Product Documentation

Zertifikate und Authentifizierung

21. Februar 2018

Mehrere Komponenten spielen bei der Authentifizierung in XenMobile eine Rolle:

  • XenMobile Server: In XenMobile Server legen Sie Registrierungssicherheit und die Registrierungserfahrung fest. Optionen für das Onboarding von Benutzern:
    • Registrierung für alle oder nur auf Einladung.
    • Zweistufige oder dreistufigen Authentifizierung. Über die Clienteigenschaften können Sie die Citrix PIN-Authentifizierung aktivieren und die PIN-Komplexität und -Ablaufzeit konfigurieren.
  • NetScaler: NetScaler ermöglicht Terminierung für Micro-VPN-SSL-Sitzungen. NetScaler bietet zudem Sicherheit bei der Datenübertragung im Netzwerk und ermöglicht das Definieren der Authentifizierungserfahrung beim Zugriff auf Apps durch Benutzer.
  • Secure Hub: Secure Hub und XenMobile Server wirken bei der Registrierung zusammen. Secure Hub ist auf Geräten die Entität, die mit NetScaler kommuniziert: Wenn eine Sitzung abläuft, erhält Secure Hub ein Authentifizierungsticket von NetScaler und übergibt es an die MDX-Apps. Citrix empfiehlt die Verwendung von Zertifikatpinning zum Schutz vor Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie im Abschnitt über das Zertifikatpinning zu Secure Hub.

    Secure Hub moderiert zudem den MDX-Sicherheitscontainer durch Übertragen von Richtlinien, Erstellen einer Sitzung mit NetScaler bei einem App-Timeout und durch Festlegen des MDX-Timeouts und der Benutzererfahrung. Außerdem ist Secure Hub für die Erkennung von Jailbreaks, Geolocation-Prüfungen und alle von Ihnen angewendeten Richtlinien verantwortlich.

  • MDX-Richtlinien: MDX-Richtlinien erstellen den Datentresor auf Geräten. MDX-Richtlinien leiten Micro-VPN-Verbindungen zurück zu NetScaler und erzwingen Einschränkungen für den Offlinemodus sowie die Einhaltung von Clientrichtlinien (z. B. Timeouts).

Weitere Informationen zur Konfiguration der Authentifizierung und eine Übersicht über die ein- und zweistufige Authentifizierung finden Sie im Bereitstellungshandbuch unter Authentifizierung.

Mit Zertifikaten erstellen Sie in XenMobile sichere Verbindungen und authentifizieren Benutzer. Im Rest dieses Artikels werden Zertifikate behandelt. Informationen zu weiteren Konfigurationsdetails finden Sie in den folgenden Artikeln:

Zertifikate

Standardmäßig umfasst XenMobile ein selbstsigniertes SSL-Zertifikat (Secure Socket Layer), das während der Installation zum Sichern der Kommunikation mit dem Server generiert wird. Citrix empfiehlt, dass Sie das SSL-Zertifikat durch ein vertrauenswürdiges SSL-Zertifikat einer etablierten Zertifizierungsstelle (ZS) ersetzen.

Hinweis:

Geräte mit iOS 10.3 unterstützen keine selbstsignierten Zertifikate. Wenn XenMobile selbstsignierte Zertifikate verwendet, können Benutzer keine iOS 10.3-Geräte in XenMobile registrieren. Um Geräte mit iOS 10.3 oder höher in XenMobile zu registrieren, müssen Sie vertrauenswürdige SSL-Zertifikate in XenMobile verwenden.

XenMobile verwendet zudem den eigenen PKI-Dienst bzw. ruft Zertifikate von der Zertifizierungsstelle (ZS) für Clientzertifikate ab. Alle Citrix Produkte unterstützen Platzhalter- und SAN-Zertifikate (Subject Alternative Name). Für die meisten Bereitstellungen genügen zwei Platzhalter- bzw. SAN Zertifikate.

Die Clientzertifikatauthentifizierung bietet zusätzliche Sicherheit für mobile Apps und ermöglicht den Benutzern den direkten Zugriff auf HDX-Apps. Bei konfigurierter Clientzertifikatauthentifizierung geben die Benutzer ihre Citrix PIN für Single Sign-On (SSO) ein, um Zugriff auf XenMobile-aktivierte Apps zu erhalten. Citrix PIN vereinfacht zudem die Benutzerauthentifizierung. Mit Citrix PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden.

Zum Registrieren und Verwalten von iOS-Geräten mit XenMobile müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) erstellen und einrichten. Anweisungen finden Sie unter APNs-Zertifikate.

In der folgenden Tabelle werden Format und Typ des Zertifikats für jede XenMobile-Komponente aufgeführt:

     
XenMobile-Komponente Zertifikatformat Erforderlicher Zertifikattyp
NetScaler Gateway PEM (BASE64), PFX (PKCS #12) SSL, Stamm (NetScaler Gateway konvertiert PFX automatisch in PEM.)
XenMobile Server .p12 (.pfx auf Windows-basierten Computern) SSL, SAML, APNs (XenMobile generiert während des Installationsprozesses auch eine vollständige PKI.) Wichtig: XenMobile Server unterstützt keine Zertifikate mit der Erweiterung “.pem”. Für die Verwendung eines PEM-Zertifikats müssen Sie die PEM-Datei in ein Zertifikat und einen Schlüssel unterteilen und diese einzeln XenMobile importieren.
StoreFront PFX (PKCS #12) SSL, Stamm

XenMobile unterstützt Clientzertifikate einer Bitlänge von 4096, 2048 und 1024. Hinweis: 1024-Bit-Zertifikate lassen sich leicht manipulieren.

Für NetScaler Gateway und XenMobile empfiehlt Citrix das Abrufen von Serverzertifikaten einer öffentlichen Zertifizierungsstelle, z. B. VeriSign, DigiCert oder Thawte. Sie können eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit dem NetScaler Gateway- oder dem XenMobile-Konfigurationsprogramm erstellen. Übermitteln Sie die CSR dann zum Signieren an die Zertifizierungsstelle. Wenn die Zertifizierungsstelle das signierte Zertifikat zurückgesendet hat, können Sie es unter NetScaler Gateway oder XenMobile installieren.

Hochladen von Zertifikaten in XenMobile

Jedes hochgeladene Zertifikat erhält einen Eintrag in der Tabelle der Zertifikate mit einer Zusammenfassung seines Inhalts. Wenn Sie Komponenten zur PKI-Integration konfigurieren, die ein Zertifikat erfordern, wählen Sie ein Serverzertifikat aus, das die kontextabhängigen Kriterien erfüllt. Beispiel: Sie konfigurieren die Integration von XenMobile in Ihrer Microsoft-Zertifizierungsstelle. Die Verbindung mit der Microsoft-Zertifizierungsstelle erfordert eine Authentifizierung mit einem Clientzertifikat.

In diesem Abschnitt finden Sie allgemeine Anleitungen zum Hochladen von Zertifikaten. Einzelheiten zum Erstellen, Hochladen und Konfigurieren von Clientzertifikaten finden Sie unter Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne.

Anforderungen an private Schlüssel

XenMobile kann den privaten Schlüssel für ein bestimmtes Zertifikat haben oder auch nicht. Analog erfordert XenMobile einen privaten Schlüssel für hochgeladene Zertifikate oder auch nicht.

Hochladen von Zertifikaten in die Konsole

Beim Hochladen von Zertifikaten in die Konsole haben Sie zwei Hauptoptionen:

  • Sie können per Klick den Import eines Schlüsselspeichers veranlassen. Anschließend geben Sie im Schlüsselspeicherrepository an, welchen Eintrag Sie installieren möchten (es sei denn, Sie laden ein PKCS #12-Zertifikat hoch).
  • Sie können ein Zertifikat per Klick importieren.

Sie können das ZS-Zertifikat (ohne privaten Schlüssel) hochladen, das von der Zertifizierungsstelle zum Signieren von Zertifikatsanforderungen verwendet wird. Sie können auch ein SSL-Clientzertifikat (mit privatem Schlüssel) für die Clientauthentifizierung hochladen.

Beim Konfigurieren der Entität der Microsoft-Zertifizierungsstelle müssen Sie das ZS-Zertifikat angeben. Dieses wählen Sie aus der Liste aller Serverzertifikate aus, die ZS-Zertifikate sind. Analog können Sie bei der Konfiguration der Clientauthentifizierung aus einer Liste mit allen Serverzertifikaten auswählen, für die XenMobile den privaten Schlüssel hat.

Importieren eines Schlüsselspeichers

Schlüsselspeicher sind Repositorys mit Sicherheitszertifikaten und können als solche mehrere Einträge enthalten. Beim Laden aus einem Schlüsselspeicher werden Sie aufgefordert, das Alias des gewünschten Eintrags anzugeben. Wenn Sie kein Alias angeben, wird der erste Eintrag aus dem Speicher geladen. Da PKCS #12-Dateien normalerweise nur einen Eintrag enthalten, wird das Aliasfeld nicht angezeigt, wenn Sie PKCS #12 als Schlüsselspeichertyp auswählen.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Certificates. Die Seite Zertifikate wird angezeigt.

    Abbildung der Seite "Zertifikate"

  3. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

  4. Konfigurieren Sie folgende Einstellungen:

    • Importieren: Klicken Sie in der Liste auf Schlüsselspeicher. Das Dialogfeld Importieren ändert sich und enthält nun die verfügbaren Schlüsselspeicheroptionen.

    Abbildung der Seite "Zertifikate"

    • Schlüsselspeichertyp: Klicken Sie in der Liste auf PKCS #12.
    • Verwenden als: Wählen Sie in der Liste aus, wie Sie das Zertifikat verwenden möchten. Es gibt folgende Optionen:
      • Server. Serverzertifikate werden funktional von XenMobile verwendet. Sie laden Serverzertifikate in die XenMobile-Webkonsole hoch. Zu diesen Zertifikaten gehören ZS-Zertifikate, RA-Zertifikate und Zertifikate für die Clientauthentifizierung bei anderen Komponenten der Infrastruktur. Außerdem können Sie Serverzertifikate als Speicher für Zertifikate verwenden, die Sie Geräten bereitstellen möchten. Dies gilt insbesondere für Zertifizierungsstellen, die zur Herstellung einer Vertrauensbeziehung auf dem Gerät verwendet werden.
      • SAML.** Mit der SAML-Zertifizierung (Security Assertion Markup Language) können Sie Single Sign-On auf Servern, Websites und für Apps bereitstellen.
      • APNs. APNs-Zertifikate von Apple ermöglichen die Mobilgeräteverwaltung über das Apple Push-Netzwerk.
      • SSL-Listener. Der Secure Sockets Layer-Listener benachrichtigt XenMobile über SSL-Kryptografieaktivitäten.
    • Schlüsselspeicherdatei: Navigieren Sie zu dem Schlüsselspeicher, den Sie importieren möchten. Der Dateityp ist “P12” (auf Windows-Computern “PFX”).
    • Kennwort: Geben Sie das dem Zertifikat zugewiesene Kennwort ein.
    • Beschreibung: Geben Sie optional eine Beschreibung für den Schlüsselspeicher ein, anhand derer Sie diesen von anderen Schlüsselspeichern unterscheiden können.
  5. Klicken Sie auf Importieren. Der Schlüsselspeicher wird der Zertifikattabelle hinzugefügt.

Importieren eines Zertifikats

Beim Importieren eines Zertifikats aus einer Datei oder einem Schlüsselspeichereintrag versucht XenMobile die Erstellung einer Zertifikatkette aus der Eingabe. XenMobile importiert alle Zertifikate in dieser Kette, um jeweils einen Serverzertifikateintrag zu erstellen. Dies funktioniert nur, wenn die Zertifikate in der Datei oder dem Schlüsselspeichereintrag tatsächlich eine Kette bilden, z. B. wenn jedes folgende Zertifikat in der Kette Aussteller des vorherigen Zertifikats ist.

Sie können optional eine Beschreibung für die importierten Zertifikate eingeben. Die Beschreibung wird nur dem ersten Zertifikat in der Kette angefügt. Sie können die Beschreibung der verbleibenden Zertifikate später aktualisieren.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben und dann auf Zertifikate.

  2. Klicken Sie auf der Seite Zertifikate auf Importieren. Das Dialogfeld Importieren wird angezeigt.

  3. Aktivieren Sie im Dialogfeld Importieren unter Importieren die Option Zertifikat, sofern sie noch nicht aktiviert ist.

  4. Das Dialogfeld Importieren ändert sich und enthält nun die verfügbaren Zertifikatoptionen. Wählen Sie unter Verwenden als aus, wie Sie den Schlüsselspeicher verwenden möchten. Es gibt folgende Optionen:

    • Server. Serverzertifikate werden funktional von XenMobile verwendet. Sie laden Serverzertifikate in die XenMobile-Webkonsole hoch. Zu diesen Zertifikaten gehören ZS-Zertifikate, RA-Zertifikate und Zertifikate für die Clientauthentifizierung bei anderen Komponenten der Infrastruktur. Außerdem können Sie Serverzertifikate als Speicher für Zertifikate verwenden, die Sie Geräten bereitstellen möchten. Dies gilt insbesondere für Zertifizierungsstellen, die zur Herstellung einer Vertrauensbeziehung auf dem Gerät verwendet werden.
    • SAML. Mit der SAML-Zertifizierung (Security Assertion Markup Language) können Sie Single Sign-On (SSO) auf Servern, Websites und für Apps bereitstellen.
    • SSL-Listener. Der Secure Sockets Layer-Listener benachrichtigt XenMobile über SSL-Kryptografieaktivitäten.
  5. Navigieren Sie zu dem Schlüsselspeicher, den Sie importieren möchten. Der Dateityp ist “P12” (auf Windows-Computern “PFX”).

  6. Navigieren Sie optional zu einer Datei eines privaten Schlüssels für das Zertifikat. Der private Schlüssel wird für die Ver- und Entschlüsselung im Zusammengang mit dem Zertifikat verwendet.

  7. Geben Sie optional eine Beschreibung für das Zertifikat ein, anhand derer Sie dieses von anderen Zertifikaten unterscheiden können.

  8. Klicken Sie auf Importieren. Das Zertifikat wird der Zertifikattabelle hinzugefügt.

Aktualisieren eines Zertifikats

In XenMobile darf nur jeweils ein Zertifikat pro öffentlichem Schlüssel im System vorhanden sein. Wenn Sie versuchen, ein Zertifikat für ein Schlüsselpaar zu importieren, das bereits ein importiertes Zertifikat besitzt, können Sie den vorhandenen Eintrag entweder ersetzen oder löschen.

Dies ist die effektivste Methode, Ihre Zertifikate in der XenMobile-Konsole zu aktualisieren: Klicken Sie in der oberen rechten Ecke der Konsole auf das Zahnradsymbol, um die Seite Einstellungen zu öffnen. Klicken Sie dann auf Zertifikate. Importieren Sie das neue Zertifikat im Dialogfeld Importieren.

Wenn Sie ein Serverzertifikat aktualisieren, wechseln Komponenten, die das vorherige Zertifikat verwendet haben, automatisch zu dem neuen. Gleichermaßen wird das Serverzertifikat auf Geräten, auf denen es bereitgestellt ist, bei der nächsten Bereitstellung automatisch aktualisiert.

Verwalten der XenMobile-Zertifikate

Es empfiehlt sich, eine Liste der in einer XenMobile-Bereitstellung verwendeten Zertifikate zu erstellen und insbesondere Ablaufdatum und verknüpfte Kennwörter zu notieren. Die Informationen in diesem Abschnitt sollen Ihnen die Zertifikatverwaltung in XenMobile erleichtern.

Ihre Umgebung kann einige oder alle der folgenden Zertifikate enthalten:

  • XenMobile Server
    • SSL-Zertifikat für MDM-FQDN
    • SAML-Zertifikat (für ShareFile)
    • Stamm- und Zwischenzertifikate für die zuvor genannten Zertifikate und andere interne Ressourcen (StoreFront, Proxy usw.)
    • APNs-Zertifikat für die Verwaltung von iOS-Geräten
    • Internes APNs-Zertifikat für Secure Hub-Benachrichtigungen von XenMobile Server
    • PKI-Benutzerzertifikat für die Verbindung mit der PKI
  • MDX Service oder MDX Toolkit
    • Apple Developer-Zertifikat
    • Apple-Provisioningprofil (pro Anwendung)
    • APNs-Zertifikat von Apple (zur Verwendung für Citrix Secure Mail)
    • Android-Schlüsselspeicherdatei
    • Windows Phone – Symantec-Zertifikat
  • NetScaler
    • SSL-Zertifikat für MDM-FQDN
    • SSL-Zertifikat für Gateway-FQDN
    • SSL-Zertifikat für ShareFile StorageZones Controller-FQDN
    • SSL-Zertifikat für Exchange-Lastausgleich (Abladung der Konfiguration)
    • SSL-Zertifikat für StoreFront-Lastausgleich
    • Stamm- und Zwischenzertifikate für die o. g. Zertifikate

XenMobile-Richtlinie für den Zertifikatablauf

Wenn ein Zertifikat abläuft, wird es ungültig. Sie können dann keine weiteren sicheren Transaktionen in Ihrer Umgebung ausführen und haben keinen Zugriff mehr auf XenMobile-Ressourcen.

Hinweis:

Die Zertifizierungsstelle (ZS) fordert Sie vor dem Ablaufdatum zur Verlängerung des SSL-Zertifikats auf.

APNs-Zertifikat für Citrix Secure Mail

APNs-Zertifikate laufen jeweils nach einem Jahr ab. Erstellen Sie vor dem Ablaufen ein APNs-SSL-Zertifikat und aktualisieren Sie es im Citrix Portal. Läuft das Zertifikat ab, verursacht dies für Benutzer Inkonsistenzen bei Secure Mail-Pushbenachrichtigungen. Außerdem können Sie keine weiteren Pushbenachrichtigungen für Ihre Apps senden.

APNs-Zertifikat für die Verwaltung von iOS-Geräten

Zum Registrieren und Verwalten von iOS-Geräten bei bzw. mit XenMobile müssen Sie ein APNs-Zertifikat von Apple erstellen und einrichten. Wenn das Zertifikat abläuft, können die Benutzer keine Registrierung bei XenMobile durchführen und Sie können keine iOS-Geräte verwalten. Informationen finden Sie unter APNs-Zertifikate.

Sie können den APNs-Zertifikatstatus und das Ablaufdatum anzeigen, indem Sie sich beim Apple Push Certificate Portal anmelden. Sie müssen sich mit demselben Benutzerkonto anmelden, das bei der Erstellung des Zertifikats verwendet wurde.

Sie erhalten außerdem 30 und 10 Tage vor dem Ablaufdatum eine E-Mail-Benachrichtigung von Apple: Die Benachrichtigung enthält die folgenden Informationen:

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.

Thank You,

Apple Push Notification Service

MDXService oder MDX Toolkit (iOS-Verteilungszertifikat)

Für alle nicht aus dem Apple App Store stammenden Apps, die auf einem physischen iOS-Gerät ausgeführt werden, gelten folgend Anforderungen:

  • Signieren Sie die App mit einem Provisioningprofil.
  • Signieren Sie die App mit einem entsprechenden Verteilungszertifikat.

Um sich zu vergewissern, dass Sie ein gültiges iOS-Verteilungszertifikat haben, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie über das Apple Enterprise Developer-Portal eine explizite App-ID für jede App, die Sie mit MDX umschließen möchten. Beispiel einer zulässigen App-ID: com.CompanyName.ProductName.
  2. Wählen Sie im Apple Enterprise Developer-Portal Provisioning Profiles > Distribution und erstellen Sie ein Provisioningprofil zum hausinternen Gebrauch. Wiederholen Sie diesen Schritt für jede zuvor erstellte App-ID.
  3. Laden Sie alle Provisioningprofile herunter. Weitere Informationen finden Sie unter Umschließen von mobilen iOS-Apps.

Um sich zu vergewissern, dass alle Zertifikate von XenMobile Server gültig sind, führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der XenMobile-Konsole auf Einstellungen > Zertifikate.
  2. Vergewissern Sie sich, dass alle Zertifikate (APNs-, SSL- Listener-, Stamm- und Zwischenzertifikate) gültig sind.

Android-Schlüsselspeicher

Der Schlüsselspeicher ist eine Datei mit den Zertifikaten, mit denen Sie Android-Apps signieren. Wenn die Gültigkeit der Schlüssel abläuft, können Benutzer kein nahtloses Upgrade auf neue App-Versionen mehr ausführen.

Symantec-Zertifikat für Windows Phone-Geräte

Symantec ist exklusiver Anbieter von Codesignaturzertifikaten für den Microsoft App Hub-Dienst. Entwickler und Softwareherausgeber verwenden App Hub zum Verteilen von Apps für Windows Phone und Xbox 360 zum Download über den Microsoft Store bzw. Windows Marketplace. Weitere Informationen finden Sie unter Symantec Code Signing Certificates for Windows Phone in der Symantec-Dokumentation.

Wenn das Zertifikat abläuft, können Windows Phone-Benutzer sich nicht registrieren. Die Benutzer können keine vom Unternehmen veröffentlichte und signierte App installieren und keine auf dem Gerät installierte Unternehmensapp starten.

NetScaler

Weitere Informationen zur Handhabung des Zertifikatablaufs bei NetScaler finden Sie unter How to handle certificate expiry on NetScaler im Knowledge Center des Citrix Supports.

Ein abgelaufenes NetScaler-Zertifikat hindert Benutzer daran, Geräte zu registrieren und auf den Store zuzugreifen. Das abgelaufene Zertifikat verhindert außerdem, dass Benutzer bei der Verwendung von Secure Mail eine Verbindung mit Exchange Server herstellen. Darüber hinaus können Benutzer keine HDX-Apps anzeigen und öffnen (je nachdem, welches Zertifikat abgelaufen ist).

Expiry Monitor und Command Center ermöglichen Ihnen, Ihre NetScaler-Zertifikate zu überwachen. Das Center benachrichtigt Sie zudem, wenn ein Zertifikatablauf ansteht. Die Tools helfen bei der Überwachung der folgenden NetScaler-Zertifikate:

  • SSL-Zertifikat für MDM-FQDN
  • SSL-Zertifikat für Gateway-FQDN
  • SSL-Zertifikat für ShareFile StorageZones Controller-FQDN
  • SSL-Zertifikat für Exchange-Lastausgleich (Abladung der Konfiguration)
  • SSL-Zertifikat für StoreFront-Lastausgleich
  • Stamm- und Zwischenzertifikate für die o. g. Zertifikate

Zertifikate und Authentifizierung