XenMobile Server

Anmeldeinformationsanbieter

Anmeldeinformationsanbieter sind die Zertifikatkonfigurationen, die Sie in den verschiedenen Teilen des XenMobile-Systems verwenden. Anmeldeinformationsanbieter definieren die Quellen, Parameter und Lebenszyklen von Zertifikaten. Die entsprechenden Vorgänge finden unabhängig davon statt, ob Zertifikate Teil der Gerätekonfiguration oder eigenständig sind (d. h. per Push auf Geräte übertragen werden).

Die Geräteregistrierung schränkt den Lebenszyklus von Zertifikaten ein. Das bedeutet, dass vor einer Registrierung keine Zertifikate von XenMobile ausgegeben werden, allerdings eventuell im Rahmen der Registrierung. Außerdem werden Zertifikate, die von der internen PKI im Zusammenhang mit einer Registrierung ausgegeben wurden, gesperrt, wenn die Registrierung widerrufen wird. Nach dem Ende der Verwaltungsbeziehung verbleiben keine gültigen Zertifikate.

Sie können eine Anmeldeinformationsanbieter-Konfiguration an verschiedenen Stellen verwenden, eine Konfiguration kann daher beliebig viele Zertifikate zugleich steuern. Dies läuft dann bei der Bereitstellungsressource und der Bereitstellung zusammen. Wenn beispielsweise der Anmeldeinformationsanbieter P auf Gerät D im Rahmen der Konfiguration C bereitgestellt wird, gelten die Ausstellungseinstellungen von P für das auf Gerät D bereitgestellte Zertifikat. Gleichermaßen gelten die Erneuerungseinstellungen von D, wenn C aktualisiert wird. Die Sperreinstellungen für D gelten, wenn C gelöscht oder wenn D widerrufen wird.

Dies bedeutet, dass der Anmeldeinformationsanbieter in XenMobile Folgendes bestimmt:

  • Die Quelle für Zertifikate.
  • Die Methode des Bezugs von Zertifikaten: Signieren eines neuen Zertifikats oder Abruf (Wiederherstellung) eines vorhandenen Zertifikat-/Schlüsselpaars.
  • Die Parameter für die Ausstellung/Wiederherstellung von Zertifikaten. Beispielsweise CSR-Parameter wie Schlüssellänge, Schlüsselalgorithmus und Zertifikaterweiterungen.
  • Die Art und Weise, in der Zertifikate auf Geräten bereitgestellt werden.
  • Die Sperrbedingungen. Zwar werden alle Zertifikate bei Beenden der Verwaltungsbeziehung in XenMobile gesperrt, durch die Konfiguration kann jedoch auch eine frühere Sperrung festgelegt sein. Zum Beispiel kann die Konfiguration festlegen, dass ein Zertifikat widerrufen wird, wenn die zugehörige Gerätekonfiguration gelöscht wird. Außerdem kann unter bestimmten Bedingungen die Sperrung eines Zertifikats in XenMobile an die Back-End-PKI (Public Key-Infrastruktur) gesendet werden. Das bedeutet, dass die Zertifikatsperrung in XenMobile eine Zertifikatssperrung in der PKI verursachen kann.
  • Erneuerungseinstellungen Zertifikate, die über einen bestimmten Anmeldeinformationsanbieter bezogen werden, können automatisch erneuert werden, wenn sie kurz vor dem Ablauf stehen. Unabhängig davon können Benachrichtigungen ausgegeben werden, wenn sich das Ablaufdatum nähert.

Welche Konfigurationsoptionen verfügbar sind, hängt hauptsächlich davon ab, welche PKI-Entität und Ausstellungsmethode Sie für einen Anmeldeinformationsanbieter ausgewählt haben.

Methoden der Zertifikatausstellung

Sie können ein Zertifikat durch Signieren erhalten, dies wird als Ausstellungsmethode bezeichnet.

Bei dieser Methode werden ein privater Schlüssel und eine Zertifikatsignieranforderung (CSR) erstellt und die CSR zum Signieren an eine Zertifizierungsstelle (ZS) übermittelt. XenMobile unterstützt die Signiermethode sowohl für MS-Zertifikatdiensteentitäten als auch eigenverwaltete Zertifizierungsstellen.

Ein Anmeldeinformationsanbieter verwendet die Signiermethode für die Zertifikatausstellung.

Zertifikatbereitstellung

Es gibt zwei Arten der Zertifikatbereitstellung in XenMobile: zentral und verteilt. Im verteilten Modus wird Simple Certificate Enrollment Protocol (SCEP) verwendet. Dies ist nur möglich, wenn der Client das Protokoll unterstützt (nur iOS). Der verteilte Modus ist in bestimmten Situationen verbindlich.

Damit ein Anmeldeinformationsanbieter die verteilte Bereitstellung mit SCEP unterstützt, ist ein spezieller Konfigurationsschritt, nämlich das Einrichten von Registrierungsstellenzertifikaten (RA-Zertifikate), erforderlich. RA-Zertifikate sind erforderlich, weil XenMobile bei Verwendung des SCEP-Protokolls als Delegate (erweiterte Registrierungsstelle) für die tatsächliche Zertifizierungsstelle fungiert. XenMobile muss dem Client nachweisen, dass die Berechtigung hierzu vorliegt. Diese Berechtigung ist durch das Hochladen der o. g. Zertifikate für XenMobile gegeben.

Es sind zwei unterschiedliche Zertifikatrollen erforderlich (die allerdings durch ein einzelnes Zertifikat erfüllt werden können): RA-Signatur und RA-Verschlüsselung. Für diese Rollen gilt Folgendes:

  • Das RA-Signaturzertifikat muss eine digitale Signatur mit X.509-Schlüsselverwendung haben.
  • Das RA-Verschlüsselungszertifikat muss die X.509-Schlüsselchiffrierung haben.

Zum Konfigurieren von RA-Zertifikaten für einen Anmeldeinformationsanbieter laden Sie die Zertifikate in XenMobile hoch und verknüpfen sie mit dem Anmeldeinformationsanbieter.

Ein Anmeldeinformationsanbieter unterstützt die verteilte Bereitstellung nur, wenn er ein für Zertifikatrollen konfiguriertes Zertifikat hat. Jeder Anmeldeinformationsanbieter kann so konfiguriert werden, dass er den zentralen Modus oder den verteilten Modus bevorzugt oder den verteilten Modus erfordert. Das Resultat hängt vom Kontext ab: Unterstützt dieser den verteilten Modus nicht und der Modus wird vom Anmeldeinformationsanbieter erfordert, schlägt die Bereitstellung fehl. Erfordert der Kontext den verteilten Modus, aber der Anmeldeinformationsanbieter unterstützt diesen nicht, schlägt die Bereitstellung fehl. In allen anderen Fällen wird der als bevorzugt festgelegte Modus verwendet.

Die folgende Tabelle zeigt die SCEP-Verteilung in XenMobile:

Kontext SCEP unterstützt SCEP erforderlich
iOS-Profildienst Ja Ja
Registrierung für die iOS-Mobilgeräteverwaltung Ja Nein
iOS-Konfigurationsprofile Ja Nein
SHTP-Registrierung Nein Nein
Konfigurieren von SHTP Nein Nein
Registrierung von Windows Tablet Nein Nein
Konfiguration von Windows Tablet Nein, mit Ausnahme der Wi-Fi-Richtlinie, die für Windows 10 und Windows 11 unterstützt wird Nein

Zertifikatsperre

Es gibt drei Arten der Sperre.

  • Interne Sperre Die interne Sperre wirkt sich auf den von XenMobile gepflegten Zertifikatstatus aus. XenMobile berücksichtigt diesen Status beim Bewerten eines vorgelegten Zertifikats und beim Bereitstellen von OCSP-Statusinformationen für ein Zertifikat. Die Konfiguration des Anmeldeinformationsanbieters bestimmt, wie sich diverse Bedingungen auf diesen Status auswirken. Beispielsweise kann durch den Anmeldeinformationsanbieter festgelegt sein, dass Zertifikate als gesperrt gekennzeichnet werden, wenn sie vom Gerät gelöscht wurden.
  • Extern weitergegebene Sperre: Eine Sperrung dieser Art (auch “Revocation XenMobile”) gilt für von einer externen PKI bezogene Zertifikate. Das Zertifikat wird in der PKI gesperrt, wenn es unter den in der Konfiguration des Anmeldeinformationsanbieters festgelegten Bedingungen intern von XenMobile gesperrt wird.
  • Extern durchgeführte Sperre: Eine Sperrung dieser Art (auch “Revocation PKI”) gilt ebenfalls nur für von einer externen PKI bezogene Zertifikate. Beim Auswerten des Status von Zertifikaten fragt XenMobile diesen bei der PKI ab. Ist das Zertifikat gesperrt, wird es von XenMobile intern ebenfalls gesperrt. Bei diesen Methoden wird das OCSP-Protokoll verwendet.

Diese drei Arten schließen einander nicht aus, sondern ergänzen einander. Eine externe Sperre kann eine interne Sperre zur Folge haben. Eine interne Sperre wirkt sich möglicherweise auf eine externe Sperre aus.

Zertifikaterneuerung

Eine Zertifikaterneuerung besteht aus der Sperre des bestehenden Zertifikats und der Ausstellung eines neuen Zertifikats.

In XenMobile wird vor Sperrung des vorhandenen Zertifikats versucht, das neue Zertifikat abzurufen, um eine Dienstunterbrechung zu vermeiden, wenn die Ausstellung fehlschlägt. Bei verteilter (SCEP-gestützter) Bereitstellung erfolgt die Sperrung auch erst, wenn das Zertifikat erfolgreich auf einem Gerät installiert wurde. Andernfalls erfolgt die Sperrung, bevor das neue Zertifikat an das Gerät gesendet wird. Die Sperrung ist unabhängig vom Erfolg oder Fehlschlagen der Zertifikatinstallation.

Die Sperrungskonfiguration erfordert die Angabe eines bestimmten Zeitraums (in Tagen). Wenn ein Gerät eine Verbindung herstellt, wird vom Server geprüft, ob das NotAfter-Datum für das Zertifikat nach dem aktuellen Datum minus dem angegebenen Zeitraum liegt. Wenn das Zertifikat diese Bedingung erfüllt, versucht XenMobile, das Zertifikat zu erneuern.

Erstellen eines Anmeldeinformationsanbieters

Die Schritte beim Konfigurieren eines Anmeldeinformationsanbieters variieren hauptsächlich nach ausgewählter ausstellender Entität und Ausstellungsmethode. Sie können zwischen Anmeldeinformationsanbietern unterscheiden, die eine interne oder eine externe Entität verwenden:

  • Eigenverwaltete, XenMobile-interne Entitäten sind interne Entitäten. Die Ausstellungsmethode bei eigenverwalteten Zertifizierungsstellen ist immer “sign”. Das bedeutet, dass bei jeder Ausstellung von XenMobile ein neues Schlüsselpaar mit dem für die Entität ausgewählten ZS-Zertifikat signiert wird. Ob das Schlüsselpaar auf dem Gerät oder auf dem Server generiert wird, hängt von der ausgewählten Verteilungsmethode ab.

  • Zu den externen Entitäten, die Teil der Unternehmensinfrastruktur sind, gehört die Microsoft-Zertifizierungsstelle.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben und dann auf Einstellungen > Anbieter für Anmeldeinformationen.

  2. Klicken Sie auf der Seite Anbieter für Anmeldeinfo auf Hinzufügen.

    Die Seite Anbieter für Anmeldeinformationen: Allgemeine Informationen angezeigt.

  3. Führen Sie auf der Seite Anbieter für Anmeldeinformationen: Allgemeine Informationen folgende Schritte aus:

    • Name: Geben Sie einen eindeutigen Namen für die neue Anbieterkonfiguration ein. Unter diesem Namen wird die Konfiguration anschließend in anderen Teilen der XenMobile-Konsole angezeigt.
    • Beschreibung: Geben Sie eine Beschreibung für den Anmeldeinformationsanbieter ein. Das ist zwar ein optionales Feld, eine Beschreibung kann jedoch nützliche Details über den Anmeldeinformationsanbieter bieten.
    • Ausstellende Entität: Klicken Sie auf die ausstellende Entität.
    • Ausstellungsmethode: Klicken Sie auf Zertifikat signieren oder Zertifikat abrufen, um die Methode auszuwählen, die für den Bezug von Zertifikaten von der konfigurierten Entität verwendet werden soll. Verwenden Sie für die Clientzertifikatauthentifizierung Zertifikat signieren.
    • Wenn die Vorlagenliste verfügbar ist, wählen Sie die Vorlage aus, die Sie für den Anmeldeinformationsanbieter unter der PKI-Entität hinzugefügt haben.

      Die Vorlagen werden verfügbar, wenn Entitäten der Microsoft-Zertifikatdienste über Einstellungen > PKI-Entitäten hinzugefügt werden.

  4. Klicken Sie auf Weiter.

    Die Seite Anbieter für Anmeldeinformationen: Zertifikatsignieranforderung wird angezeigt.

  5. Konfigurieren Sie auf der Seite Anmeldeinformationsanbieter: Zertifikatsignieranforderung die folgenden Einstellungen gemäß Ihrer Zertifikatkonfiguration:

    • Schlüsselalgorithmus: Wählen Sie den Schlüsselalgorithmus für das neue Schlüsselpaar. Verfügbare Werte sind RSA, DSA und ECDSA.

    • Schlüsselgröße: Geben Sie die Länge des Schlüsselpaars in Bit ein. Dieses Feld ist erforderlich.

      Die zulässigen Werte sind abhängig vom Schlüsseltyp. Die maximale Länge für DSA-Schlüssel beträgt beispielsweise 1024 Bit. Zur Vermeidung falscher Negative, die von der verwendeten Hardware oder Software abhängig sind, erzwingt XenMobile keine Schlüssellängen. Testen Sie Anmeldeinformationsanbieter vor Übernahme in die Produktionsumgebung immer in einer Testumgebung.

    • Signaturalgorithmus: Klicken Sie auf einen Wert für das neue Zertifikat. Welche Werte zulässig sind, hängt vom Schlüsselalgorithmus ab.

    • Antragstellername: erforderlich. Geben Sie den Distinguished Name des Antragstellers für das neue Zertifikat ein. Beispiel: CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation

      Verwenden Sie für die Clientzertifikatauthentifizierung beispielsweise die folgenden Einstellungen:

      • Schlüsselalgorithmus: RSA
      • Schlüsselgröße: 2048
      • Signaturalgorithmus: SHA256withRSA
      • Antragsstellername: cn=$user.username
    • Zum Hinzufügen eines Eintrags zur Tabelle Alternative Antragsstellernamen klicken Sie auf Hinzufügen. Wählen Sie den Typ des alternativen Namens aus und geben Sie einen Wert in der zweiten Spalte ein.

      Geben Sie für die Clientzertifikatauthentifizierung Folgendes an:

      • Typ: Benutzerprinzipalname
      • Wert: $user.userprincipalname

        Wie beim Antragstellernamen können Sie im Wertefeld XenMobile-Makros verwenden.

  6. Klicken Sie auf Weiter.

    Die Seite Anbieter für Anmeldeinformationen: Verteilung wird angezeigt.

  7. Führen Sie auf der Seite Anbieter für Anmeldeinformationen: Verteilung folgende Schritte aus:

    • Klicken Sie in der Liste Zertifikat der ausstellenden ZS auf das angebotene ZS-Zertifikat. Da der Anmeldeinformationsanbieter eine eigenverwaltete Zertifizierungsstelle verwendet, erhält er immer das für die Entität selbst konfigurierte ZS-Zertifikat. Die Aufführung hier erfolgt aus Gründen der Konsistenz mit Konfigurationen, in denen externe Entitäten verwendet werden
    • Wählen Sie für Verteilungsmodus wählen eine der folgenden Methoden zum Generieren und Verteilen von Schlüsseln aus:
      • Bevorzugt zentralisiert: Schlüssel serverseitig generieren: Citrix empfiehlt diese Option. Sie unterstützt alle von XenMobile unterstützten Plattformen und ist erforderlich, wenn die Citrix Gateway-Authentifizierung verwendet wird. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und auf die Benutzergeräte verteilt.
      • Bevorzugt verteilt: Schlüssel geräteseitig generieren Die privaten Schlüssel werden auf den Benutzergeräten generiert und gespeichert. Beim verteilten Modus wird SCEP verwendet und es ist ein RA-Verschlüsselungszertifikat mit KeyUsage “keyEncryption” sowie ein RA-Signaturzertifikat mit KeyUsage “digitalSignature” erforderlich. Das gleiche Zertifikat kann für Verschlüsselung und Signieren verwendet werden.
      • Nur verteilt: Schlüssel geräteseitig generieren: Diese Option funktioniert wie “Bevorzugt verteilt: Schlüssel geräteseitig generieren”, doch da sie anstelle einer Bevorzugung eine Ausschließlichkeit definiert, steht keine Option zur Verfügung, wenn die geräteseitige Schlüsselgenerierung fehlschlägt oder nicht verfügbar ist.

    Wenn Sie Bevorzugt verteilt: Schlüssel geräteseitig generieren oder Nur verteilt: Schlüssel geräteseitig generieren ausgewählt haben, klicken Sie auf das gewünschte RA-Signaturzertifikat und das RA-Verschlüsselungszertifikat. Das gleiche Zertifikat kann für beides verwendet werden. Es werden neue Felder für diese Zertifikate eingeblendet.

  8. Klicken Sie auf Weiter.

    Die Seite Anbieter für Anmeldeinformationen: XenMobile-Sperrung wird angezeigt. Auf dieser Seite konfigurieren Sie die Bedingungen, unter denen XenMobile Zertifikate, die über diese Anbieterkonfiguration ausgestellt wurden, intern als gesperrt kennzeichnet.

  9. Führen Sie auf der Seite Anbieter für Anmeldeinformationen: XenMobile-Sperrung folgende Schritte aus:

    • Wählen Sie für Ausgestellte Zertifikate widerrufen eine der Optionen zur Angabe des Zeitpunkts aus, an dem Zertifikate gesperrt werden sollen.
    • Soll XenMobile eine Benachrichtigung bei Sperrung des Zertifikats senden, legen Sie für Benachrichtigung senden die Einstellung Ein fest und wählen Sie eine Benachrichtigungsvorlage aus.

    • Wenn das Zertifikat bei Sperrung durch XenMobile in der PKI gesperrt werden soll, legen Sie für Zertifikat in PKI widerrufen die Option Ein fest und klicken Sie in der Liste Entität auf eine Vorlage. Die Liste “Entität” enthält alle verfügbaren Entitäten mit Sperrfunktion. Wenn das Zertifikat von XenMobile gesperrt wird, wird ein Sperraufruf an die in der Liste Entity ausgewählte PKI gesendet.
  10. Klicken Sie auf Weiter.

    Die Seite Anbieter für Anmeldeinformationen: PKI-Sperrung wird angezeigt. Auf dieser Seite legen Sie fest, welche Aktionen in der PKI auszuführen sind, wenn das Zertifikat gesperrt wird. Darüber hinaus können Sie eine Benachrichtigung einrichten.

  11. Führen Sie auf der Seite Anbieter für Anmeldeinformationen: PKI-Sperrung folgende Schritte aus, wenn Sie Zertifikate über die PKI sperren möchten:

    • Ändern Sie die Einstellung Prüfen der externen Zertifikatsperre aktivieren in Ein. Zusätzliche Felder für die Sperrung werden angezeigt.
    • Klicken Sie in der Liste OCSP Responder für ZS-Zertifikat auf den Distinguished Name (DN) des Zertifikatantragstellers.

      Sie können XenMobile-Makros für Werte im DN-Feld verwenden. Beispiel: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • Klicken Sie in der Liste Wenn Zertifikat widerrufen wird auf eine der folgenden Optionen zum Festzulegen der in der PKI bei Sperrung des Zertifikats auszuführenden Aktionen:

      • Nichts tun
      • Zertifikat erneuern.
      • Gerät widerrufen und löschen
    • Wenn XenMobile eine Benachrichtigung bei Sperrung des Zertifikats senden soll, legen Sie für Benachrichtigung senden die Einstellung Ein fest.

      Sie können eine von zwei Benachrichtigungsoptionen auswählen:

    • Mit Benachrichtigungsvorlage wählen können Sie einen vorhandenen Benachrichtigungstext auswählen und ggf. anpassen. Die entsprechenden Vorlagen sind in der Liste Benachrichtigungsvorlage.
    • Mit Geben Sie die Benachrichtigungsdetails ein können Sie einen eigenen Text eingeben. Neben der E-Mail-Adresse des Empfängers und dem Text können Sie festlegen, wie oft die Benachrichtigung gesendet wird.
  12. Klicken Sie auf Weiter.

    Die Seite Anbieter für Anmeldeinformationen: Verlängerung wird angezeigt. Auf dieser Seite können Sie für XenMobile die Ausführung folgender Schritte festlegen:

    • Zertifikat erneuern. Sie können optional bei Erneuerung des Zertifikats eine entsprechende Benachrichtigung senden und optional bereits abgelaufene Zertifikate von diesem Vorgang ausschließen.
    • Versand einer Benachrichtigung für Zertifikate, deren Ablauf kurz bevorsteht
  13. Gehen Sie auf der Seite Anbieter für Anmeldeinformationen: Verlängerung folgendermaßen vor, um Zertifikate bei Ablauf zu verlängern:

    Legen Sie für Zertifikate erneuern, wenn sie ablaufen die Option Ein fest. Weitere Felder werden angezeigt.

    • Geben Sie im Feld Zertifikat erneuern, wenn es in die Zeit vor Ablauf des Zertifikats in Tagen ein, zu der die Erneuerung erfolgen soll.
    • Wählen Sie optional Bereits abgelaufene Zertifikate nicht erneuern aus. In diesem Zusammenhang bedeutet “bereits abgelaufen”, dass das NotAfter-Datum in der Vergangenheit liegt, und nicht, dass das Zertifikat gesperrt wurde. XenMobile erneuert keine Zertifikate, nachdem sie intern gesperrt wurden.

    Wenn XenMobile eine Benachrichtigung bei Verlängerung des Zertifikats senden soll, legen Sie Benachrichtigung senden auf Ein fest. Wenn XenMobile eine Benachrichtigung bei anstehendem Ablauf des Zertifikats senden soll, legen Sie Benachrichtigen, wenn Zertifikat bald abläuft auf Ein fest. Sie können für beide Einstellungen eine von zwei Benachrichtigungsoptionen auswählen:

    • Benachrichtigungsvorlage wählen: Wählen Sie einen vorhandenen Benachrichtigungstext aus und passen Sie ihn ggf. an. Die entsprechenden Vorlagen sind in der Liste Benachrichtigungsvorlage.
    • Geben Sie die Benachrichtigungsdetails ein: Geben Sie einen eigenen Text ein. Geben Sie die E-Mail-Adresse des Empfängers, eine Nachricht und die Häufigkeit für das Senden der Benachrichtigung an.

    Geben Sie im Feld Benachrichtigung bei Zertifikatablauf in die Zeit vor Ablauf des Zertifikats in Tagen ein, zu der die Benachrichtigung gesendet werden soll.

  14. Klicken Sie auf Speichern.

    Der neue Anbieter wird in der Tabelle der Anmeldeinformationsanbieter angezeigt.

Anmeldeinformationsanbieter