PKI-Entitäten
Eine XenMobile-PKI-Entität ist eine Komponente, die PKI-Vorgänge (Ausstellung, Sperrung und Statusinformationen) durchführt. Dies sind interne oder externe Komponenten von XenMobile. Interne Komponenten werden als eigenverwaltet bezeichnet. Externe Komponenten sind Teil Ihrer Unternehmensinfrastruktur.
XenMobile unterstützt folgende Arten von PKI-Entitäten:
-
Microsoft Zertifikatdienste
-
Eigenverwaltete CAs
XenMobile unterstützt die folgenden Zertifizierungsstellenserver:
- Windows Server 2019
- Windows Server 2016
Hinweis:
Windows Server 2012 R2, 2012 und 2008 R2 werden nicht mehr unterstützt, da sie das Ende des Lebenszyklus erreicht haben. Weitere Informationen finden Sie in der Dokumentation zum Lebenszyklus von Microsoft-Produkten.
Allgemeine PKIs – Konzepte
Unabhängig von ihrem Typ umfasst jede PKI-Entität folgende Funktionen:
- Sign: Ausstellung eines neuen Zertifikats nach Zertifikatsignieranforderung (CSR)
- Fetch: Abruf eines vorhandenen Zertifikat-/Schlüsselpaars
- Revoke: Sperre eines Clientzertifikats
Informationen über Zertifizierungsstellenzertifikate
Beim Konfigurieren einer PKI-Entität müssen Sie in XenMobile angeben, welches ZS-Zertifikat die von dieser Entität ausgestellten bzw. wiederhergestellten Zertifikate signiert. Diese PKI-Entität kann abgerufene oder neu signierte Zertifikate, die von einer beliebigen Zahl verschiedener Zertifizierungsstellen signiert wurden, zurückgeben.
Stellen Sie das Zertifikat jeder dieser Zertifizierungsstellen als Teil der PKI-Entitätskonfiguration bereit. Hierfür laden Sie die Zertifikate in XenMobile hoch und referenzieren sie dann in der PKI-Entität. Bei eigenverwalteten Zertifizierungsstellen gehört das Zertifikat implizit zur signierenden Zertifizierungsstelle. Bei externen Entitäten müssen Sie das Zertifikat manuell definieren.
Wichtig:
Zur Vermeidung von Problemen bei der Authentifizierung registrierter Geräte verwenden Sie beim Erstellen einer Microsoft-Zertifikatdiensteentitätsvorlage keine Sonderzeichen im Vorlagennamen. Beispiele für Sonderzeichen:
! : $ ( ) # % + * ~ ? | { } [ ]
Microsoft Zertifikatdienste
XenMobile interagiert mit Microsoft Zertifikatdiensten über seine Schnittstelle zur Webregistrierung. XenMobile unterstützt nur die Ausstellung neuer Zertifikate über diese Schnittstelle. Wenn die Microsoft-ZS ein Citrix Gateway-Benutzerzertifikat erstellt, unterstützt Citrix Gateway Verlängerung und Sperrung für diese Zertifikate.
Zum Erstellen einer PKI-Entität für eine Microsoft-Zertifizierungsstelle in XenMobile müssen Sie die Basis-URL der Webschnittstelle für die Zertifikatdienste angeben. Bei entsprechender Auswahl verwenden Sie die SSL-Clientauthentifizierung zum Schützen der Verbindung zwischen XenMobile und der Webschnittstelle für die Zertifikatdienste.
Hinzufügen einer Microsoft-Zertifikatdiensteentität
-
Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben und dann auf PKI-Entitäten.
-
Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.
Ein Menü der PKI-Entitätstypen wird angezeigt.
-
Klicken Sie auf Microsoft Zertifikatdiensteentität.
Die Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen wird angezeigt.
-
Konfigurieren Sie auf der Seite Microsoft Zertifikatdiensteentität: Allgemeine Informationen folgende Einstellungen:
- Name: Geben Sie einen Namen für die neue Entität ein. Der Name von Entitäten muss eindeutig sein.
-
Stamm-URL des Webregistrierungsdiensts: Geben Sie die Stamm-URL des Webregistrierungsdiensts für die Microsoft-Zertifizierungsstelle ein. Beispiel:
https://192.0.2.13/certsrv/
. Die URL kann HTTP oder HTTP über SSL verwenden. - certnew.cer page name: Name der certnew.cer-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
- certfnsh.asp: Name der certfnsh.asp-Seite. Verwenden Sie den Standardnamen, es sei denn, Sie haben die Seite aus irgendeinem Grund umbenannt.
-
Authentifizierungstyp: Wählen Sie die Authentifizierungsmethode, die Sie verwenden möchten.
- Ohne
- HTTP Basic: Geben Sie den Benutzernamen und das Kennwort für die Verbindung ein.
- Clientzertifikat: Wählen Sie das richtige SSL-Clientzertifikat aus.
-
Klicken Sie auf Verbindung testen um sicherzustellen, dass der Server erreichbar ist. Andernfalls wird eine Meldung angezeigt, dass die Verbindung fehlgeschlagen ist. Überprüfen Sie die Konfigurationseinstellungen.
-
Klicken Sie auf Weiter.
Die Seite Microsoft Zertifikatdiensteentität: Vorlagen wird angezeigt. Auf dieser Seite geben Sie die internen Namen der Vorlagen ein, die die Microsoft-Zertifizierungsstelle unterstützt. Beim Erstellen von Anmeldeinformationsanbietern wählen Sie eine Vorlage aus der hier definierten Liste aus. Jeder Anmeldeinformationsanbieter, der diese Entität verwendet, verwendet eine Vorlage.
Informationen zu den Anforderungen für die Microsoft Zertifikatdienste-Vorlage finden Sie in der Microsoft-Dokumentation zu Ihrer Windows Server-Version. In XenMobile gelten außer den unter Zertifikate aufgeführten Regeln für Zertifikatformate keine weiteren Anforderungen für die von XenMobile verteilten Zertifikate.
-
Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: Vorlagen auf Hinzufügen, geben Sie den Namen der Vorlage ein und klicken Sie auf Speichern. Wiederholen Sie diesen Schritt für jede Vorlage, die Sie hinzufügen möchten.
-
Klicken Sie auf Weiter.
Die Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter wird angezeigt. Auf dieser Seite legen Sie benutzerdefinierte Parameter fest, die XenMobile in HTTP-Anforderungen an die Microsoft-Webregistrierungsschnittstelle einfügen soll. Benutzerdefinierte Parameter sind nur für angepasste Skripts nützlich, die auf der Zertifizierungsstelle ausgeführt werden.
-
Klicken Sie auf der Seite Microsoft Zertifikatdiensteentität: HTTP-Parameter auf Hinzufügen, geben Sie Namen und Wert der gewünschten HTTP-Parameter ein und klicken Sie auf Weiter.
Die Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate wird angezeigt. Auf dieser Seite müssen Sie für XenMobile die Signierer der Zertifikate angeben, die das System über diese Entität erhält. Wenn das ZS-Zertifikat erneuert wurde, aktualisieren Sie es in XenMobile. XenMobile wendet die Änderung transparent auf die Entität an.
-
Wählen Sie auf der Seite Microsoft Zertifikatdiensteentität: ZS-Zertifikate die Zertifikate aus, die Sie für die Entität verwenden möchten.
-
Klicken Sie auf Speichern.
Die Entität wird in der Tabelle der PKI-Entitäten angezeigt.
Citrix ADC-Zertifikatsperrliste
XenMobile unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in XenMobile zum Verwalten der Zertifikatsperre Citrix ADC verwendet.
Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix ADC-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren. Dadurch wird sichergestellt, dass Benutzer von Geräten im ausschließlichen MAM-Modus keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können.
XenMobile stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, nachdem eines gesperrt wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.
Eigenverwaltete Zertifizierungsstellen
Eine eigenverwaltete Zertifizierungsstelle wird erstellt, wenn Sie in XenMobile ein Zertifizierungsstellenzertifikat mit zugehörigem privatem Schlüssel angeben. XenMobile wickelt Zertifikatausstellung, Sperrungen und Statusinformationen intern gemäß den von Ihnen gewählten Parametern ab.
Beim Konfigurieren einer eigenverwalteten Zertifizierungsstelle können Sie OCSP-Unterstützung (Online Certificate Status Protocol) für diese ZS aktivieren. Wird die OCSP-Unterstützung aktiviert, fügt die Zertifizierungsstelle den von ihr ausgestellten Zertifikaten die Erweiterung id-pe-authorityInfoAccess
hinzu. Die Erweiterung verweist auf die XenMobile-internen OCSP-Responder im folgenden Verzeichnis:
https://<server>/<instance>/ocsp
Wenn Sie den OCSP-Dienst konfigurieren, müssen Sie ein OCSP-Signaturzertifikat für die eigenverwaltete Entität angeben. Sie können das Zertifizierungsstellenzertifikat selbst als Signaturzertifikat verwenden. Um eine unnötige Offenlegung des privaten Schlüssels Ihrer Zertifizierungsstelle zu vermeiden (dies wird empfohlen), erstellen Sie ein von der eigenverwalteten Zertifizierungsstelle signiertes Delegate-OCSP-Signaturzertifikat und schließen Sie folgende Erweiterung ein: id-kp-OCSPSigning extendedKeyUsage
.
Der OCSP-Responder-Dienst von XenMobile unterstützt einfache OCSP-Antworten und folgende Hashalgorithmen in Anforderungen:
- SHA-1
- SHA-224
- SHA-256
- SHA-384
- SHA-512
Antworten werden mit SHA-256 und dem Signaturzertifikat-Schlüsselalgorithmus (DSA, RSA oder ECDSA) signiert.
Hinzufügen von eigenverwalteten Zertifizierungsstellen
-
Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben und dann auf Mehr > PKI-Entitäten.
-
Klicken Sie auf der Seite PKI-Entitäten auf Hinzufügen.
Ein Menü der PKI-Entitätstypen wird angezeigt.
-
Klicken Sie auf Eigenverwaltete ZS.
Die Seite Eigenverwaltete ZS: Allgemeine Informationen wird angezeigt.
-
Führen Sie auf der Seite Eigenverwaltete ZS: Allgemeine Informationen folgende Schritte aus:
- Name: Geben Sie einen aussagekräftigen Namen für die eigenverwaltete ZS ein.
-
ZS-Zertifikate zum Signieren von Zertifikatanforderungen: Klicken Sie auf das Zertifikat, das von der eigenverwalteten ZS zum Signieren von Zertifikatanforderungen verwendet werden soll.
Die Liste der Zertifikate wird aus den von Ihnen über Konfigurieren > Einstellungen > Zertifikate in XenMobile hochgeladenen Zertifizierungsstellenzertifikaten mit privatem Schlüssel generiert.
-
Klicken Sie auf Weiter.
Die Seite Eigenverwaltete ZS: Parameter wird angezeigt.
-
Führen Sie auf der Seite Eigenverwaltete ZS: Parameter folgende Schritte aus:
- Seriennummergenerator: Die eigenverwaltete ZS generiert Seriennummern für die von ihr herausgegebenen Zertifikate Klicken Sie in dieser Liste auf Sequenziell oder Nichtsequenziell, um zu bestimmen, wie die Nummern generiert werden sollen.
- Nächste Seriennummer: Geben Sie einen Wert für die nächste Seriennummer ein.
- Zertifikat gültig für: Geben Sie die Anzahl der Tage ein, für die das Zertifikat gültig sein soll.
- Schlüsselverwendung: Legen Sie den Zweck der von der eigenverwalteten ZS herausgegebenen Zertifikate fest, indem Sie die entsprechenden Schlüssel auf Ein setzen. Im Anschluss an diese Einstellung ist die Zertifizierungsstelle auf die Ausstellung von Zertifikaten für diese Zwecke beschränkt.
- Erweiterte Schlüsselverwendung: Zum Hinzufügen weiterer Parameter klicken Sie auf Hinzufügen, geben Sie den Schlüsselnamen ein und klicken Sie auf Speichern.
-
Klicken Sie auf Weiter.
Die Seite Eigenverwaltete ZS: Verteilung wird angezeigt.
-
Wählen Sie auf der Seite Eigenverwaltete ZS: Verteilung einen Verteilungsmodus aus:
- Zentralisiert: Schlüssel serverseitig generieren: Citrix empfiehlt diese zentrale Verteilung. Die privaten Schlüssel werden auf dem Server generiert und gespeichert und auf die Benutzergeräte verteilt.
-
Verteilt: Schlüssel geräteseitig generieren: Die privaten Schlüssel werden auf den Benutzergeräten generiert. Beim verteilten Modus wird SCEP verwendet und es ist ein RA-Verschlüsselungszertifikat mit der Erweiterung
keyUsage keyEncryption
sowie ein RA-Signaturzertifikat mit der ErweiterungkeyUsage digitalSignature
erforderlich. Das gleiche Zertifikat kann für Verschlüsselung und Signieren verwendet werden.
-
Klicken Sie auf Weiter.
Die Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) wird angezeigt.
Führen Sie auf der Seite Eigenverwaltete ZS: Online Certificate Status Protocol (OCSP) folgende Schritte aus:
- Wenn Sie den von dieser Zertifizierungsstelle signierten Zertifikaten die Erweiterung
AuthorityInfoAccess
(RFC2459) hinzufügen möchten, legen Sie OCSP-Unterstützung für diese ZS aktivieren auf Ein fest. Diese Erweiterung verweist auf den OCSP-Responder der Zertifizierungsstelle unterhttps://<server>/<instance>/ocsp
. - Wenn Sie OCSP-Unterstützung aktiviert haben, wählen Sie ein OSCP-Zertifizierungsstellenzertifikat aus. Die Liste der Zertifikate wird aus den von Ihnen in XenMobile hochgeladenen Zertifizierungsstellenzertifikaten generiert.
- Wenn Sie den von dieser Zertifizierungsstelle signierten Zertifikaten die Erweiterung
-
Klicken Sie auf Speichern.
Die eigenverwaltete ZS wird in der Tabelle der PKI-Entitäten angezeigt.