XenMobile Server

Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne

Standardmäßig ist XenMobile für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die XenMobile-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. In der XenMobile-Umgebung bietet diese Konfiguration das beste Gleichgewicht zwischen Sicherheit und Benutzererfahrung. Die Authentifizierung per Zertifikat und Domäne bietet die besten SSO-Möglichkeiten in Kombination mit der von der zweistufigen Authentifizierung unter Citrix ADC gebotenen Sicherheit.

Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie die Authentifizierung per Zertifikat und Domäne mit der Citrix-PIN und Active Directory-Kennwortcaching kombinieren. Die Benutzer müssen dann ihre LDAP-Benutzernamen und -Kennwörter nicht wiederholt eingeben. Die Benutzer geben Benutzernamen und Kennwörter für die Registrierung sowie bei Kennwortablauf und Kontosperrung ein.

Wichtig:

Der Authentifizierungsmodus kann nicht von Domänenauthentifizierung in einen anderen Authentifizierungsmodus geändert werden, nachdem Benutzer die Geräte bei XenMobile registriert haben.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten XenMobile eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von XenMobile generiert wird. Sobald ein Benutzer Zugriff hat, erstellt XenMobile das Zertifikat, das für die Authentifizierung bei der XenMobile-Umgebung verwendet wird, und stellt dieses bereit.

Sie können die in XenMobile erforderliche Konfiguration mit dem Citrix ADC für XenMobile-Assistenten durchführen, wenn Sie die Citrix ADC-Authentifizierung per Zertifikat oder per Zertifikat und Domäne verwenden. Sie können den Citrix ADC für XenMobile-Assistenten nur einmal ausführen.

In Hochsicherheitsumgebungen stellt die Verwendung von LDAP-Anmeldeinformationen außerhalb der Organisation in öffentlichen oder unsicheren Netzwerken eine große Sicherheitsbedrohung dar. In solchen Umgebungen kann die zweistufige Authentifizierung mit Clientzertifikat und Sicherheitstoken verwendet werden. Weitere Informationen finden Sie unter Configuring XenMobile for Certificate and Security Token Authentication.

Die Clientzertifikatauthentifizierung steht im XenMobile-MAM-Modus (Nur-MAM-Modus) und im ENT-Modus (wenn Benutzer sich bei MDM registrieren) zur Verfügung. Die Clientzertifikatauthentifizierung steht im XenMobile-ENT-Modus nicht zur Verfügung, wenn Benutzer sich im Legacy-MAM-Modus registrieren. Zum Verwenden von Clientzertifikatauthentifizierung im Enterprise- oder MAM-Modus müssen Sie den Microsoft-Server, XenMobile Server und dann Citrix Gateway konfigurieren. Folgen Sie den in diesem Artikel beschriebenen allgemeinen Schritten.

Auf dem Microsoft-Server:

  1. Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu.
  2. Fügen Sie der Zertifizierungsstelle (ZS) eine Vorlage hinzu.
  3. Erstellen Sie ein PFX-Zertifikat vom ZS-Server.

Auf dem XenMobile-Server:

  1. Laden Sie das Zertifikat in XenMobile hoch.
  2. Erstellen Sie die PKI-Entität für zertifikatbasierte Authentifizierung.
  3. Konfigurieren Sie Anmeldeinformationsanbieter.
  4. Konfigurieren Sie Citrix Gateway, um ein Benutzerzertifikat für die Authentifizierung bereitzustellen.

Informationen über die Citrix Gateway-Konfiguration finden Sie in folgenden Artikeln der Citrix ADC-Dokumentation:

Voraussetzungen

  • Vermeiden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage die Verwendung von Sonderzeichen. Verwenden in Vorlagennamen beispielsweise nicht folgende Zeichen: : ! $ () # % + * ~ ? | {} []

  • Informationen zum Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync finden Sie in diesem Microsoft-Blog. Konfigurieren Sie die Serversite für die Zertifizierungsstelle, so dass Exchange ActiceSync Clientzertifikate anfordert.
  • Wenn Sie private Serverzertifikate zum Schützen des ActiveSync-Datenverkehrs an Exchange Server verwenden, müssen die mobilen Geräte alle erforderlichen Stamm- und Zwischenzertifikate haben. Ansonsten schlägt die zertifikatbasierte Authentifizierung beim Einrichten des Postfachs in Secure Mail fehl. In der Exchange-IIS-Konsole müssen Sie folgende Schritte ausführen:
    • Website für die Verwendung durch XenMobile mit Exchange hinzufügen und das Webserverzertifikat binden
    • Port 9443 verwenden
    • Für die Website zwei Anwendungen hinzufügen, eine für “Microsoft-Server-ActiveSync” und eine für “EWS”. Wählen Sie für beide Anwendungen unter SSL-Einstellungen die Option SSL erforderlich aus.

Fügen Sie der Microsoft Management Console ein Zertifikat-Snap-In hinzu

  1. Öffnen Sie die Konsole und klicken Sie auf Snap-In hinzufügen/entfernen.

  2. Fügen Sie die folgenden Snap-Ins hinzu:

    • Zertifikatvorlagen
    • Zertifikate (lokaler Computer)
    • Zertifikate – aktueller Benutzer
    • Zertifizierungsstelle (lokal)

    Microsoft Management Console

  3. Erweitern Sie Zertifikatvorlagen.

    Microsoft Management Console

  4. Wählen Sie die Vorlage Benutzer und dann Doppelte Vorlage.

    Microsoft Management Console

  5. Geben Sie den Anzeigenamen der Vorlage an.

    Wichtig:

    Aktivieren Sie das Kontrollkästchen für Zertifikat in Active Directory veröffentlichen nur bei Bedarf. Wenn diese Option aktiviert ist, werden alle Benutzerclientzertifikate in Active Directory erstellt, wodurch die Active Directory-Datenbank überladen werden kann.

  6. Wählen Sie als Vorlagentyp Windows 2003 Server. Wählen Sie in Windows 2012 R2-Server unter Kompatibilität die Option Zertifizierungsstelle und legen Sie als Empfänger Windows 2003 fest.

  7. Wählen Sie unter Sicherheit in der Spalte Zulassen die Option Registrieren für die Benutzer, die mit PKI-Entitätseinstellungen für XenMobile Server konfiguriert sind, oder für die Benutzergruppen mit Benutzern, die mit PKI-Entitätseinstellungen konfiguriert sind.

    Microsoft Management Console

  8. Geben Sie unter Kryptografie die Schlüsselgröße an. Sie geben die Schlüsselgröße später bei der XenMobile-Konfiguration ein.

    Microsoft Management Console

  9. Wählen Sie unter Antragstellername die Option Informationen werden in der Anforderung angegeben aus. Wenden Sie die Änderungen an und speichern Sie.

    Microsoft Management Console

Hinzufügen der Vorlage zur Zertifizierungsstelle

  1. Navigieren Sie zu Zertifizierungsstelle und wählen Sie Zertifikatvorlagen.

  2. Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Neu > Auszustellende Zertifikatvorlage.

    Microsoft Management Console

  3. Wählen Sie die im vorherigen Schritt erstellte Vorlage und klicken Sie auf OK, um sie der Zertifizierungsstelle hinzuzufügen.

    Microsoft Management Console

Erstellen eines PFX-Zertifikats vom ZS-Server

  1. Erstellen Sie mit dem Dienstkonto, mit dem Sie sich angemeldet haben, ein PFX-Benutzerzertifikat. Diese PFX-Datei wird in XenMobile hochgeladen, um ein Benutzerzertifikat im Namen der Benutzer anzufordern, die ihre Geräte registrieren.

  2. Erweitern Sie Zertifikate unter Aktueller Benutzer.

  3. Klicken Sie mit der rechten Maustaste in den rechten Bereich und klicken Sie auf Neues Zertifikat anfordern.

    Microsoft Management Console

  4. Der Bildschirm Zertifikatregistrierung wird angezeigt. Klicken Sie auf Weiter.

    Microsoft Management Console

  5. Wählen Sie Active Directory-Registrierungsrichtlinie und klicken Sie auf Weiter.

    Microsoft Management Console

  6. Wählen Sie die Vorlage Benutzer und klicken Sie auf Registrieren.

    Microsoft Management Console

  7. Exportieren Sie die PFX-Datei, die Sie im vorherigen Schritt erstellt haben.

    Microsoft Management Console

  8. Klicken Sie auf Ja, privaten Schlüssel exportieren.

    Microsoft Management Console

  9. Aktivieren Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren.

    Microsoft Management Console

  10. Legen Sie ein Kennwort für den Upload des Zertifikats in XenMobile fest.

    Microsoft Management Console

  11. Speichern Sie das Zertifikat auf Ihrer Festplatte.

Hochladen des Zertifikats in XenMobile

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Zertifikate und dann auf Importieren.

  3. Geben Sie die folgenden Parameter ein:

    • Importieren: Schlüsselspeicher
    • Schlüsselspeichertyp: PKCS#12
    • Verwenden als: Server
    • Schlüsselspeicherdatei: Klicken Sie auf Durchsuchen, um das erstellte .pfx-Zertifikat zu suchen.
    • Kennwort: Geben Sie das Kennwort ein, das Sie für dieses Zertifikat erstellt haben.

    Bildschirm zur Zertifikatkonfiguration

  4. Klicken Sie auf Importieren.

  5. Prüfen Sie, ob das Zertifikat richtig installiert wurde. Ein richtig installiertes Zertifikat wird als Benutzerzertifikat angezeigt.

Erstellen der PKI-Entität für die zertifikatbasierte Authentifizierung

  1. Gehen Sie in Einstellungen zu Mehr > Zertifikatverwaltung > PKI-Entitäten.

  2. Klicken Sie auf Hinzufügen und dann auf Microsoft Zertifikatdiensteentität. Der Bildschirm Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.

  3. Geben Sie die folgenden Parameter ein:

    • Name: Geben Sie einen Namen ein.
    • Stamm-URL des Webregistrierungsdiensts: https://RootCA-URL/certsrv/ Achten Sie darauf, den letzten Schrägstrich (/) im URL-Pfad hinzuzufügen.
    • certnew.cer-Seitenname: certnew.cer (Standardwert)
    • certfnsh.asp: certfnsh.asp (Standardwert)
    • Authentifizierungstyp: Clientzertifikat
    • SSL-Clientzertifikat: Wählen Sie das Benutzerzertifikat aus, das zum Ausstellen des XenMobile-Clientzertifikats verwendet werden soll.

    Bildschirm zur Zertifikatkonfiguration

  4. Fügen Sie unter Vorlagen die Vorlage hinzu, die Sie beim Konfigurieren des Microsoft-Zertifikats erstellt haben. Fügen Sie keine Leerzeichen hinzu.

    Bildschirm zur Zertifikatkonfiguration

  5. Überspringen Sie “HTTP-Parameter” und klicken Sie auf ZS-Zertifikate.

  6. Wählen Sie den Namen der Stammzertifizierungsstelle, der mit Ihrer Umgebung übereinstimmt. Diese Stammzertifizierungsstelle gehört zur Kette, die aus dem XenMobile-Clientzertifikat importiert wurde.

    Bildschirm zur Zertifikatkonfiguration

  7. Klicken Sie auf Speichern.

Konfigurieren der Anmeldeinformationsanbieter

  1. Navigieren Sie unter Einstellungen zu Mehr > Zertifikatverwaltung > Anbieter für Anmeldeinformationen.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie unter Allgemein die folgenden Parameter ein:

    • Name: Geben Sie einen Namen ein.
    • Beschreibung: Geben Sie eine Beschreibung ein.
    • Ausstellende Entität: Wählen Sie die zuvor erstellte PKI-Entität aus.
    • Ausstellungsmethode: SIGN
    • Vorlagen: Wählen Sie die unter der PKI-Entität hinzugefügte Vorlage aus.

    Bildschirm zur Konfiguration des Anmeldeinformationsanbieters

  4. Klicken Sie auf Zertifikatsignieranforderung und geben Sie die folgenden Parameter ein:

    • Schlüsselalgorithmus: RSA
    • Schlüsselgröße: 2048
    • Signaturalgorithmus: SHA256withRSA
    • Antragsstellername: cn=$user.username

    Klicken Sie für Alternative Antragstellernamen auf Hinzufügen und geben Sie die folgenden Parameter ein:

    • Typ: Benutzerprinzipalname
    • Wert: $user.userprincipalname

    Bildschirm zur Konfiguration des Anmeldeinformationsanbieters

  5. Klicken Sie auf Verteilung und geben Sie die folgenden Parameter ein:

    • Zertifikat der ausstellenden ZS: Wählen Sie die ausstellende Zertifizierungsstelle, die das XenMobile-Clientzertifikat signiert hat.
    • Verteilungsmodus wählen: Wählen Sie Bevorzugt zentralisiert: Schlüssel serverseitig generieren.

    Bildschirm zur Konfiguration des Anmeldeinformationsanbieters

  6. Legen Sie für die zwei folgenden Abschnitte XenMobile-Sperrung und PKI-Sperrung die Parameter nach Bedarf fest. In diesem Beispiel werden beide Optionen übersprungen.

  7. Klicken Sie auf Verlängerung.

  8. Wählen Sie für Zertifikate erneuern, wenn sie ablaufen die Option EIN.

  9. Behalten Sie für alle anderen Einstellungen die Standardwerte bei oder ändern Sie sie nach Bedarf.

    Bildschirm zur Konfiguration des Anmeldeinformationsanbieters

  10. Klicken Sie auf Speichern.

Konfigurieren von Secure Mail für die zertifikatbasierte Authentifizierung

Beim Hinzufügen von Secure Mail zu XenMobile müssen Sie die Exchange-Einstellungen unter App-Einstellungen konfigurieren.

Apps-Konfigurationsbildschirm

Konfigurieren der Citrix ADC-Zertifikatbereitstellung in XenMobile

  1. Melden Sie sich bei der XenMobile-Konsole an und klicken Sie auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Citrix Gateway.

  3. Wenn Citrix Gateway noch nicht hinzugefügt wurde, klicken Sie auf Hinzufügen und legen Sie folgende Einstellungen fest:

    • Externe URL: https://YourCitrixGatewayURL
    • Anmeldetyp: Zertifikat und Domäne
    • Kennwort erforderlich: AUS
    • Als Standard setzen: EIN
  4. Legen Sie Benutzerzertifikat für Authentifizierung bereitstellen auf Ein fest.

    Citrix Gateway-Konfigurationsbildschirm

  5. Wählen Sie unter Anmeldeinformationsanbieter einen Anbieter und klicken Sie auf Speichern.

  6. Zum Verwenden von sAMAccount-Attributen anstelle des UPN (Benutzerprinzipalname) in den Benutzerzertifikaten konfigurieren Sie den LDAP-Connector in XenMobile folgendermaßen: Navigieren Sie zu Einstellungen > LDAP, wählen Sie das Verzeichnis, klicken Sie auf Bearbeiten und wählen Sie für Benutzersuche nach die Option sAMAccountName.

    LDAP-Konfigurationsbildschirm

Aktivieren der Citrix-PIN und der Zwischenspeicherung von Benutzerkennwörtern

Um die Citrix-PIN und die Zwischenspeicherung von Benutzerkennwörtern zu aktivieren, gehen Sie zu Einstellungen > Clienteigenschaften und aktivieren Sie die Kontrollkästchen Enable Citrix-PIN Authentication und Enable User Password Caching. Weitere Informationen finden Sie unter Clienteigenschaften.

Problembehandlung bei der Clientzertifikatkonfiguration

Wenn die Konfiguration wie oben beschrieben erfolgt ist und auch Citrix Gateway konfiguriert wurde, sieht der Workflow für Benutzer folgendermaßen aus:

  1. Der Benutzer registriert sein mobiles Gerät.

  2. XenMobile fordert den Benutzer auf, eine Citrix PIN zu erstellen.

  3. Der Benutzer wird an den XenMobile Store weitergeleitet.

  4. Wenn Benutzer Secure Mail starten, fordert XenMobile sie nicht auf, die Benutzeranmeldeinformationen einzugeben, um das Postfach zu konfigurieren. Stattdessen fordert Secure Mail das Clientzertifikat aus Secure Hub an und sendet es zur Authentifizierung an Microsoft Exchange Server. Wenn XenMobile beim Starten von Secure Mail durch die Benutzer die Eingabe von Anmeldeinformationen anfordert, prüfen Sie die Konfiguration.

Wenn die Benutzer Secure Mail herunterladen und installieren können, die Postfachkonfiguration jedoch nicht abgeschlossen werden kann, führen Sie folgende Schritte aus:

  1. Wenn Microsoft Exchange Server ActiveSync private SSL-Serverzertifikate zum Schützen des Datenverkehrs verwendet, vergewissern Sie sich, dass Stamm- und Zwischenzertifikat auf dem Mobilgerät installiert sind.

  2. Vergewissern Sie sich, dass für ActiveSync der Authentifizierungstyp Clientzertifikate anfordern festgelegt ist.

    Bildschirm zu Microsoft ActiveSync-Eigenschaften

  3. Vergewissern Sie sich, dass auf dem Microsoft Exchange Server für die Site Microsoft-Server-ActiveSync die Authentifizierung über Clientzertifikatzuordnung aktiviert ist. Standardmäßig ist die Authentifizierung über Clientzertifikatzuordnung deaktiviert. Die Option befindet sich unter Konfigurationseditor > Sicherheit > Authentifizierung.

    Bildschirm zur Konfiguration von Microsoft ActiveSync

    Klicken Sie nach der Auswahl von True auf Anwenden, damit die Änderungen wirksam werden.

  4. Überprüfen Sie die Citrix Gateway-Einstellungen in der XenMobile-Konsole: Vergewissern Sie sich, dass Benutzerzertifikat für Authentifizierung bereitstellen auf EIN festgelegt ist und für Anmeldeinformationsanbieter das richtige Profil ausgewählt wurde.

Ermitteln, ob das Clientzertifikat auf einem Mobilgerät bereitgestellt wurde

  1. Navigieren Sie in der XenMobile-Konsole zu Verwalten > Geräte und wählen Sie das Gerät.

  2. Klicken Sie auf Bearbeiten oder Mehr anzeigen.

  3. Navigieren Sie zum Bereich Bereitstellungsgruppen und suchen Sie folgenden Eintrag:

    Citrix Gateway-Anmeldeinformationen: Requested credential, CertId=

Überprüfen, ob die Clientzertifikataushandlung aktiviert wurde

  1. Führen Sie den Befehl netsh aus, um die auf der IIS-Website gebundene SSL-Zertifikatkonfiguration anzuzeigen:

    netsh http show sslcert

  2. Wenn der Wert für Negotiate Client Certificate mit Disabled angegeben ist, aktivieren Sie die Aushandlung mit folgendem Befehl:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Beispiel:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable