Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne

October 17, 2019

Contributed by: C

Standardmäßig ist XenMobile für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die XenMobile-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. In der XenMobile-Umgebung bietet diese Konfiguration das beste Gleichgewicht zwischen Sicherheit und Benutzererfahrung. Die Authentifizierung per Zertifikat und Domäne bietet die besten SSO-Möglichkeiten in Kombination mit der von der zweistufigen Authentifizierung unter NetScaler gebotenen Sicherheit.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie die Authentifizierung per Zertifikat und Domäne mit der Citrix-PIN und Active Directory-Kennwortcaching kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten XenMobile eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von XenMobile generiert wird. Sobald ein Benutzer Zugriff hat, erstellt XenMobile das Zertifikat, das für die Authentifizierung bei der XenMobile-Umgebung verwendet wird, und stellt dieses bereit.

Sie können die in XenMobile erforderliche Konfiguration mit dem NetScaler für XenMobile-Assistenten durchführen, wenn Sie die NetScaler-Authentifizierung per Zertifikat oder per Zertifikat und Domäne verwenden. Sie können den NetScaler für XenMobile-Assistenten nur einmal ausführen.

In Hochsicherheitsumgebungen stellt die Verwendung von LDAP-Anmeldeinformationen außerhalb der Organisation in öffentlichen oder unsicheren Netzwerken eine große Sicherheitsbedrohung dar. In solchen Umgebungen kann die zweistufige Authentifizierung mit Clientzertifikat und Sicherheitstoken verwendet werden. Weitere Informationen finden Sie unter Konfigurieren von XenMobile für die Authentifizierung mit Zertifikat und Sicherheitstoken.

Die Clientzertifikatauthentifizierung steht im XenMobile-MAM-Modus (Nur-MAM-Modus) und im ENT-Modus (wenn Benutzer sich bei MDM registrieren) zur Verfügung. Die Clientzertifikatauthentifizierung steht im XenMobile-ENT-Modus nicht zur Verfügung, wenn Benutzer sich im Legacy-MAM-Modus registrieren. Zum Verwenden von Clientzertifikatauthentifizierung im Enterprise- oder MAM-Modus müssen Sie den Microsoft-Server, den XenMobile-Server und dann NetScaler Gateway konfigurieren. Folgen Sie den in diesem Artikel beschriebenen allgemeinen Schritten.

Auf dem Microsoft-Server:

Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu.
Fügen Sie der Zertifizierungsstelle (ZS) eine Vorlage hinzu.
Erstellen Sie ein PFX-Zertifikat vom ZS-Server.

Auf dem XenMobile-Server:

Laden Sie das Zertifikat in XenMobile hoch.
Erstellen Sie die PKI-Entität für zertifikatbasierte Authentifizierung.
Konfigurieren Sie Anmeldeinformationsanbieter.
Konfigurieren Sie NetScaler Gateway, um ein Benutzerzertifikat für die Authentifizierung bereitzustellen.

Informationen über die NetScaler Gateway-Konfiguration finden Sie in diesen Artikeln der Citrix ADC-Dokumentation: Clientauthentifizierung, SSL-Profilinfrastruktur und Konfigurieren und Binden einer Richtlinie für die Clientzertifikatauthentifizierung.

Voraussetzungen

Vermeiden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage die Verwendung von Sonderzeichen. Verwenden in Vorlagennamen beispielsweise nicht folgende Zeichen: : ! $ () # % + * ~ ? | {} []
Deaktivieren Sie für Windows Phone 8.1-Geräte mit Zertifikatauthentifizierung und SSL-Offload die Wiederverwendung von SSL-Sitzungen für Port 443 auf beiden virtuellen Lastausgleichsservern in NetScaler. Führen Sie hierfür auf diesen virtuellen Servern den folgenden Befehl für Port 443 aus:

set ssl vserver <ssl lb vserver> sessReuse DISABLE

Mit der SSL-Sitzungswiederverwendung werden einige Optimierungen von NetScaler deaktiviert, was zu einer Leistungsminderung bei NetScaler führen kann.
Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync finden Sie in diesem Microsoft-Blog.
Wenn Sie private Serverzertifikate zum Schützen des ActiveSync-Datenverkehrs an Exchange Server verwenden, müssen die mobilen Geräte alle Stamm- und Zwischenzertifikate haben. Ansonsten schlägt die zertifikatbasierte Authentifizierung beim Einrichten des Postfachs in Secure Mail fehl. In der Exchange-IIS-Konsole müssen Sie folgende Schritte ausführen:
- Website für die Verwendung durch XenMobile mit Exchange hinzufügen und das Webserverzertifikat binden
- Port 9443 verwenden
- Für die Website zwei Anwendungen hinzufügen, eine für “Microsoft-Server-ActiveSync” und eine für “EWS”. Wählen Sie für beide Anwendungen unter SSL-Einstellungen die Option SSL erforderlich aus.
Stellen Sie sicher, dass Secure Mail mit dem aktuellen MDX Toolkit umschlossen ist, wenn dies für die Bereitstellungsmethode erforderlich ist.

Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu

Öffnen Sie die Konsole und klicken Sie auf Snap-In hinzufügen/entfernen.
Fügen Sie die folgenden Snap-Ins hinzu:
- Zertifikatvorlagen
- Zertifikate (lokaler Computer)
- Zertifikate – aktueller Benutzer
- Zertifizierungsstelle (lokal)
Erweitern Sie Zertifikatvorlagen.
Wählen Sie die Vorlage Benutzer und dann Doppelte Vorlage.
Geben Sie den Anzeigenamen der Vorlage an.

Wichtig:

Aktivieren Sie das Kontrollkästchen für Zertifikat in Active Directory veröffentlichen nur bei Bedarf. Wenn diese Option aktiviert ist, werden alle Benutzerclientzertifikate in Active Directory erstellt, wodurch die Active Directory-Datenbank überladen werden kann.
Wählen Sie als Vorlagentyp Windows 2003 Server. Wählen Sie in Windows 2012 R2-Server unter Kompatibilität die Option Zertifizierungsstelle und legen Sie als Empfänger Windows 2003 fest.
Wählen Sie unter Sicherheit in der Spalte Zulassen die Option Registrieren für die authentifizierten Benutzer aus.
Geben Sie unter Kryptografie die Schlüsselgröße an. Sie geben die Schlüsselgröße später bei der XenMobile-Konfiguration ein.
Wählen Sie unter Antragstellername die Option Informationen werden in der Anforderung angegeben aus. Wenden Sie die Änderungen an und speichern Sie.

Hinzufügen der Vorlage zur Zertifizierungsstelle

Navigieren Sie zu Zertifizierungsstelle und wählen Sie Zertifikatvorlagen.
Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Neu > Auszustellende Zertifikatvorlage.
Wählen Sie die im vorherigen Schritt erstellte Vorlage und klicken Sie auf OK, um sie der Zertifizierungsstelle hinzuzufügen.

Erstellen eines PFX-Zertifikats vom ZS-Server

Erstellen Sie mit dem Dienstkonto, mit dem Sie sich angemeldet haben, ein PFX-Benutzerzertifikat. Diese PFX-Datei wird in XenMobile hochgeladen, um ein Benutzerzertifikat im Namen der Benutzer anzufordern, die ihre Geräte registrieren.
Erweitern Sie Zertifikate unter Aktueller Benutzer.
Klicken Sie mit der rechten Maustaste in den rechten Bereich und klicken Sie auf Neues Zertifikat anfordern.
Der Bildschirm Zertifikatregistrierung wird angezeigt. Klicken Sie auf Weiter.
Wählen Sie Active Directory-Registrierungsrichtlinie und klicken Sie auf Weiter.
Wählen Sie die Vorlage Benutzer und klicken Sie auf Registrieren.
Exportieren Sie die PFX-Datei, die Sie im vorherigen Schritt erstellt haben.
Klicken Sie auf Ja, privaten Schlüssel exportieren.
Aktivieren Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren.
Legen Sie ein Kennwort für den Upload des Zertifikats in XenMobile fest.
Speichern Sie das Zertifikat auf Ihrer Festplatte.

Hochladen des Zertifikats in XenMobile

Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
Klicken Sie auf Zertifikate und dann auf Importieren.
Geben Sie die folgenden Parameter ein:
- Importieren: Schlüsselspeicher
- Schlüsselspeichertyp: PKCS#12
- Verwenden als: Server
- Schlüsselspeicherdatei: Klicken Sie auf “Durchsuchen”, um das erstellte PFX-Zertifikat zu suchen.
- Kennwort: Geben Sie das Kennwort ein, das Sie für dieses Zertifikat erstellt haben.
Klicken Sie auf Importieren.
Prüfen Sie, ob das Zertifikat richtig installiert wurde. Ein richtig installiertes Zertifikat wird als Benutzerzertifikat angezeigt.

Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung

Gehen Sie in Einstellungen zu Mehr > Zertifikatverwaltung > PKI-Entitäten.
Klicken Sie auf Hinzufügen und dann auf Microsoft Zertifikatdiensteentität. Die Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.
Geben Sie die folgenden Parameter ein:
- Name: Geben Sie einen Namen ein.
- Stamm-URL des Webregistrierungsdiensts: https://RootCA-URL/certsrv/ Achten Sie darauf, den letzten Schrägstrich (/) im URL-Pfad hinzuzufügen.
- certnew.cer-Seitenname: certnew.cer (Standardwert)
- certfnsh.asp: certfnsh.asp (Standardwert)
- Authentifizierungstyp: Clientzertifikat
- SSL-Clientzertifikat: Wählen Sie das Benutzerzertifikat aus, das zum Ausstellen des XenMobile-Clientzertifikats verwendet werden soll.
Fügen Sie unter Vorlagen die Vorlage hinzu, die Sie beim Konfigurieren des Microsoft-Zertifikats erstellt haben. Fügen Sie keine Leerzeichen hinzu.
Überspringen Sie “HTTP-Parameter” und klicken Sie auf ZS-Zertifikate.
Wählen Sie den Namen der Stammzertifizierungsstelle, der mit Ihrer Umgebung übereinstimmt. Diese Stammzertifizierungsstelle gehört zur Kette, die aus dem XenMobile-Clientzertifikat importiert wurde.
Klicken Sie auf Speichern.

Konfigurieren der Anmeldeinformationsanbieter

Navigieren Sie unter Einstellungen zu Mehr > Zertifikatverwaltung > Anbieter für Anmeldeinformationen.
Klicken Sie auf Hinzufügen.
Geben Sie unter Allgemein die folgenden Parameter ein:
- Name: Geben Sie einen Namen ein.
- Beschreibung: Geben Sie eine Beschreibung ein.
- Ausstellende Entität: Wählen Sie die zuvor erstellte PKI-Entität aus.
- Ausstellungsmethode: SIGN
- Vorlagen: Wählen Sie die unter der PKI-Entität hinzugefügte Vorlage aus.
Klicken Sie auf Zertifikatsignieranforderung und geben Sie die folgenden Parameter ein:
- Schlüsselalgorithmus: RSA
- Schlüsselgröße: 2048
- Signaturalgorithmus: SHA1withRSA
- Antragsstellername: cn=$user.username
Klicken Sie für Alternative Antragstellernamen auf Hinzufügen und geben Sie die folgenden Parameter ein:
- Typ: Benutzerprinzipalname
- Wert: $user.userprincipalname
Klicken Sie auf Verteilung und geben Sie die folgenden Parameter ein:
- Zertifikat der austellenden ZS: Wählen Sie die ausstellende Zertifizierungsstelle, die das XenMobile-Clientzertifikat signiert hat.
- Verteilungsmodus wählen: Wählen Sie Bevorzugt zentralisiert: Schlüssel serverseitig generieren.
Legen Sie für die zwei folgenden Abschnitte XenMobile-Sperrung und PKI-Sperrung die Parameter nach Bedarf fest. In diesem Beispiel werden beide Optionen übersprungen.
Klicken Sie auf Verlängerung.
Wählen Sie für Zertifikate erneuern, wenn sie ablaufen die Option EIN.
Behalten Sie für alle anderen Einstellungen die Standardwerte bei oder ändern Sie sie nach Bedarf.
Klicken Sie auf Speichern.

Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung

Beim Hinzufügen von Secure Mail zu XenMobile müssen Sie die Exchange-Einstellungen unter App-Einstellungen konfigurieren.

Bild des Apps-Konfigurationsbildschirms

Konfigurieren der NetScaler-Zertifikatbereitstellung in XenMobile

Melden Sie sich bei der XenMobile-Konsole an und klicken Sie auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
Klicken Sie unter Server auf NetScaler Gateway.
Wenn NetScaler Gateway noch nicht hinzugefügt wurde, klicken Sie auf Hinzufügen und legen Sie folgende Einstellungen fest:
- Externe URL: https://YourNetScalerGatewayURL
- Anmeldetyp: Zertifikat und Domäne
- Kennwort erforderlich: AUS
- Als Standard setzen: EIN
Legen Sie Benutzerzertifikat für Authentifizierung bereitstellen auf Ein fest.
Wählen Sie unter Anmeldeinformationsanbieter einen Anbieter und klicken Sie auf Speichern.
Zum Verwenden von sAMAccount-Attributen anstelle des UPN (Benutzerprinzipalname) in den Benutzerzertifikaten konfigurieren Sie den LDAP-Connector in XenMobile folgendermaßen: Navigieren Sie zu Einstellungen > LDAP, wählen Sie das Verzeichnis, klicken Sie auf Bearbeiten und wählen Sie für Benutzersuche nach die Option sAMAccountName.

Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix-PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.

Erstellen einer Enterprise Hub-Richtlinie für Windows Phone

Für Windows Phone-Geräte müssen Sie eine Unternehmenshub-Geräterichtlinie zum Bereitstellen der AETX-Datei und des Secure Hub-Clients erstellen.

Hinweis:

Stellen Sie sicher, dass sowohl AETX- als auch Secure Hub-Dateien:

das gleiche Unternehmenszertifikat vom Zertifikatanbieter verwenden.

die gleiche Publisher-ID aus dem Windows Store-Entwicklerkontenprofil verwenden.

Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien.
Klicken Sie auf Hinzufügen und dann unter Mehr > XenMobile-Agent auf Enterprise Hub.
Nach Eingabe eines Namens für die Richtlinie wählen Sie die richtige AETX-Datei und signierte Secure Hub-App für den Enterprise Hub aus.
Weisen Sie die Richtlinie Bereitstellungsgruppen zu und speichern Sie sie.

Problembehandlung bei der Clientzertifikatkonfiguration

Wenn die Konfiguration wie oben beschrieben erfolgt ist und auch NetScaler Gateway konfiguriert wurde, sieht der Workflow für Benutzer folgendermaßen aus:

Der Benutzer registriert sein mobiles Gerät.
XenMobile fordert den Benutzer auf, eine Citrix PIN zu erstellen.
Der Benutzer wird an den XenMobile Store weitergeleitet.
Wenn Benutzer Secure Mail starten, fordert XenMobile sie nicht auf, die Benutzeranmeldeinformationen einzugeben, um das Postfach zu konfigurieren. Stattdessen fordert Secure Mail das Clientzertifikat aus Secure Hub an und sendet es zur Authentifizierung an Microsoft Exchange Server. Wenn XenMobile beim Starten von Secure Mail durch die Benutzer die Eingabe von Anmeldeinformationen anfordert, prüfen Sie die Konfiguration.

Wenn die Benutzer Secure Mail herunterladen und installieren können, die Postfachkonfiguration jedoch nicht abgeschlossen werden kann, führen Sie folgende Schritte aus:

Wenn Microsoft Exchange Server ActiveSync private SSL-Serverzertifikate zum Schützen des Datenverkehrs verwendet, vergewissern Sie sich, dass Stamm- und Zwischenzertifikat auf dem Mobilgerät installiert sind.
Vergewissern Sie sich, dass für ActiveSync der Authentifizierungstyp Clientzertifikate anfordern festgelegt ist.
Vergewissern Sie sich, dass in Microsoft Exchange Server für die Site Microsoft-Server-ActiveSync die Authentifizierung über Clientzertifikatzuordnung aktiviert ist. Standardmäßig ist die Authentifizierung über Clientzertifikatzuordnung deaktiviert. Die Option befindet sich unter Konfigurationseditor > Sicherheit > Authentifizierung.

Klicken Sie nach der Auswahl von True auf Anwenden, damit die Änderungen wirksam werden.
Überprüfen Sie die NetScaler Gateway-Einstellungen in der XenMobile-Konsole: Vergewissern Sie sich, dass Benutzerzertifikat für Authentifizierung bereitstellen auf EIN festgelegt ist und für Anmeldeinformationsanbieter das richtige Profil ausgewählt wurde.

Ermitteln, ob das Clientzertifikat auf einem Mobilgerät bereitgestellt wurde

Navigieren Sie in der XenMobile-Konsole zu Verwalten > Geräte und wählen Sie das Gerät.
Klicken Sie auf Bearbeiten oder Mehr anzeigen.
Navigieren Sie zum Bereich Bereitstellungsgruppen und suchen Sie folgenden Eintrag:

NetScaler Gateway-Anmeldeinformationen: Requested credential, CertId=

Überprüfen, ob die Clientzertifikataushandlung aktiviert wurde

Führen Sie den Befehl netsh aus, um die auf der IIS-Website gebundene SSL-Zertifikatkonfiguration anzuzeigen:

netsh http show sslcert
Wenn der Wert für Negotiate Client Certificate mit Disabled angegeben ist, aktivieren Sie die Aushandlung mit folgendem Befehl:

netsh http delete sslcert ipport=0.0.0.0:443

netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Zum Beispiel:

netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Wenn Sie über XenMobile keine Stamm-/Zwischenzertifikate auf einem Windows Phone 8.1-Gerät bereitstellen können, gehen Sie folgendermaßen vor:

Senden Sie Stamm-/Zwischenzertifikate (CER-Dateien) per E-Mail an das Windows Phone 8.1-Gerät und installieren Sie sie direkt.

Wenn Secure Mail nicht unter Windows Phone 8.1 installiert werden kann, überprüfen Sie Folgendes:

Der Anwendungsregistrierungstoken (AETX-Datei) wird mit XenMobile über die Enterprise Hub-Richtlinie bereitgestellt.
Der Anwendungsregistrierungstoken wurde mit dem gleichen Enterprise-Zertifikat des Zertifikatanbieters erstellt, das zum Umschließen und zum Signieren von den Apps Secure Mail und Secure Hub verwendet wird.
Zum Signieren und Umschließen von Secure Hub, Secure Mail und Anwendungsregistrierungstoken wird die gleiche Aussteller-ID verwendet.

The official version of this content is in English. Some of the Citrix documentation content is machine translated for your convenience only. Citrix has no control over machine-translated content, which may contain errors, inaccuracies or unsuitable language. No warranty of any kind, either expressed or implied, is made as to the accuracy, reliability, suitability, or correctness of any translations made from the English original into any other language, or that your Citrix product or service conforms to any machine translated content, and any warranty provided under the applicable end user license agreement or terms of service, or any other agreement with Citrix, that the product or service conforms with any documentation shall not apply to the extent that such documentation has been machine translated. Citrix will not be held responsible for any damage or issues that may arise from using machine-translated content.

Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne

October 17, 2019

Contributed by: C

In diesem Artikel

Voraussetzungen
Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu
Hinzufügen der Vorlage zur Zertifizierungsstelle
Erstellen eines PFX-Zertifikats vom ZS-Server
Hochladen des Zertifikats in XenMobile
Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung
Konfigurieren der Anmeldeinformationsanbieter
Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung
Konfigurieren der NetScaler-Zertifikatbereitstellung in XenMobile
Erstellen einer Enterprise Hub-Richtlinie für Windows Phone
Problembehandlung bei der Clientzertifikatkonfiguration

Edit this article