Product Documentation

Konfigurieren der Clientzertifikatauthentifizierung

Apr 13, 2015
Wichtig:
  • Bei Verwendung von StoreFront unterstützt Receiver Citrix Access Gateway Enterprise Edition, ab Version 9.3, und die NetScaler Gateway-Versionen bis 11.
  • Die Clientzertifikatauthentifizierung wird von Receiver für iOS ab Version 5.5 unterstützt.
  • Nur Access Gateway Enterprise Edition 9.x und 10.x (und spätere Releases) unterstützen die Clientzertifikatauthentifizierung.
  • Die Zweiquellenauthentifizierungstypen müssen CERT und LDAP sein.
  • Receiver unterstützt die optionale Clientzertifikatauthentifizierung.
  • Nur Zertifikate im P12-Format werden unterstützt.

Benutzer, die sich am virtuellen Access Gateway-Server (oder NetScaler Gateway-Server) anmelden, können auch anhand der Attribute des Clientzertifikats authentifiziert werden, dass dem virtuellen Server vorgelegt wird. Die Clientzertifikatauthentifizierung kann zusammen mit einem anderen Authentifizierungstyp, LDAP, verwendet werden, um eine Zweiquellenauthentifizierung bereitzustellen.

Um Benutzer basierend auf Clientzertifikatattributen zu authentifizieren, sollte die Clientauthentifizierung auf dem virtuellen Server aktiviert sein und das Clientzertifikat angefordert werden. Sie müssen ein Stammzertifikat an den virtuellen Server von Access Gateway binden.

Wenn sich Benutzer am virtuellen Access Gateway-Server anmelden, werden nach der Authentifizierung die Informationen zum Benutzernamen und der Domäne aus dem angegebenen Feld des Zertifikats extrahiert.  Diese Informationen müssen im Feld es Zertifikats SubjectAltName:OtherName:MicrosoftUniversalPrincipalName enthalten sein. Das Format ist "benutzername@domäne." Wenn der Benutzername und die Domäne extrahiert wurden und der Benutzer die anderen benötigten Informationen (beispielsweise ein Kennwort) eingibt, ist der Benutzer authentifiziert. Wenn der Benutzer kein gültiges Zertifikat und keine gültigen Anmeldeinformationen bereitstellt oder wenn der Benutzername bzw. die Domäne nicht extrahiert werden kann, schlägt die Authentifizierung fehl.

Wenn ein Benutzer den Benutzernamen und die Domäne (und nicht das Zertifikat) bereitstellt (im Wesentlichen ein sicheres Paradigma) entfernen Sie das Feld SubjectAltName:OtherName:MicrosoftUniversalPrincipalName aus dem Clientzertifikat.

Sie können Benutzer anhand des Clientzertifikats authentifizieren, indem Sie für den Standardauthentifizierungstyp die Verwendung des Clientzertifikats angeben. Sie können auch eine Zertifikataktion erstellen, mit der Sie definieren, was während der Authentifizierung basierend auf einem Client-SSL-Zertifikat geschehen soll.

Konfigurieren der XenApp Services-Site

Wenn keine XenApp Services-Site vorhanden ist, erstellen Sie eine XenApp Services-Site für Mobilgeräte in der XenApp-Konsole oder der Webinterface-Konsole (abhängig von der installierten XenApp-Version).

Receiver für Mobilgeräte ruft über eine XenApp Services-Site (früher Program Neighborhood Agent-Site) Informationen über die Anwendungen ab, für die ein Benutzer berechtigt ist und bietet sie Receiver an, der auf dem Gerät ausgeführt wird. Dies gleicht der Weise, wie das Webinterface für traditionelle SSL-basierte XenApp-Verbindungen, für die ein Access Gateway konfiguriert werden kann, verwendet wird.

Konfigurieren Sie die XenApp Services-Site für den Receiver für Mobilgeräte, um Verbindungen von einer Access Gateway-Verbindung zu ermöglichen.

  1. Wählen Sie in der XenApp Services-Site Sicheren Clientzugriff verwalten > Einstellungen für sicheren Clientzugriff verwalten.
  2. Ändern Sie die Zugriffsmethode zu Gateway: direkt.
  3. Geben Sie den FQDN des Access Gateway-Geräts ein.
  4. Geben Sie die Secure Ticket Authority (STA)-Informationen ein.

Konfigurieren des Access Gateway-Geräts

Konfigurieren Sie das Access Gateway für die Clientzertifikatauthentifizierung mit der Zweifaktorauthentifizierung und den zwei Authentifizierungsrichtlinien: Cert und LDAP. Weitere Informationen finden Sie in Ihrer Version von Access Gateway Enterprise Edition (nur 9.x) oder unter Access Gateway 10 in den eDocs und suchen Sie nach Configuring Client Certificate Authentication.

  1. Erstellen Sie eine Sitzungsrichtlinie auf dem Access Gateway, um eingehende XenApp-Verbindungen von Receiver zuzulassen, und geben Sie den Speicherort der neu erstellten XenApp Services-Site an.
    • Erstellen Sie eine neue Sitzungsrichtlinie, mit der Sie angeben, dass die Verbindung von Receiver für Mobilgeräte ist. Konfigurieren Sie bei der Erstellung der Sitzungsrichtlinie den folgenden Ausdruck und wählen Sie Match All Expressions als Operator aus:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver



    • Stellen Sie in der zugeordneten Profilkonfiguration für die Sitzungsrichtlinie auf der Registerkarte Security den Eintrag Default Authorization auf Allow.

      Wenn dies auf der Registerkarte Published Applications keine globale Einstellung ist (das Kontrollkästchen Override Global ist aktiviert), stellen Sie sicher, dass das Feld ICA-Proxy auf OFF eingestellt ist.

      Geben Sie im Feld für die Webinterface-Adresse die URL mit der Datei config.xml für die XenApp Services-Site ein, die Gerätebenutzer verwenden, beispielsweise http://XenAppServerName/Citrix/PNAgent/config.xml oder http://XenAppServerName/BenutzerdefinierterPfad/config.xml.

    • Binden Sie die Sitzungsrichtlinie an den virtuellen Server.
    • Erstellen Sie Authentifizierungsrichtlinien für Cert und LDAP.
    • Binden Sie die Authentifizierungsrichtlinien an den virtuellen Server.
    • Konfigurieren Sie den virtuellen Server so, dass Clientzertifikate im SSL-Handshake angefordert werden. Öffnen Sie dafür auf der Registerkarte Certificate die Option SSL-Parameters und stellen Sie für die Clientauthentifizierung Client Certificate auf Mandatory.
    • Wichtig: Wenn das auf dem Access Gateway verwendete Serverzertifikat Teil einer Zertifikatskette ist (mit einem Zwischenzertifikat), müssen Sie sicherstellen, dass die Zwischenzertifikate auch richtig auf dem Access Gateway installiert werden. Weitere Informationen zur Installation von Zertifikaten finden Sie in der Access Gateway-Dokumentation.

Konfigurieren des mobilen Geräts für die Receiver-Anwendung

Wenn die Clientzertifikatauthentifizierung in Access Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nach dem Abschluss der Authentifizierung werden der Benutzername und die Domäne aus dem Zertifikat extrahiert und alle für den Benutzer angegebenen Richtlinien angewendet.

  1. Öffnen Sie in Receiver das Konto und geben Sie im Feld Server den entsprechenden FQDN des Access Gateway-Servers ein, z. B. GatewayClientCertificateServer.organization.com. Receiver erkennt automatisch, dass das Clientzertifikat benötigt wird.
  2. Benutzer können entweder ein neues Zertifikat installieren oder eines aus der Liste der bereits installierten Zertifikate auswählen. Für die iOS-Clientzertifikatauthentifizierung muss das Zertifikat heruntergeladen und nur von der Receiver-Anwendung installiert werden.
  3. Nach der Auswahl eines gültigen Zertifikats werden in den Feldern für den Benutzernamen und die Domäne auf dem Anmeldebildschirm der Benutzername vom Zertifikat angezeigt; Benutzer geben die restlichen Angaben ein, u. a. Kennwort.
  4. Wenn die Clientzertifikatauthentifizierung optional ist, können Benutzer die Zertifikatauswahl überspringen, wenn sie auf der Zertifikatseite auf Back klicken. In diesem Fall stellt Receiver die Verbindung her und zeigt dem Benutzer einen Anmeldebildschirm.
  5. Nachdem Benutzer die Erstanmeldung abgeschlossen haben, können Sie Anwendungen ohne erneute Angabe des Zertifikats starten. Receiver speichert das Zertifikat für das Konto und verwendet es automatisch für weitere Anmeldungen.