Produktdokumentation
XenMobile® Server
PDF anzeigen

PKI-Entitäten

April 29, 2026
Beitrag von: 
C C

Eine XenMobile® Public Key Infrastructure (PKI)-Entitätskonfiguration stellt eine Komponente dar, die tatsächliche PKI-Operationen (Ausstellung, Widerruf und Statusinformationen) durchführt. Diese Komponenten sind entweder intern oder extern zu XenMobile. Interne Komponenten werden als diskretionär bezeichnet. Externe Komponenten sind Teil Ihrer Unternehmensinfrastruktur.

XenMobile unterstützt die folgenden Arten von PKI-Entitäten:

  • Microsoft Certificate Services

  • Diskretionäre Zertifizierungsstellen (CAs)

XenMobile unterstützt die folgenden CA-Server:

  • Windows Server 2019
  • Windows Server 2016

Hinweis:

Windows Server 2012 R2, 2012 und 2008 R2 werden nicht mehr unterstützt, da sie das Ende ihres Lebenszyklus erreicht haben. Weitere Informationen finden Sie in der Dokumentation zum Lebenszyklus von Microsoft-Produkten.

Allgemeine PKI-Konzepte

Unabhängig von ihrem Typ verfügt jede PKI-Entität über eine Untergruppe der folgenden Funktionen:

  • Signieren: Ausstellen eines neuen Zertifikats, basierend auf einer Zertifikatsignieranforderung (CSR).
  • Abrufen: Wiederherstellen eines vorhandenen Zertifikats und Schlüsselpaars.
  • Widerrufen: Widerrufen eines Clientzertifikats.

Über CA-Zertifikate

Wenn Sie eine PKI-Entität konfigurieren, geben Sie XenMobile an, welches CA-Zertifikat der Signierer von Zertifikaten ist, die von dieser Entität ausgestellt (oder wiederhergestellt) werden. Diese PKI-Entität kann (abgerufene oder neu signierte) Zertifikate zurückgeben, die von beliebig vielen verschiedenen CAs signiert wurden.

Stellen Sie das Zertifikat jeder dieser CAs als Teil der PKI-Entitätskonfiguration bereit. Laden Sie dazu die Zertifikate in XenMobile hoch und referenzieren Sie sie dann in der PKI-Entität. Bei diskretionären CAs ist das Zertifikat implizit das signierende CA-Zertifikat. Bei externen Entitäten müssen Sie das Zertifikat manuell angeben.

Wichtig:

Wenn Sie eine Microsoft Certificate Services-Entitätsvorlage erstellen, vermeiden Sie mögliche Authentifizierungsprobleme mit registrierten Geräten: Verwenden Sie keine Sonderzeichen im Vorlagennamen. Verwenden Sie beispielsweise nicht: ! : $ ( ) # % + * ~ ? | { } [ ]

Microsoft Certificate Services

XenMobile kommuniziert mit Microsoft Certificate Services über dessen Web-Registrierungsschnittstelle. XenMobile unterstützt nur die Ausstellung neuer Zertifikate über diese Schnittstelle. Wenn die Microsoft CA ein Citrix Gateway-Benutzerzertifikat generiert, unterstützt Citrix Gateway die Verlängerung und den Widerruf dieser Zertifikate.

Um eine Microsoft CA PKI-Entität in XenMobile zu erstellen, müssen Sie die Basis-URL der Web-Schnittstelle der Zertifikatdienste angeben. Falls gewünscht, verwenden Sie die SSL-Clientauthentifizierung, um die Verbindung zwischen XenMobile und der Web-Schnittstelle der Zertifikatdienste zu sichern.

Eine Microsoft Certificate Services-Entität hinzufügen

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke der Konsole und dann auf PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü mit PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Microsoft Certificate Services-Entität.

    Die Seite Microsoft Certificate Services-Entität: Allgemeine Informationen wird angezeigt.

  4. Konfigurieren Sie auf der Seite Microsoft Certificate Services-Entität: Allgemeine Informationen die folgenden Einstellungen:

    • Name: Geben Sie einen Namen für Ihre neue Entität ein, den Sie später verwenden, um auf diese Entität zu verweisen. Entitätsnamen müssen eindeutig sein.
    • Stamm-URL des Web-Registrierungsdienstes: Geben Sie die Basis-URL Ihres Microsoft CA-Web-Registrierungsdienstes ein; zum Beispiel https://192.0.2.13/certsrv/. Die URL kann reines HTTP oder HTTP-over-SSL verwenden.
    • Name der Seite certnew.cer: Der Name der Seite certnew.cer. Verwenden Sie den Standardnamen, es sei denn, Sie haben ihn aus irgendeinem Grund umbenannt.
    • certfnsh.asp: Der Name der Seite certfnsh.asp. Verwenden Sie den Standardnamen, es sei denn, Sie haben ihn aus irgendeinem Grund umbenannt.
    • Authentifizierungstyp: Wählen Sie die Authentifizierungsmethode aus, die Sie verwenden möchten.
      • Keine
      • HTTP Basic: Geben Sie den Benutzernamen und das Kennwort ein, die für die Verbindung erforderlich sind.
      • Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.

  5. Klicken Sie auf Verbindung testen, um sicherzustellen, dass der Server zugänglich ist. Wenn er nicht zugänglich ist, wird eine Meldung angezeigt, die besagt, dass die Verbindung fehlgeschlagen ist. Überprüfen Sie Ihre Konfigurationseinstellungen.

  6. Klicken Sie auf Weiter.

    Die Seite Microsoft Certificate Services-Entität: Vorlagen wird angezeigt. Auf dieser Seite geben Sie die internen Namen der Vorlagen an, die Ihre Microsoft CA unterstützt. Beim Erstellen von Anmeldeinformationsanbietern wählen Sie eine Vorlage aus der hier definierten Liste aus. Jeder Anmeldeinformationsanbieter, der diese Entität verwendet, verwendet genau eine solche Vorlage.

    Informationen zu den Vorlagenanforderungen für Microsoft Certificate Services finden Sie in der Microsoft-Dokumentation für Ihre Microsoft Server-Version. XenMobile hat keine Anforderungen an die von ihm verteilten Zertifikate, außer den in Zertifikate genannten Zertifikatformaten.

  7. Klicken Sie auf der Seite Microsoft Certificate Services-Entität: Vorlagen auf Hinzufügen, geben Sie den Namen der Vorlage ein und klicken Sie dann auf Speichern. Wiederholen Sie diesen Schritt für jede Vorlage, die Sie hinzufügen möchten.

  8. Klicken Sie auf Weiter.

    Die Seite Microsoft Certificate Services-Entität: HTTP-Parameter wird angezeigt. Auf dieser Seite geben Sie benutzerdefinierte Parameter an, die XenMobile der HTTP-Anforderung an die Microsoft Web-Registrierungsschnittstelle hinzufügen soll. Benutzerdefinierte Parameter sind nur für angepasste Skripte nützlich, die auf der CA ausgeführt werden.

  9. Klicken Sie auf der Seite Microsoft Certificate Services-Entität: HTTP-Parameter auf Hinzufügen, geben Sie den Namen und den Wert der HTTP-Parameter ein, die Sie hinzufügen möchten, und klicken Sie dann auf Weiter.

    Die Seite Microsoft Certificate Services-Entität: CA-Zertifikate wird angezeigt. Auf dieser Seite müssen Sie XenMobile über die Signierer der Zertifikate informieren, die das System über diese Entität erhält. Wenn Ihr CA-Zertifikat erneuert wird, aktualisieren Sie es in XenMobile. XenMobile wendet die Änderung transparent auf die Entität an.

  10. Wählen Sie auf der Seite Microsoft Certificate Services-Entität: CA-Zertifikate die Zertifikate aus, die Sie für diese Entität verwenden möchten.

  11. Klicken Sie auf Speichern.

    Die Entität wird in der PKI-Entitätstabelle angezeigt.

Citrix ADC Zertifikatsperrliste (CRL)

XenMobile unterstützt die Zertifikatsperrliste (CRL) nur für eine Drittanbieter-Zertifizierungsstelle. Wenn Sie eine Microsoft CA konfiguriert haben, verwendet XenMobile Citrix ADC zur Verwaltung des Widerrufs.

Wenn Sie die clientzertifikatbasierte Authentifizierung konfigurieren, sollten Sie die Citrix ADC Zertifikatsperrliste (CRL)-Einstellung CRL-Auto-Refresh aktivieren konfigurieren. Dieser Schritt stellt sicher, dass der Benutzer eines Geräts im MAM-only-Modus sich nicht mit einem vorhandenen Zertifikat auf dem Gerät authentifizieren kann.

XenMobile stellt ein neues Zertifikat erneut aus, da es einen Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, nachdem eines widerrufen wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn die CRL nach abgelaufenen PKI-Entitäten sucht.

Diskretionäre CAs

Eine diskretionäre CA wird erstellt, wenn Sie XenMobile ein CA-Zertifikat und den zugehörigen privaten Schlüssel bereitstellen. XenMobile verwaltet die Zertifikatsausstellung, den Widerruf und Statusinformationen intern, gemäß den von Ihnen angegebenen Parametern.

Beim Konfigurieren einer diskretionären CA können Sie die Unterstützung für das Online Certificate Status Protocol (OCSP) für diese CA aktivieren. Nur wenn Sie die OCSP-Unterstützung aktivieren, fügt die CA die Erweiterung id-pe-authorityInfoAccess zu den von der CA ausgestellten Zertifikaten hinzu. Die Erweiterung verweist auf den internen XenMobile OCSP-Responder unter folgendem Speicherort:

https://<server>/<instance>/ocsp

Beim Konfigurieren des OCSP-Dienstes geben Sie ein OCSP-Signaturzertifikat für die betreffende diskretionäre Entität an. Sie können das CA-Zertifikat selbst als Signierer verwenden. Um die unnötige Offenlegung Ihres privaten CA-Schlüssels zu vermeiden (empfohlen): Erstellen Sie ein delegiertes OCSP-Signaturzertifikat, das vom CA-Zertifikat signiert ist und diese Erweiterung enthält: id-kp-OCSPSigning extendedKeyUsage.

Der XenMobile OCSP-Responder-Dienst unterstützt grundlegende OCSP-Antworten und die folgenden Hashing-Algorithmen in Anfragen:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Antworten werden mit SHA-256 und dem Schlüsselalgorithmus des Signaturzertifikats (DSA, RSA oder ECDSA) signiert.

Diskretionäre CAs hinzufügen

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke der Konsole und dann auf Mehr > PKI-Entitäten.

  2. Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.

    Ein Menü mit PKI-Entitätstypen wird angezeigt.

  3. Klicken Sie auf Diskretionäre CA.

    Die Seite Diskretionäre CA: Allgemeine Informationen wird angezeigt.

  4. Führen Sie auf der Seite Diskretionäre CA: Allgemeine Informationen Folgendes aus:

    • Name: Geben Sie einen beschreibenden Namen für die diskretionäre CA ein.

    • CA-Zertifikat zum Signieren von Zertifikatsanforderungen: Klicken Sie auf ein Zertifikat, das die diskretionäre CA zum Signieren von Zertifikatsanforderungen verwenden soll.

      Diese Liste von Zertifikaten wird aus den CA-Zertifikaten mit privaten Schlüsseln generiert, die Sie in XenMobile unter Konfigurieren > Einstellungen > Zertifikate hochgeladen haben.

  5. Klicken Sie auf Weiter.

    Die Seite Diskretionäre CA: Parameter wird angezeigt.

  6. Führen Sie auf der Seite Diskretionäre CA: Parameter Folgendes aus:

    • Seriennummerngenerator: Die diskretionäre CA generiert Seriennummern für die von ihr ausgestellten Zertifikate. Klicken Sie in dieser Liste auf Sequenziell oder Nicht-sequenziell, um festzulegen, wie die Nummern generiert werden.
    • Nächste Seriennummer: Geben Sie einen Wert ein, um die nächste auszustellende Nummer zu bestimmen.
    • Zertifikat gültig für: Geben Sie die Anzahl der Tage ein, für die das Zertifikat gültig ist.
    • Schlüsselverwendung: Identifizieren Sie den Zweck der von der diskretionären CA ausgestellten Zertifikate, indem Sie die entsprechenden Schlüssel auf Ein stellen. Nach der Einstellung ist die CA auf die Ausstellung von Zertifikaten für diese Zwecke beschränkt.
    • Erweiterte Schlüsselverwendung: Um weitere Parameter hinzuzufügen, klicken Sie auf Hinzufügen, geben Sie den Schlüsselnamen ein und klicken Sie dann auf Speichern.

  7. Klicken Sie auf Weiter.

    Die Seite Diskretionäre CA: Verteilung wird angezeigt.

  8. Wählen Sie auf der Seite Diskretionäre CA: Verteilung einen Verteilungsmodus aus:

    • Zentralisiert: serverseitige Schlüsselgenerierung. Citrix empfiehlt die zentralisierte Option. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und an Benutzergeräte verteilt.
    • Verteilt: geräteseitige Schlüsselgenerierung. Die privaten Schlüssel werden auf den Benutzergeräten generiert. Dieser verteilte Modus verwendet SCEP und erfordert ein RA-Verschlüsselungszertifikat mit der Erweiterung keyUsage keyEncryption und ein RA-Signaturzertifikat mit der Erweiterung keyUsage digitalSignature. Dasselbe Zertifikat kann sowohl für die Verschlüsselung als auch für die Signierung verwendet werden.

  9. Klicken Sie auf Weiter.

    Die Seite Diskretionäre CA: Online Certificate Status Protocol (OCSP) wird angezeigt.

    Führen Sie auf der Seite Diskretionäre CA: Online Certificate Status Protocol (OCSP) Folgendes aus:

    • Wenn Sie eine AuthorityInfoAccess (RFC2459)-Erweiterung zu den von dieser CA signierten Zertifikaten hinzufügen möchten, stellen Sie OCSP-Unterstützung für diese CA aktivieren auf Ein. Diese Erweiterung verweist auf den CA OCSP-Responder unter https://<server>/<instance>/ocsp.
    • Wenn Sie die OCSP-Unterstützung aktiviert haben, wählen Sie ein OCSP-Signatur-CA-Zertifikat aus. Diese Liste von Zertifikaten wird aus den CA-Zertifikaten generiert, die Sie in XenMobile hochgeladen haben.

  10. Klicken Sie auf Speichern.

    Die diskretionäre CA wird in der PKI-Entitätstabelle angezeigt.

PKI-Entitäten
April 29, 2026
Beitrag von: 
C C
April 29, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.