutzername oder der Benutzer- und Gruppenname des Benutzers aus dem Zertifikat extrahiert und alle für den Benutzer angegebenen Richtlinien angewendet.

  1. Öffnen Sie in Receiver das Konto und geben Sie im Feld "Server" den entsprechenden FQDN des Access Gateway-Servers ein, z. B.GatewayClientCertificateServer.organization.com. Receiver erkennt automatisch, dass das Clientzertifikat benötigt wird.
  2. Benutzer können entweder ein neues Zertifikat installieren oder eines aus der Liste der bereits installierten Zertifikate auswählen. Für die iOS-Clientzertifikat-Authentifizierung muss das Zertifikat heruntergeladen und nur von der Receiver-Anwendung installiert werden.
  3. Nach der Auswahl eines gültigen Zertifikats wird im Feld für den Benutzernamen auf dem Anmeldebildschirm der Benutzername vom Zertifikat angezeigt; Benutzer geben die restlichen Angaben ein, u. a. Kennwort und Domäne für die Domänenauthentifizierung.
  4. Wenn die Clientzertifikat-Authentifizierung optional ist, können Benutzer die Zertifikatauswahl überspringen, wenn sie auf der Zertifikatseite auf Back klicken. In diesem Fall stellt Receiver die Verbindung her und zeigt dem Benutzer einen Anmeldebildschirm.
  5. Nachdem Benutzer die Erstanmeldung abgeschlossen haben, können Sie Anwendungen ohne erneute Angabe des Zertifikats starten. Receiver speichert das Zertifikat für das Konto und verwendet es automatisch für weitere Anmeldungen.