Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne
Standardmäßig ist XenMobile für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die XenMobile-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. In der XenMobile-Umgebung bietet diese Konfiguration das beste Gleichgewicht zwischen Sicherheit und Benutzererfahrung. Die Authentifizierung per Zertifikat und Domäne bietet die besten SSO-Möglichkeiten in Kombination mit der von der zweistufigen Authentifizierung unter Citrix ADC gebotenen Sicherheit.
Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie die Authentifizierung per Zertifikat und Domäne mit der Citrix-PIN und Active Directory-Kennwortcaching kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.
Wichtig:
Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.
Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten XenMobile eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von XenMobile generiert wird. Sobald ein Benutzer Zugriff hat, erstellt XenMobile das Zertifikat, das für die Authentifizierung bei der XenMobile-Umgebung verwendet wird, und stellt dieses bereit.
Sie können die in XenMobile erforderliche Konfiguration mit dem Citrix ADC für XenMobile-Assistenten durchführen, wenn Sie die Citrix ADC-Authentifizierung per Zertifikat oder per Zertifikat und Domäne verwenden. Sie können den Citrix ADC für XenMobile-Assistenten nur einmal ausführen.
In Hochsicherheitsumgebungen stellt die Verwendung von LDAP-Anmeldeinformationen außerhalb der Organisation in öffentlichen oder unsicheren Netzwerken eine große Sicherheitsbedrohung dar. In solchen Umgebungen kann die zweistufige Authentifizierung mit Clientzertifikat und Sicherheitstoken verwendet werden. Weitere Informationen finden Sie unter Konfigurieren von XenMobile für die Authentifizierung mit Zertifikat und Sicherheitstoken.
Die Clientzertifikatauthentifizierung steht im XenMobile-MAM-Modus (Nur-MAM-Modus) und im ENT-Modus (wenn Benutzer sich bei MDM registrieren) zur Verfügung. Die Clientzertifikatauthentifizierung steht im XenMobile-ENT-Modus nicht zur Verfügung, wenn Benutzer sich im Legacy-MAM-Modus registrieren. Zum Verwenden von Clientzertifikatauthentifizierung im Enterprise- oder MAM-Modus müssen Sie den Microsoft-Server, XenMobile Server und dann Citrix Gateway konfigurieren. Folgen Sie den in diesem Artikel beschriebenen allgemeinen Schritten.
Auf dem Microsoft-Server:
- Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu.
- Fügen Sie der Zertifizierungsstelle (ZS) eine Vorlage hinzu.
- Erstellen Sie ein PFX-Zertifikat vom ZS-Server.
Auf dem XenMobile-Server:
- Laden Sie das Zertifikat in XenMobile hoch.
- Erstellen Sie die PKI-Entität für zertifikatbasierte Authentifizierung.
- Konfigurieren Sie Anmeldeinformationsanbieter.
- Konfigurieren Sie Citrix Gateway, um ein Benutzerzertifikat für die Authentifizierung bereitzustellen.
Informationen über die Citrix Gateway-Konfiguration finden Sie in folgenden Artikeln der Citrix ADC-Dokumentation:
- Clientauthentifizierung
- SSL-Profilinfrastruktur
- Konfigurieren und Binden einer Richtlinie für die Clientzertifikatauthentifizierung
Voraussetzungen
-
Vermeiden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage die Verwendung von Sonderzeichen. Verwenden in Vorlagennamen beispielsweise nicht folgende Zeichen:
: ! $ () # % + * ~ ? | {} []
-
Deaktivieren Sie für Windows Phone 8.1-Geräte mit Zertifikatauthentifizierung und SSL-Offload die Wiederverwendung von SSL-Sitzungen für Port 443 auf beiden virtuellen Lastausgleichsservern in Citrix ADC. Führen Sie hierfür auf diesen virtuellen Servern den folgenden Befehl für Port 443 aus:
set ssl vserver <ssl lb vserver> sessReuse DISABLE
Mit der SSL-Sitzungswiederverwendung werden einige Optimierungen von Citrix ADC deaktiviert, was zu einer Leistungsminderung bei Citrix ADC führen kann.
- Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync finden Sie in diesem Microsoft-Blog.
- Wenn Sie private Serverzertifikate zum Schützen des ActiveSync-Datenverkehrs an Exchange Server verwenden, müssen die mobilen Geräte alle erforderlichen Stamm- und Zwischenzertifikate haben. Ansonsten schlägt die zertifikatbasierte Authentifizierung beim Einrichten des Postfachs in Secure Mail fehl. In der Exchange-IIS-Konsole müssen Sie folgende Schritte ausführen:
- Website für die Verwendung durch XenMobile mit Exchange hinzufügen und das Webserverzertifikat binden
- Port 9443 verwenden
- Für die Website zwei Anwendungen hinzufügen, eine für “Microsoft-Server-ActiveSync” und eine für “EWS”. Wählen Sie für beide Anwendungen unter SSL-Einstellungen die Option SSL erforderlich aus.
Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu
-
Öffnen Sie die Konsole und klicken Sie auf Snap-In hinzufügen/entfernen.
-
Fügen Sie die folgenden Snap-Ins hinzu:
- Zertifikatvorlagen
- Zertifikate (lokaler Computer)
- Zertifikate – aktueller Benutzer
- Zertifizierungsstelle (lokal)
-
Erweitern Sie Zertifikatvorlagen.
-
Wählen Sie die Vorlage Benutzer und dann Doppelte Vorlage.
-
Geben Sie den Anzeigenamen der Vorlage an.
Wichtig:
Aktivieren Sie das Kontrollkästchen für Zertifikat in Active Directory veröffentlichen nur bei Bedarf. Wenn diese Option aktiviert ist, werden alle Benutzerclientzertifikate in Active Directory erstellt, wodurch die Active Directory-Datenbank überladen werden kann.
-
Wählen Sie als Vorlagentyp Windows 2003 Server. Wählen Sie in Windows 2012 R2-Server unter Kompatibilität die Option Zertifizierungsstelle und legen Sie als Empfänger Windows 2003 fest.
-
Wählen Sie unter Sicherheit in der Spalte Zulassen die Option Registrieren für die authentifizierten Benutzer aus.
-
Geben Sie unter Kryptografie die Schlüsselgröße an. Sie geben die Schlüsselgröße später bei der XenMobile-Konfiguration ein.
-
Wählen Sie unter Antragstellername die Option Informationen werden in der Anforderung angegeben aus. Wenden Sie die Änderungen an und speichern Sie.
Hinzufügen der Vorlage zur Zertifizierungsstelle
-
Navigieren Sie zu Zertifizierungsstelle und wählen Sie Zertifikatvorlagen.
-
Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Neu > Auszustellende Zertifikatvorlage.
-
Wählen Sie die im vorherigen Schritt erstellte Vorlage und klicken Sie auf OK, um sie der Zertifizierungsstelle hinzuzufügen.
Erstellen eines PFX-Zertifikats vom ZS-Server
-
Erstellen Sie mit dem Dienstkonto, mit dem Sie sich angemeldet haben, ein PFX-Benutzerzertifikat. Diese PFX-Datei wird in XenMobile hochgeladen, um ein Benutzerzertifikat im Namen der Benutzer anzufordern, die ihre Geräte registrieren.
-
Erweitern Sie Zertifikate unter Aktueller Benutzer.
-
Klicken Sie mit der rechten Maustaste in den rechten Bereich und klicken Sie auf Neues Zertifikat anfordern.
-
Der Bildschirm Zertifikatregistrierung wird angezeigt. Klicken Sie auf Weiter.
-
Wählen Sie Active Directory-Registrierungsrichtlinie und klicken Sie auf Weiter.
-
Wählen Sie die Vorlage Benutzer und klicken Sie auf Registrieren.
-
Exportieren Sie die PFX-Datei, die Sie im vorherigen Schritt erstellt haben.
-
Klicken Sie auf Ja, privaten Schlüssel exportieren.
-
Aktivieren Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren.
-
Legen Sie ein Kennwort für den Upload des Zertifikats in XenMobile fest.
-
Speichern Sie das Zertifikat auf Ihrer Festplatte.
Hochladen des Zertifikats in XenMobile
-
Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
-
Klicken Sie auf Zertifikate und dann auf Importieren.
-
Geben Sie die folgenden Parameter ein:
- Importieren: Schlüsselspeicher
- Schlüsselspeichertyp: PKCS#12
- Verwenden als: Server
-
Schlüsselspeicherdatei: Klicken Sie auf Durchsuchen, um das erstellte
.pfx
-Zertifikat zu suchen. - Kennwort: Geben Sie das Kennwort ein, das Sie für dieses Zertifikat erstellt haben.
-
Klicken Sie auf Importieren.
-
Prüfen Sie, ob das Zertifikat richtig installiert wurde. Ein richtig installiertes Zertifikat wird als Benutzerzertifikat angezeigt.
Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung
-
Gehen Sie in Einstellungen zu Mehr > Zertifikatverwaltung > PKI-Entitäten.
-
Klicken Sie auf Hinzufügen und dann auf Microsoft Zertifikatdiensteentität. Der Bildschirm Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.
-
Geben Sie die folgenden Parameter ein:
- Name: Geben Sie einen Namen ein.
-
Stamm-URL des Webregistrierungsdiensts:
https://RootCA-URL/certsrv/
Achten Sie darauf, den letzten Schrägstrich (/) im URL-Pfad hinzuzufügen. - certnew.cer-Seitenname: certnew.cer (Standardwert)
- certfnsh.asp: certfnsh.asp (Standardwert)
- Authentifizierungstyp: Clientzertifikat
- SSL-Clientzertifikat: Wählen Sie das Benutzerzertifikat aus, das zum Ausstellen des XenMobile-Clientzertifikats verwendet werden soll.
-
Fügen Sie unter Vorlagen die Vorlage hinzu, die Sie beim Konfigurieren des Microsoft-Zertifikats erstellt haben. Fügen Sie keine Leerzeichen hinzu.
-
Überspringen Sie “HTTP-Parameter” und klicken Sie auf ZS-Zertifikate.
-
Wählen Sie den Namen der Stammzertifizierungsstelle, der mit Ihrer Umgebung übereinstimmt. Diese Stammzertifizierungsstelle gehört zur Kette, die aus dem XenMobile-Clientzertifikat importiert wurde.
-
Klicken Sie auf Speichern.
Konfigurieren der Anmeldeinformationsanbieter
-
Navigieren Sie unter Einstellungen zu Mehr > Zertifikatverwaltung > Anbieter für Anmeldeinformationen.
-
Klicken Sie auf Hinzufügen.
-
Geben Sie unter Allgemein die folgenden Parameter ein:
- Name: Geben Sie einen Namen ein.
- Beschreibung: Geben Sie eine Beschreibung ein.
- Ausstellende Entität: Wählen Sie die zuvor erstellte PKI-Entität aus.
- Ausstellungsmethode: SIGN
- Vorlagen: Wählen Sie die unter der PKI-Entität hinzugefügte Vorlage aus.
-
Klicken Sie auf Zertifikatsignieranforderung und geben Sie die folgenden Parameter ein:
- Schlüsselalgorithmus: RSA
- Schlüsselgröße: 2048
- Signaturalgorithmus: SHA1withRSA
-
Antragsstellername:
cn=$user.username
Klicken Sie für Alternative Antragstellernamen auf Hinzufügen und geben Sie die folgenden Parameter ein:
- Typ: Benutzerprinzipalname
-
Wert:
$user.userprincipalname
-
Klicken Sie auf Verteilung und geben Sie die folgenden Parameter ein:
- Zertifikat der ausstellenden ZS: Wählen Sie die ausstellende Zertifizierungsstelle, die das XenMobile-Clientzertifikat signiert hat.
- Verteilungsmodus wählen: Wählen Sie Bevorzugt zentralisiert: Schlüssel serverseitig generieren.
-
Legen Sie für die zwei folgenden Abschnitte XenMobile-Sperrung und PKI-Sperrung die Parameter nach Bedarf fest. In diesem Beispiel werden beide Optionen übersprungen.
-
Klicken Sie auf Verlängerung.
-
Wählen Sie für Zertifikate erneuern, wenn sie ablaufen die Option EIN.
-
Behalten Sie für alle anderen Einstellungen die Standardwerte bei oder ändern Sie sie nach Bedarf.
-
Klicken Sie auf Speichern.
Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung
Beim Hinzufügen von Secure Mail zu XenMobile müssen Sie die Exchange-Einstellungen unter App-Einstellungen konfigurieren.
Konfigurieren der Citrix ADC-Zertifikatbereitstellung in XenMobile
-
Melden Sie sich bei der XenMobile-Konsole an und klicken Sie auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
-
Klicken Sie unter Server auf Citrix Gateway.
-
Wenn Citrix Gateway noch nicht hinzugefügt wurde, klicken Sie auf Hinzufügen und legen Sie folgende Einstellungen fest:
-
Externe URL:
https://YourCitrixGatewayURL
- Anmeldetyp: Zertifikat und Domäne
- Kennwort erforderlich: AUS
- Als Standard setzen: EIN
-
Externe URL:
-
Legen Sie Benutzerzertifikat für Authentifizierung bereitstellen auf Ein fest.
-
Wählen Sie unter Anmeldeinformationsanbieter einen Anbieter und klicken Sie auf Speichern.
-
Zum Verwenden von sAMAccount-Attributen anstelle des UPN (Benutzerprinzipalname) in den Benutzerzertifikaten konfigurieren Sie den LDAP-Connector in XenMobile folgendermaßen: Navigieren Sie zu Einstellungen > LDAP, wählen Sie das Verzeichnis, klicken Sie auf Bearbeiten und wählen Sie für Benutzersuche nach die Option sAMAccountName.
Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern
Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix-PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.
Erstellen einer Enterprise Hub-Richtlinie für Windows Phone
Für Windows Phone-Geräte müssen Sie eine Unternehmenshub-Geräterichtlinie zum Bereitstellen der AETX-Datei und des Secure Hub-Clients erstellen.
Hinweis:
Stellen Sie sicher, dass sowohl AETX- als auch Secure Hub-Dateien:
- das gleiche Unternehmenszertifikat vom Zertifikatanbieter verwenden.
- die gleiche Publisher-ID aus dem Windows Store-Entwicklerkontenprofil verwenden.
-
Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien.
-
Klicken Sie auf Hinzufügen und dann unter Mehr > XenMobile-Agent auf Enterprise Hub.
-
Nach Eingabe eines Namens für die Richtlinie wählen Sie die richtige
.AETX
-Datei und signierte Secure Hub-App für den Enterprise Hub aus. -
Weisen Sie die Richtlinie Bereitstellungsgruppen zu und speichern Sie sie.
Problembehandlung bei der Clientzertifikatkonfiguration
Wenn die Konfiguration wie oben beschrieben erfolgt ist und auch Citrix Gateway konfiguriert wurde, sieht der Workflow für Benutzer folgendermaßen aus:
-
Der Benutzer registriert sein mobiles Gerät.
-
XenMobile fordert den Benutzer auf, eine Citrix PIN zu erstellen.
-
Der Benutzer wird an den XenMobile Store weitergeleitet.
-
Wenn Benutzer Secure Mail starten, fordert XenMobile sie nicht auf, die Benutzeranmeldeinformationen einzugeben, um das Postfach zu konfigurieren. Stattdessen fordert Secure Mail das Clientzertifikat aus Secure Hub an und sendet es zur Authentifizierung an Microsoft Exchange Server. Wenn XenMobile beim Starten von Secure Mail durch die Benutzer die Eingabe von Anmeldeinformationen anfordert, prüfen Sie die Konfiguration.
Wenn die Benutzer Secure Mail herunterladen und installieren können, die Postfachkonfiguration jedoch nicht abgeschlossen werden kann, führen Sie folgende Schritte aus:
-
Wenn Microsoft Exchange Server ActiveSync private SSL-Serverzertifikate zum Schützen des Datenverkehrs verwendet, vergewissern Sie sich, dass Stamm- und Zwischenzertifikat auf dem Mobilgerät installiert sind.
-
Vergewissern Sie sich, dass für ActiveSync der Authentifizierungstyp Clientzertifikate anfordern festgelegt ist.
-
Vergewissern Sie sich, dass auf dem Microsoft Exchange Server für die Site Microsoft-Server-ActiveSync die Authentifizierung über Clientzertifikatzuordnung aktiviert ist. Standardmäßig ist die Authentifizierung über Clientzertifikatzuordnung deaktiviert. Die Option befindet sich unter Konfigurationseditor > Sicherheit > Authentifizierung.
Klicken Sie nach der Auswahl von True auf Anwenden, damit die Änderungen wirksam werden.
-
Überprüfen Sie die Citrix Gateway-Einstellungen in der XenMobile-Konsole: Vergewissern Sie sich, dass Benutzerzertifikat für Authentifizierung bereitstellen auf EIN festgelegt ist und für Anmeldeinformationsanbieter das richtige Profil ausgewählt wurde.
Ermitteln, ob das Clientzertifikat auf einem Mobilgerät bereitgestellt wurde
-
Navigieren Sie in der XenMobile-Konsole zu Verwalten > Geräte und wählen Sie das Gerät.
-
Klicken Sie auf Bearbeiten oder Mehr anzeigen.
-
Navigieren Sie zum Bereich Bereitstellungsgruppen und suchen Sie folgenden Eintrag:
Citrix Gateway-Anmeldeinformationen: Requested credential, CertId=
Überprüfen, ob die Clientzertifikataushandlung aktiviert wurde
-
Führen Sie den Befehl
netsh
aus, um die auf der IIS-Website gebundene SSL-Zertifikatkonfiguration anzuzeigen:netsh http show sslcert
-
Wenn der Wert für Negotiate Client Certificate mit Disabled angegeben ist, aktivieren Sie die Aushandlung mit folgendem Befehl:
netsh http delete sslcert ipport=0.0.0.0:443
netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable
Zum Beispiel:
netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable
Wenn Sie über XenMobile keine Stamm-/Zwischenzertifikate auf einem Windows Phone 8.1-Gerät bereitstellen können, gehen Sie folgendermaßen vor:
- Senden Sie Stamm-/Zwischenzertifikate (CER-Dateien) per E-Mail an das Windows Phone 8.1-Gerät und installieren Sie sie direkt.
Wenn Secure Mail nicht unter Windows Phone 8.1 installiert werden kann, überprüfen Sie Folgendes:
- Der Anwendungsregistrierungstoken (AETX-Datei) wird mit XenMobile über die Enterprise Hub-Richtlinie bereitgestellt.
- Der Anwendungsregistrierungstoken wurde mit dem gleichen Enterprise-Zertifikat des Zertifikatanbieters erstellt, das zum Umschließen und zum Signieren von den Apps Secure Mail und Secure Hub verwendet wird.
- Zum Signieren und Umschließen von Secure Hub, Secure Mail und Anwendungsregistrierungstoken wird die gleiche Aussteller-ID verwendet.
In diesem Artikel
- Voraussetzungen
- Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu
- Hinzufügen der Vorlage zur Zertifizierungsstelle
- Erstellen eines PFX-Zertifikats vom ZS-Server
- Hochladen des Zertifikats in XenMobile
- Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung
- Konfigurieren der Anmeldeinformationsanbieter
- Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung
- Konfigurieren der Citrix ADC-Zertifikatbereitstellung in XenMobile
- Erstellen einer Enterprise Hub-Richtlinie für Windows Phone
- Problembehandlung bei der Clientzertifikatkonfiguration