Produktdokumentation
XenMobile® Server
PDF anzeigen

Clientzertifikat oder Zertifikat plus Domänenauthentifizierung

April 29, 2026
Beitrag von: 
C C

Die Standardkonfiguration für XenMobile® ist die Authentifizierung mit Benutzername und Kennwort. Um eine zusätzliche Sicherheitsebene für die Registrierung und den Zugriff auf die XenMobile-Umgebung hinzuzufügen, sollten Sie die zertifikatbasierte Authentifizierung in Betracht ziehen. In der XenMobile-Umgebung ist diese Konfiguration die beste Kombination aus Sicherheit und Benutzerfreundlichkeit. Die Zertifikat-plus-Domänenauthentifizierung bietet die besten SSO-Möglichkeiten, gepaart mit der Sicherheit, die durch die Zwei-Faktor-Authentifizierung am Citrix ADC gewährleistet wird.

Für optimale Benutzerfreundlichkeit können Sie die Zertifikat-plus-Domänenauthentifizierung mit Citrix PIN und Active Directory-Kennwort-Caching kombinieren. Dadurch müssen Benutzer ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Benutzer geben Benutzernamen und Kennwörter für die Registrierung, den Ablauf des Kennworts und die Kontosperrung ein.

Wichtig:

XenMobile unterstützt das Ändern des Authentifizierungsmodus von der Domänenauthentifizierung in einen anderen Authentifizierungsmodus nicht, nachdem Benutzer Geräte in XenMobile registriert haben.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch die Konfiguration von Zertifikaten eine Smartcard in XenMobile darstellen. Benutzer registrieren sich dann mit einer eindeutigen PIN, die XenMobile für sie generiert. Nachdem ein Benutzer Zugriff erhalten hat, erstellt und stellt XenMobile das Zertifikat bereit, das zur Authentifizierung in der XenMobile-Umgebung verwendet wird.

Sie können den Citrix ADC für XenMobile-Assistenten verwenden, um die für XenMobile erforderliche Konfiguration durchzuführen, wenn Sie die Citrix ADC-Zertifikat-only-Authentifizierung oder die Zertifikat-plus-Domänenauthentifizierung verwenden. Sie können den Citrix ADC für XenMobile-Assistenten nur einmal ausführen.

In hochsicheren Umgebungen wird die Verwendung von LDAP-Anmeldeinformationen außerhalb einer Organisation in öffentlichen oder unsicheren Netzwerken als eine erhebliche Sicherheitsbedrohung für die Organisation angesehen. Für hochsichere Umgebungen ist die Zwei-Faktor-Authentifizierung, die ein Clientzertifikat und ein Sicherheitstoken verwendet, eine Option. Weitere Informationen finden Sie unter Konfigurieren von XenMobile für die Zertifikat- und Sicherheitstoken-Authentifizierung.

Die Clientzertifikat-Authentifizierung ist für den XenMobile MAM-Modus (nur MAM) und den ENT-Modus (wenn Benutzer sich bei MDM registrieren) verfügbar. Die Clientzertifikat-Authentifizierung ist für den XenMobile ENT-Modus nicht verfügbar, wenn Benutzer sich im Legacy-MAM-Modus registrieren. Um die Clientzertifikat-Authentifizierung für den XenMobile ENT- und MAM-Modus zu verwenden, müssen Sie den Microsoft-Server, den XenMobile-Server und dann Citrix Gateway konfigurieren. Befolgen Sie diese allgemeinen Schritte, wie in diesem Artikel beschrieben.

Auf dem Microsoft-Server:

  1. Fügen Sie ein Zertifikat-Snap-In zur Microsoft Management Console hinzu.
  2. Fügen Sie die Vorlage zur Zertifizierungsstelle (CA) hinzu.
  3. Erstellen Sie ein PFX-Zertifikat vom CA-Server.

Auf dem XenMobile-Server:

  1. Laden Sie das Zertifikat in XenMobile hoch.
  2. Erstellen Sie die PKI-Entität für die zertifikatbasierte Authentifizierung.
  3. Konfigurieren Sie die Anmeldeinformationsanbieter.
  4. Konfigurieren Sie Citrix Gateway so, dass ein Benutzerzertifikat zur Authentifizierung bereitgestellt wird.

Informationen zur Citrix Gateway-Konfiguration finden Sie in diesen Artikeln in der Citrix ADC-Dokumentation:

Voraussetzungen

  • Wenn Sie eine Microsoft Certificate Services Entity-Vorlage erstellen, vermeiden Sie mögliche Authentifizierungsprobleme mit registrierten Geräten, indem Sie Sonderzeichen ausschließen. Verwenden Sie beispielsweise diese Zeichen nicht im Vorlagennamen: : ! $ () # % + * ~ ? | {} []

  • Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync finden Sie in diesem Microsoft-Blog. Konfigurieren Sie die Website des Zertifizierungsstellen-Servers (CA) für Exchange ActiveSync so, dass Clientzertifikate erforderlich sind.
  • Wenn Sie private Serverzertifikate verwenden, um den ActiveSync-Datenverkehr zum Exchange Server zu sichern, stellen Sie sicher, dass die mobilen Geräte alle erforderlichen Root-/Zwischenzertifikate besitzen. Andernfalls schlägt die zertifikatbasierte Authentifizierung während der Postfachkonfiguration in Secure Mail fehl. In der Exchange IIS-Konsole müssen Sie:
    • Fügen Sie eine Website für die XenMobile-Nutzung mit Exchange hinzu und binden Sie das Webserverzertifikat.
    • Verwenden Sie Port 9443.
    • Für diese Website müssen Sie zwei Anwendungen hinzufügen, eine für “Microsoft-Server-ActiveSync” und eine für “EWS”. Wählen Sie für beide Anwendungen unter SSL-Einstellungen die Option SSL erforderlich aus.

Hinzufügen eines Zertifikat-Snap-Ins zur Microsoft Management Console

  1. Öffnen Sie die Konsole und klicken Sie dann auf Snap-Ins hinzufügen/entfernen.

  2. Fügen Sie die folgenden Snap-Ins hinzu:

    • Zertifikatvorlagen
    • Zertifikate (Lokaler Computer)
    • Zertifikate – Aktueller Benutzer
    • Zertifizierungsstelle (Lokal)

    Microsoft Management Console

  3. Erweitern Sie Zertifikatvorlagen.

    Microsoft Management Console

  4. Wählen Sie die Vorlage Benutzer und Vorlage duplizieren aus.

    Microsoft Management Console

  5. Geben Sie den Anzeigenamen der Vorlage an.

    Wichtig:

    Es wird nicht empfohlen, die Option Zertifikat in Active Directory veröffentlichen auszuwählen. Wenn diese Option ausgewählt ist, werden Clientzertifikate für alle Benutzer in Active Directory erstellt, was Ihre Active Directory-Datenbank überladen könnte.

  6. Wählen Sie Windows 2003 Server als Vorlagentyp aus. Wählen Sie auf dem Windows 2012 R2-Server unter Kompatibilität die Option Zertifizierungsstelle aus und legen Sie den Empfänger als Windows 2003 fest.

  7. Konfigurieren Sie unter Sicherheit Folgendes:

    1. Klicken Sie auf Hinzufügen und wählen Sie dann das AD-Benutzerkonto aus, das der XenMobile Server zum Generieren von Zertifikaten verwendet.

      Wichtig:

      Fügen Sie hier nur den Dienstkontobenutzer hinzu. Fügen Sie die Berechtigung Registrieren nur diesem AD-Benutzerkonto hinzu.

      Wie später in diesem Artikel beschrieben, erstellen Sie ein Benutzer-.pfx-Zertifikat mithilfe des Dienstkontos. Weitere Informationen finden Sie unter Erstellen eines PFX-Zertifikats vom CA-Server.

      Zertifikatstest

    2. Entziehen Sie die Berechtigung Registrieren von Domänenbenutzern.

      Domänenbenutzer

  8. Stellen Sie unter Kryptografie sicher, dass Sie die Schlüssellänge angeben. Die Schlüssellänge geben Sie später bei der Konfiguration von XenMobile ein.

    Microsoft Management Console

  9. Wählen Sie unter Antragstellername die Option Im Antrag angeben aus. Wenden Sie die Änderungen an und speichern Sie sie dann.

    Microsoft Management Console

Hinzufügen der Vorlage zur Zertifizierungsstelle

  1. Gehen Sie zu Zertifizierungsstelle und wählen Sie Zertifikatvorlagen aus.

  2. Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie dann Neu > Auszustellende Zertifikatvorlage aus.

    Microsoft Management Console

  3. Wählen Sie die im vorherigen Schritt erstellte Vorlage aus und klicken Sie dann auf OK, um sie der Zertifizierungsstelle hinzuzufügen.

    Microsoft Management Console

Erstellen eines PFX-Zertifikats vom CA-Server

  1. Erstellen Sie ein Benutzer-.pfx-Zertifikat mit dem Dienstkonto, mit dem Sie sich angemeldet haben. Die .pfx-Datei wird in XenMobile hochgeladen, das dann im Namen der Benutzer, die ihre Geräte registrieren, ein Benutzerzertifikat anfordert.

  2. Erweitern Sie unter Aktueller Benutzer die Option Zertifikate.

  3. Klicken Sie mit der rechten Maustaste in den rechten Bereich und dann auf Neues Zertifikat anfordern.

    Microsoft Management Console

  4. Der Bildschirm Zertifikatregistrierung wird angezeigt. Klicken Sie auf Weiter.

    Microsoft Management Console

  5. Wählen Sie Active Directory-Registrierungsrichtlinie aus und klicken Sie dann auf Weiter.

    Microsoft Management Console

  6. Wählen Sie die Vorlage Benutzer aus und klicken Sie dann auf Registrieren.

    Microsoft Management Console

  7. Exportieren Sie die .pfx-Datei, die Sie im vorherigen Schritt erstellt haben.

    Microsoft Management Console

  8. Klicken Sie auf Ja, den privaten Schlüssel exportieren.

    Microsoft Management Console

  9. Wählen Sie Alle Zertifikate im Zertifizierungspfad einschließen, falls möglich aus und aktivieren Sie das Kontrollkästchen Alle erweiterten Eigenschaften exportieren.

    Microsoft Management Console

  10. Legen Sie ein Kennwort fest, das beim Hochladen dieses Zertifikats in XenMobile verwendet werden soll.

    Microsoft Management Console

  11. Speichern Sie das Zertifikat auf Ihrer Festplatte.

Hochladen des Zertifikats in XenMobile

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Der Bildschirm Einstellungen wird angezeigt.

  2. Klicken Sie auf Zertifikate und dann auf Importieren.

  3. Geben Sie die folgenden Parameter ein:

    • Importieren: Keystore
    • Keystore-Typ: PKCS #12
    • Verwenden als: Server
    • Keystore-Datei: Klicken Sie auf Durchsuchen, um das von Ihnen erstellte .pfx-Zertifikat auszuwählen.
    • Kennwort: Geben Sie das Kennwort ein, das Sie für dieses Zertifikat erstellt haben.

    Zertifikatskonfigurationsbildschirm

  4. Klicken Sie auf Importieren.

  5. Überprüfen Sie, ob das Zertifikat korrekt installiert wurde. Ein korrekt installiertes Zertifikat wird als Benutzerzertifikat angezeigt.

Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung

  1. Gehen Sie in den Einstellungen zu Mehr > Zertifikatverwaltung > PKI-Entitäten.

  2. Klicken Sie auf Hinzufügen und dann auf Microsoft Certificate Services Entity. Der Bildschirm Microsoft Certificate Services Entity: Allgemeine Informationen wird angezeigt.

  3. Geben Sie die folgenden Parameter ein:

    • Name: Geben Sie einen beliebigen Namen ein
    • Web-Registrierungsdienst-Root-URL: https://RootCA-URL/certsrv/ (Stellen Sie sicher, dass der letzte Schrägstrich, /, im URL-Pfad hinzugefügt wird.)
    • certnew.cer Seitenname: certnew.cer (Standardwert)
    • certfnsh.asp: certfnsh.asp (Standardwert)
    • Authentifizierungstyp: Clientzertifikat
    • SSL-Clientzertifikat: Wählen Sie das Benutzerzertifikat aus, das zum Ausstellen des XenMobile-Clientzertifikats verwendet werden soll.

    Zertifikatskonfigurationsbildschirm

  4. Fügen Sie unter Vorlagen die Vorlage hinzu, die Sie beim Konfigurieren des Microsoft-Zertifikats erstellt haben. Fügen Sie keine Leerzeichen hinzu.

    Zertifikatskonfigurationsbildschirm

  5. Überspringen Sie die HTTP-Parameter und klicken Sie dann auf CA-Zertifikate.

  6. Wählen Sie den Root-CA-Namen aus, der Ihrer Umgebung entspricht. Diese Root-CA ist Teil der Kette, die aus dem XenMobile-Clientzertifikat importiert wurde.

    Zertifikatskonfigurationsbildschirm

  7. Klicken Sie auf Speichern.

Konfigurieren von Anmeldeinformationsanbietern

  1. Gehen Sie in den Einstellungen zu Mehr > Zertifikatverwaltung > Anmeldeinformationsanbieter.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie unter Allgemein die folgenden Parameter ein:

    • Name: Geben Sie einen beliebigen Namen ein.
    • Beschreibung: Geben Sie eine beliebige Beschreibung ein.
    • Ausstellende Entität: Wählen Sie die zuvor erstellte PKI-Entität aus.
    • Ausstellungsmethode: SIGN
    • Vorlagen: Wählen Sie die unter der PKI-Entität hinzugefügte Vorlage aus.

    Konfigurationsbildschirm für Anmeldeinformationsanbieter

  4. Klicken Sie auf Zertifikatsignieranforderung und geben Sie dann die folgenden Parameter ein:

    • Schlüsselalgorithmus: RSA
    • Schlüssellänge: 2048
    • Signaturalgorithmus: SHA256withRSA
    • Antragstellername: cn=$user.username

    Klicken Sie für Alternative Antragstellernamen auf Hinzufügen und geben Sie dann die folgenden Parameter ein:

    • Typ: Benutzerprinzipalname
    • Wert: $user.userprincipalname

    Konfigurationsbildschirm für Anmeldeinformationsanbieter

  5. Klicken Sie auf Verteilung und geben Sie die folgenden Parameter ein:

    • Ausstellendes CA-Zertifikat: Wählen Sie die ausstellende CA aus, die das XenMobile-Clientzertifikat signiert hat.
    • Verteilungsmodus auswählen: Wählen Sie Zentralisiert bevorzugen: Serverseitige Schlüsselgenerierung aus.

    Konfigurationsbildschirm für Anmeldeinformationsanbieter

  6. Legen Sie für die nächsten beiden Abschnitte, Widerruf XenMobile und Widerruf PKI, die Parameter nach Bedarf fest. In diesem Beispiel werden beide Optionen übersprungen.

  7. Klicken Sie auf Erneuerung.

  8. Wählen Sie für Zertifikate bei Ablauf erneuern die Option EIN aus.

  9. Lassen Sie alle anderen Einstellungen als Standard oder ändern Sie sie nach Bedarf.

    Konfigurationsbildschirm für Anmeldeinformationsanbieter

  10. Klicken Sie auf Speichern.

Konfigurieren von Secure Mail zur Verwendung der zertifikatbasierten Authentifizierung

Wenn Sie Secure Mail zu XenMobile hinzufügen, stellen Sie sicher, dass Sie die Exchange-Einstellungen unter App-Einstellungen konfigurieren.

App-Konfigurationsbildschirm

Konfigurieren der Citrix ADC-Zertifikatsbereitstellung in XenMobile

  1. Melden Sie sich an der XenMobile-Konsole an und klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke. Der Bildschirm Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Citrix Gateway.

  3. Wenn Citrix Gateway noch nicht hinzugefügt wurde, klicken Sie auf Hinzufügen und geben Sie die Einstellungen an:

    • Externe URL: https://YourCitrixGatewayURL
    • Anmeldetyp: Zertifikat und Domäne
    • Kennwort erforderlich: AUS
    • Als Standard festlegen: EIN

  4. Wählen Sie für Benutzerzertifikat zur Authentifizierung bereitstellen die Option Ein aus.

    Citrix Gateway-Konfigurationsbildschirm

  5. Wählen Sie für Anmeldeinformationsanbieter einen Anbieter aus und klicken Sie dann auf Speichern.

  6. Um die sAMAccount-Attribute in den Benutzerzertifikaten als Alternative zum Benutzerprinzipalnamen (UPN) zu verwenden, konfigurieren Sie den LDAP-Konnektor in XenMobile wie folgt: Gehen Sie zu Einstellungen > LDAP, wählen Sie das Verzeichnis aus und klicken Sie auf Bearbeiten, und wählen Sie sAMAccountName unter Benutzersuche nach aus.

    LDAP-Konfigurationsbildschirm

Citrix PIN und Benutzerkennwort-Caching aktivieren

Um Citrix PIN und Benutzerkennwort-Caching zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie diese Kontrollkästchen: Citrix PIN-Authentifizierung aktivieren und Benutzerkennwort-Caching aktivieren. Weitere Informationen finden Sie unter Clienteigenschaften.

Fehlerbehebung bei der Clientzertifikatkonfiguration

Nach einer erfolgreichen Konfiguration der vorstehenden Konfiguration plus der Citrix Gateway-Konfiguration ist der Benutzer-Workflow wie folgt:

  1. Benutzer registrieren ihr mobiles Gerät.

  2. XenMobile fordert Benutzer auf, eine Citrix PIN zu erstellen.

  3. Benutzer werden dann zum XenMobile Store weitergeleitet.

  4. Wenn Benutzer Secure Mail starten, fordert XenMobile sie nicht zur Eingabe von Benutzeranmeldeinformationen für die Postfachkonfiguration auf. Stattdessen fordert Secure Mail das Clientzertifikat von Secure Hub an und übermittelt es zur Authentifizierung an den Microsoft Exchange Server. Wenn XenMobile bei der Anmeldung bei Secure Mail zur Eingabe von Anmeldeinformationen auffordert, überprüfen Sie Ihre Konfiguration.

Wenn Benutzer Secure Mail herunterladen und installieren können, Secure Mail jedoch während der Postfachkonfiguration die Konfiguration nicht abschließen kann:

  1. Wenn Microsoft Exchange Server ActiveSync private SSL-Serverzertifikate zur Sicherung des Datenverkehrs verwendet, überprüfen Sie, ob die Root-/Zwischenzertifikate auf dem mobilen Gerät installiert sind.

  2. Überprüfen Sie, ob der für ActiveSync ausgewählte Authentifizierungstyp Clientzertifikate erforderlich ist.

    Microsoft ActiveSync-Eigenschaftenbildschirm

  3. Überprüfen Sie auf dem Microsoft Exchange Server die Website Microsoft-Server-ActiveSync, um sicherzustellen, dass die Clientzertifikat-Mapping-Authentifizierung aktiviert ist. Standardmäßig ist die Clientzertifikat-Mapping-Authentifizierung deaktiviert. Die Option befindet sich unter Konfigurationseditor > Sicherheit > Authentifizierung.

    Microsoft ActiveSync-Konfigurationsbildschirm

    Nachdem Sie True ausgewählt haben, klicken Sie unbedingt auf Anwenden, damit die Änderungen wirksam werden.

  4. Überprüfen Sie die Citrix Gateway-Einstellungen in der XenMobile-Konsole: Stellen Sie sicher, dass Benutzerzertifikat zur Authentifizierung bereitstellen auf EIN steht und dass unter Anmeldeinformationsanbieter das richtige Profil ausgewählt ist.

So stellen Sie fest, ob das Clientzertifikat an ein mobiles Gerät übermittelt wurde

  1. Gehen Sie in der XenMobile-Konsole zu Verwalten > Geräte und wählen Sie das Gerät aus.

  2. Klicken Sie auf Bearbeiten oder Mehr anzeigen.

  3. Gehen Sie zum Abschnitt Bereitstellungsgruppen und suchen Sie nach diesem Eintrag:

    Citrix Gateway-Anmeldeinformationen: Angeforderte Anmeldeinformationen, CertId=

So überprüfen Sie, ob die Clientzertifikat-Aushandlung aktiviert ist

  1. Führen Sie diesen netsh-Befehl aus, um die SSL-Zertifikatkonfiguration anzuzeigen, die an die IIS-Website gebunden ist:

    `netsh http show sslcert`

  2. Wenn der Wert für Clientzertifikat aushandeln auf Deaktiviert steht, führen Sie den folgenden Befehl aus, um ihn zu aktivieren:

    `netsh http delete sslcert ipport=0.0.0.0:443`

    `netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable`

    Zum Beispiel:

    `netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable`

Clientzertifikat oder Zertifikat plus Domänenauthentifizierung
April 29, 2026
Beitrag von: 
C C
April 29, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.