Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne

Standardmäßig ist XenMobile für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die XenMobile-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. In der XenMobile-Umgebung bietet diese Konfiguration das beste Gleichgewicht zwischen Sicherheit und Benutzererfahrung. Die Authentifizierung per Zertifikat und Domäne bietet die besten SSO-Möglichkeiten in Kombination mit der von der zweistufigen Authentifizierung unter NetScaler gebotenen Sicherheit.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie die Authentifizierung per Zertifikat und Domäne mit der Citrix PIN und Active Directory-Kennwortchaching kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten XenMobile eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von XenMobile generiert wird. Sobald ein Benutzer Zugriff hat, erstellt XenMobile das Zertifikat, das für die Authentifizierung bei der XenMobile-Umgebung verwendet wird, und stellt dieses bereit.

Sie können die in XenMobile erforderliche Konfiguration mit dem NetScaler für XenMobile-Assistenten durchführen, wenn Sie die NetScaler-Authentifizierung per Zertifikat oder per Zertifikat und Domäne verwenden. Sie können den NetScaler für XenMobile-Assistenten nur einmal ausführen.

In Hochsicherheitsumgebungen stellt die Verwendung von LDAP-Anmeldeinformationen außerhalb der Organisation in öffentlichen oder unsicheren Netzwerken eine große Sicherheitsbedrohung dar. In solchen Umgebungen kann die zweistufige Authentifizierung mit Clientzertifikat und Sicherheitstoken verwendet werden. Weitere Informationen finden Sie unter Configuring XenMobile for Certificate and Security Token Authentication.

Die Clientzertifikatauthentifizierung steht im XenMobile-MAM-Modus (Nur-MAM-Modus) und im ENT-Modus (wenn Benutzer sich bei MDM registrieren) zur Verfügung. Die Clientzertifikatauthentifizierung steht im XenMobile-ENT-Modus nicht zur Verfügung, wenn Benutzer sich im Legacy-MAM-Modus registrieren. Zum Verwenden von Clientzertifikatauthentifizierung im Enterprise- oder MAM-Modus müssen Sie den Microsoft-Server, den XenMobile-Server und dann NetScaler Gateway konfigurieren. Folgen Sie den in diesem Artikel beschriebenen allgemeinen Schritten.

Auf dem Microsoft-Server:

1. Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu.
2. Fügen Sie der Zertifizierungsstelle (ZS) eine Vorlage hinzu.
3. Erstellen Sie ein PFX-Zertifikat vom ZS-Server.

Auf dem XenMobile-Server:

1. Laden Sie das Zertifikat in XenMobile hoch.
2. Erstellen Sie die PKI-Entität für zertifikatbasierte Authentifizierung.
3. Konfigurieren Sie Anmeldeinformationsanbieter.
4. Konfigurieren Sie NetScaler Gateway, um ein Benutzerzertifikat für die Authentifizierung bereitzustellen.

Führen Sie die Konfiguration von NetScaler Gateway gemäß der zugehörigen Dokumentation durch.

Voraussetzungen

• Vermeiden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage die Verwendung von Sonderzeichen. Verwenden in Vorlagennamen beispielsweise nicht folgende Zeichen: : ! $ () # % + * ~ ? | {} []

• Deaktivieren Sie für Windows Phone 8.1-Geräte mit Zertifikatauthentifizierung und SSL-Offload die Wiederverwendung von SSL-Sitzungen für Port 443 auf beiden virtuellen Lastausgleichsservern in NetScaler. Führen Sie hierfür auf diesen virtuellen Servern den folgenden Befehl für Port 443 aus:

  set ssl vserver <ssl lb vserver> sessReuse DISABLE

  Mit der SSL-Sitzungswiederverwendung werden einige Optimierungen von NetScaler deaktiviert, was zu einer Leistungsminderung bei NetScaler führen kann.

• Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync finden Sie in diesem Microsoft-Blog.
• Wenn Sie private Serverzertifikate zum Schützen des ActiveSync-Datenverkehrs an Exchange Server verwenden, müssen die mobilen Geräte alle Stamm- und Zwischenzertifikate haben. Ansonsten schlägt die zertifikatbasierte Authentifizierung beim Einrichten des Postfachs in Secure Mail fehl. In der Exchange-IIS-Konsole müssen Sie folgende Schritte ausführen:
  • Website für die Verwendung durch XenMobile mit Exchange hinzufügen und das Webserverzertifikat binden
  • Port 9443 verwenden
  • Für die Website zwei Anwendungen hinzufügen, eine für “Microsoft-Server-ActiveSync” und eine für “EWS”. Wählen Sie für beide Anwendungen unter SSL-Einstellungen die Option SSL erforderlich aus.
• Stellen Sie sicher, dass Secure Mail mit dem aktuellen MDX Toolkit umschlossen ist, wenn dies für die Bereitstellungsmethode erforderlich ist.

Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu

1. Öffnen Sie die Konsole und klicken Sie auf Snap-In hinzufügen/entfernen.

2. Fügen Sie die folgenden Snap-Ins hinzu:

   • Zertifikatvorlagen
   • Zertifikate (lokaler Computer)
   • Zertifikate – aktueller Benutzer
   • Zertifizierungsstelle (lokal)

   

3. Erweitern Sie Zertifikatvorlagen.

   

4. Wählen Sie die Vorlage Benutzer und dann Doppelte Vorlage.

   

5. Geben Sie den Anzeigenamen der Vorlage an.

   Wichtig:

   Aktivieren Sie das Kontrollkästchen für Zertifikat in Active Directory veröffentlichen nur bei Bedarf. Wenn diese Option aktiviert ist, werden alle Benutzer-Clientzertifikate in Active Directory erstellt, wodurch die Active Directory-Datenbank überladen werden kann.

6. Wählen Sie als Vorlagentyp Windows 2003 Server. Wählen Sie in Windows 2012 R2-Server unter Kompatibilität die Option Zertifizierungsstelle und legen Sie als Empfänger Windows 2003 fest.

7. Wählen Sie unter Sicherheit in der Spalte Zulassen die Option Registrieren für die authentifizierten Benutzer aus.

   

8. Geben Sie unter Kryptografie die Schlüsselgröße an. Sie geben die Schlüsselgröße später bei der XenMobile-Konfiguration ein.

   

9. Wählen Sie unter Antragstellername die Option Informationen werden in der Anforderung angegeben aus. Wenden Sie die Änderungen an und speichern Sie.

   

Hinzufügen der Vorlage zur Zertifizierungsstelle

1. Navigieren Sie zu Zertifizierungsstelle und wählen Sie Zertifikatvorlagen.

2. Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Neu > Auszustellende Zertifikatvorlage.

   

3. Wählen Sie die im vorherigen Schritt erstellte Vorlage und klicken Sie auf OK, um sie der Zertifizierungsstelle hinzuzufügen.

   

Erstellen eines PFX-Zertifikats vom ZS-Server

1. Erstellen Sie mit dem Dienstkonto, mit dem Sie sich angemeldet haben, ein PFX-Benutzerzertifikat. Diese PFX-Datei wird in XenMobile hochgeladen, um ein Benutzerzertifikat im Namen der Benutzer anzufordern, die ihre Geräte registrieren.

2. Erweitern Sie Zertifikate unter Aktueller Benutzer.

3. Klicken Sie mit der rechten Maustaste in den rechten Bereich und klicken Sie auf Neues Zertifikat anfordern.

   

4. Der Bildschirm Zertifikatregistrierung wird angezeigt. Klicken Sie auf Weiter.

   

5. Wählen Sie Active Directory-Registrierungsrichtlinie und klicken Sie auf Weiter.

   

6. Wählen Sie die Vorlage Benutzer und klicken Sie auf Registrieren.

   

7. Exportieren Sie die PFX-Datei, die Sie im vorherigen Schritt erstellt haben.

   

8. Klicken Sie auf Ja, privaten Schlüssel exportieren.

   

9. Aktivieren Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren.

   

10. Legen Sie ein Kennwort für den Upload des Zertifikats in XenMobile fest.

    

11. Speichern Sie das Zertifikat auf Ihrer Festplatte.

Hochladen des Zertifikats in XenMobile

1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

2. Klicken Sie auf Zertifikate und dann auf Importieren.

3. Geben Sie die folgenden Parameter ein:

   • Importieren: Schlüsselspeicher
   • Schlüsselspeichertyp: PKCS#12
   • Verwenden als: Server
   • Schlüsselspeicherdatei: Klicken Sie auf “Durchsuchen”, um das erstellte PFX-Zertifikat zu suchen.
   • Kennwort: Geben Sie das Kennwort ein, das Sie für dieses Zertifikat erstellt haben.

   

4. Klicken Sie auf Importieren.

5. Prüfen Sie, ob das Zertifikat richtig installiert wurde. Ein richtig installiertes Zertifikat wird als Benutzerzertifikat angezeigt.

Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung

1. Gehen Sie in Einstellungen zu Mehr > Zertifikatverwaltung > PKI-Entitäten.

2. Klicken Sie auf Hinzufügen und dann auf Microsoft Zertifikatdiensteentität. Die Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.

3. Geben Sie die folgenden Parameter ein:

   • Name: Geben Sie einen Namen ein.
   • Stamm-URL des Webregistrierungsdiensts: https://RootCA-URL/certsrv/ Achten Sie darauf, den letzten Schrägstrich (/) im URL-Pfad hinzuzufügen.
   • certnew.cer-Seitenname: certnew.cer (Standardwert)
   • certfnsh.asp: certfnsh.asp (Standardwert)
   • Authentifizierungstyp: Clientzertifikat
   • SSL-Clientzertifikat: Wählen Sie das Benutzerzertifikat aus, das für die Ausstellung des XenMobile-Clientzertifikats verwendet werden soll.

   

4. Fügen Sie unter Vorlagen die Vorlage hinzu, die Sie beim Konfigurieren des Microsoft-Zertifikats erstellt haben. Fügen Sie keine Leerzeichen hinzu.

   

5. Überspringen Sie “HTTP-Parameter” und klicken Sie auf ZS-Zertifikate.

6. Wählen Sie den Namen der Stammzertifizierungsstelle, der mit Ihrer Umgebung übereinstimmt. Diese Stammzertifizierungsstelle gehört zur Kette, die aus dem XenMobile-Clientzertifikat importiert wurde.

   

7. Klicken Sie auf Speichern.

Konfigurieren der Anmeldeinformationsanbieter

1. Navigieren Sie unter Einstellungen zu Mehr > Zertifikatverwaltung > Anbieter für Anmeldeinformationen.

2. Klicken Sie auf Hinzufügen.

3. Geben Sie unter Allgemein die folgenden Parameter ein:

   • Name: Geben Sie einen Namen ein.
   • Beschreibung: Geben Sie eine Beschreibung ein.
   • Ausstellende Entität: Wählen Sie die zuvor erstellte PKI-Entität aus.
   • Ausstellungsmethode: SIGN
   • Vorlagen: Wählen Sie die unter der PKI-Entität hinzugefügte Vorlage aus.

   

4. Klicken Sie auf Zertifikatsignieranforderung und geben Sie die folgenden Parameter ein:

   • Schlüsselalgorithmus: RSA
   • Schlüsselgröße: 2048
   • Signaturalgorithmus: SHA1withRSA
   • Antragsstellername: cn=$user.username

   Klicken Sie für Alternative Antragstellernamen auf Hinzufügen und geben Sie die folgenden Parameter ein:

   • Typ: Benutzerprinzipalname
   • Wert: $user.userprincipalname

   

5. Klicken Sie auf Verteilung und geben Sie die folgenden Parameter ein:

   • Zertifikat der austellenden ZS: Wählen Sie die ausstellende Zertifizierungsstelle, die das XenMobile-Clientzertifikat signiert hat.
   • Verteilungsmodus wählen: Wählen Sie Bevorzugt zentralisiert: Schlüssel serverseitig generieren.

   

6. Legen Sie für die zwei folgenden Abschnitte XenMobile-Sperrung und PKI-Sperrung die Parameter nach Bedarf fest. In diesem Beispiel werden beide Optionen übersprungen.

7. Klicken Sie auf Verlängerung.

8. Wählen Sie für Zertifikate erneuern, wenn sie ablaufen die Option EIN.

9. Behalten Sie für alle anderen Einstellungen die Standardwerte bei oder ändern Sie sie nach Bedarf.

   

10. Klicken Sie auf Speichern.

Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung

Beim Hinzufügen von Secure Mail zu XenMobile müssen Sie die Exchange-Einstellungen unter App-Einstellungen konfigurieren.

Konfigurieren der NetScaler-Zertifikatbereitstellung in XenMobile

1. Melden Sie sich bei der XenMobile-Konsole an und klicken Sie auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

2. Klicken Sie unter Server auf NetScaler Gateway.

3. Wenn NetScaler Gateway noch nicht hinzugefügt wurde, klicken Sie auf Hinzufügen und legen Sie folgende Einstellungen fest:

   • Externe URL: https://YourNetScalerGatewayURL
   • Anmeldetyp: Zertifikat
   • Kennwort erforderlich: AUS
   • Als Standard setzen: EIN

4. Legen Sie Benutzerzertifikat für Authentifizierung bereitstellen auf Ein fest.

   

5. Wählen Sie unter Anmeldeinformationsanbieter einen Anbieter und klicken Sie auf Speichern.

6. Zum Verwenden von sAMAccount-Attributen anstelle des UPN (Benutzerprinzipalname) in den Benutzerzertifikaten konfigurieren Sie den LDAP-Connector in XenMobile folgendermaßen: Navigieren Sie zu Einstellungen > LDAP, wählen Sie das Verzeichnis, klicken Sie auf Bearbeiten und wählen Sie für Benutzersuche nach die Option sAMAccountName.

   

Aktivieren der Citrix PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.

Erstellen einer Enterprise Hub-Richtlinie für Windows Phone

Für Windows Phone-Geräte müssen Sie eine Unternehmenshub-Geräterichtlinie zum Bereitstellen der AETX-Datei und des Secure Hub-Clients erstellen.

Hinweis:

Stellen Sie sicher, dass sowohl AETX- als auch Secure Hub-Dateien:

• das gleiche Unternehmenszertifikat vom Zertifikatanbieter verwenden.
• die gleiche Publisher-ID aus dem Windows Store-Entwicklerkontenprofil verwenden.

1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien.

2. Klicken Sie auf Hinzufügen und dann unter Mehr > XenMobile-Agent auf Enterprise Hub.

3. Nach Eingabe eines Namens für die Richtlinie wählen Sie die richtige AETX-Datei und signierte Secure Hub-App für den Enterprise Hub aus.

   

4. Weisen Sie die Richtlinie Bereitstellungsgruppen zu und speichern Sie sie.

Problembehandlung bei der Clientzertifikatkonfiguration

Wenn die Konfiguration wie oben beschrieben erfolgt ist und auch NetScaler Gateway konfiguriert wurde, sieht der Workflow für Benutzer folgendermaßen aus:

1. Der Benutzer registriert sein mobiles Gerät.

2. XenMobile fordert den Benutzer auf, eine Citrix PIN zu erstellen.

3. Der Benutzer wird an den XenMobile Store weitergeleitet.

4. Wenn der Benutzer Secure Mail startet, wird er nicht zur Eingabe von Anmeldeinformationen zum Konfigurieren des Postfachs aufgefordert. Stattdessen fordert Secure Mail das Clientzertifikat aus Secure Hub an und sendet es zur Authentifizierung an Microsoft Exchange Server. Wenn XenMobile beim Starten von Secure Mail durch die Benutzer die Eingabe von Anmeldeinformationen anfordert, prüfen Sie die Konfiguration.

Wenn die Benutzer Secure Mail herunterladen und installieren können, die Postfachkonfiguration jedoch nicht abgeschlossen werden kann, führen Sie folgende Schritte aus:

1. Wenn Microsoft Exchange Server ActiveSync private SSL-Serverzertifikate zum Schützen des Datenverkehrs verwendet, vergewissern Sie sich, dass Stamm- und Zwischenzertifikat auf dem Mobilgerät installiert sind.

2. Vergewissern Sie sich, dass für ActiveSync der Authentifizierungstyp Clientzertifikate anfordern festgelegt ist.

   

3. Vergewissern Sie sich, dass in Microsoft Exchange Server für die Site Microsoft-Server-ActiveSync die Authentifizierung über Clientzertifikatzuordnung aktiviert ist. Standardmäßig ist die Authentifizierung über Clientzertifikatzuordnung deaktiviert. Die Option befindet sich unter Konfigurationseditor > Sicherheit > Authentifizierung.

   

   Klicken Sie nach der Auswahl von True auf Anwenden, damit die Änderungen wirksam werden.

4. Überprüfen Sie die NetScaler Gateway-Einstellungen in der XenMobile-Konsole: Vergewissern Sie sich, dass Benutzerzertifikat für Authentifizierung bereitstellen auf EIN festgelegt ist und für Anmeldeinformationsanbieter das richtige Profil ausgewählt wurde.

Ermitteln, ob das Clientzertifikat auf einem Mobilgerät bereitgestellt wurde

1. Navigieren Sie in der XenMobile-Konsole zu Verwalten > Geräte und wählen Sie das Gerät.

2. Klicken Sie auf Bearbeiten oder Mehr anzeigen.

3. Navigieren Sie zum Bereich Bereitstellungsgruppen und suchen Sie folgenden Eintrag:

   NetScaler Gateway-Anmeldeinformationen: Requested credential, CertId=

Überprüfen, ob die Clientzertifikataushandlung aktiviert wurde

1. Führen Sie den Befehl netsh aus, um die auf der IIS-Website gebundene SSL-Zertifikatkonfiguration anzuzeigen:

   netsh http show sslcert

2. Wenn der Wert für Negotiate Client Certificate mit Disabled angegeben ist, aktivieren Sie die Aushandlung mit folgendem Befehl:

   netsh http delete sslcert ipport=0.0.0.0:443

   netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

   Beispiel:

   netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Wenn Sie über XenMobile keine Stamm-/Zwischenzertifikate auf einem Windows Phone 8.1-Gerät bereitstellen können, gehen Sie folgendermaßen vor:

• Senden Sie Stamm-/Zwischenzertifikate (CER-Dateien) per E-Mail an das Windows Phone 8.1-Gerät und installieren Sie sie direkt.

Wenn Secure Mail nicht unter Windows Phone 8.1 installiert werden kann, überprüfen Sie Folgendes:

• Das Anwendungsregistrierungstoken (.AETX) wird mit XenMobile über die Enterprise Hub-Richtlinie bereitgestellt.
• Das Anwendungsregistrierungstoken wurde mit dem gleichen Enterprise-Zertifikat des Zertifikatanbieters erstellt, das zum Umschließen von Apps und zum Signieren von Secure Hub-Apps verwendet wird.
• Zum Signieren und Umschließen von Secure Hub, Secure Mail und Anwendungsregistrierungstoken wird die gleiche Aussteller-ID verwendet.