Citrix Endpoint Management

Certificados y autenticación

Existen varios componentes que desempeñan un papel en la autenticación durante las operaciones de Endpoint Management:

  • Endpoint Management: La seguridad y la experiencia de la inscripción se definen desde el servidor Endpoint Management. Las opciones para incorporar usuarios son:
    • Elaborar una inscripción abierta para todos o solo por invitación.
    • Requerir la autenticación de dos o tres factores. A través de las propiedades de cliente en Endpoint Management, puede habilitar la autenticación con PIN de Citrix y configurar la complejidad y el tiempo de caducidad de ese PIN.
  • Citrix Gateway: Con Citrix Gateway, puede finalizar sesiones SSL de micro VPN. Asimismo, Citrix Gateway puede proteger la seguridad de los datos en tránsito en la red y definir la experiencia de autenticación cada vez que un usuario acceda a una aplicación.
  • Secure Hub: Secure Hub y Endpoint Management funcionan conjuntamente en las operaciones de inscripción. Presente en el dispositivo, Secure Hub es la entidad que se comunica con Citrix Gateway. Cuando una sesión caduca, Secure Hub obtiene un tíquet de autenticación de Citrix Gateway y lo envía a las aplicaciones MDX. Citrix recomienda usar fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). Para obtener más información, consulte la sección Fijar certificados en el artículo Secure Hub.

    Asimismo, Secure Hub favorece a la seguridad del contenedor MDX, ya que envía directivas, crea sesiones con Citrix Gateway cuando se agota el tiempo de espera de las aplicaciones y define el tiempo de espera y la experiencia de autenticación MDX. Secure Hub también se encarga de detectar la liberación por jailbreak, así como de comprobar la geolocalización y las directivas que se apliquen.

  • Directivas MDX: Las directivas MDX crean la caja fuerte de datos en el dispositivo. Las directivas MDX dirigen las conexiones de micro VPN de vuelta a Citrix Gateway, aplican las restricciones del modo sin conexión y las directivas de cliente (como los tiempos de espera).

Para obtener más información sobre la configuración de la autenticación, incluida una descripción general de los métodos de autenticación de uno y dos factores, consulte Autenticación en el manual Deployment Handbook.

En Endpoint Management, puede usar certificados para crear conexiones seguras y para autenticar usuarios. Para obtener información adicional acerca de la configuración, consulte los siguientes artículos:

Certificados

Endpoint Management genera un certificado autofirmado de capa de sockets seguros (SSL) durante la instalación para proteger los flujos de comunicación con el servidor. Reemplace ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación conocida.

Endpoint Management también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.

La autenticación con certificados de cliente proporciona una capa de seguridad adicional para las aplicaciones móviles y permite que los usuarios pueden acceder sin problemas a aplicaciones HDX. Cuando se configura la autenticación con certificados de cliente, los usuarios introducen su PIN de Citrix para acceder con inicio de sesión único (Single Sign-On) a las aplicaciones habilitadas para Endpoint Management. El PIN de Citrix también simplifica la experiencia de autenticación del usuario. El PIN de Citrix se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo.

Para inscribir y administrar dispositivos iOS con Endpoint Management, configure y cree un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para ver los pasos, consulte Certificados APNs.

En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de Endpoint Management:

Componente Endpoint Management Formato de certificado Tipo de certificado requerido
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Raíz (Citrix Gateway convierte automáticamente el formato PFX en PEM).
Endpoint Management P12 (PFX en equipos basados en Windows) SSL, SAML, APNs (Endpoint Management también genera una infraestructura de clave pública completa durante el proceso de instalación). Importante: Endpoint Management no admite certificados con extensión PEM. Para utilizar un certificado PEM, divida el archivo PEM en un certificado y una clave e importe cada uno en Endpoint Management.
StoreFront PFX (PKCS #12) SSL, raíz

Endpoint Management admite los certificados de cliente con longitudes de bits de 4096 y 2048.

Para Citrix Gateway y Endpoint Management, Citrix recomienda obtener certificados de servidor procedentes de una entidad de certificación pública (como Verisign, DigiCert o Thawte). Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de Citrix Gateway o de Endpoint Management. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en Citrix Gateway o Endpoint Management.

Importante:

Requisitos para certificados de confianza en iOS, iPadOS y macOS

Apple tiene nuevos requisitos para los certificados de servidor TLS. Verifique que todos los certificados cumplen los requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176.

Apple está reduciendo la duración máxima permitida de los certificados de servidor TLS. Este cambio solo afecta a los certificados de servidor emitidos después de septiembre de 2020. Consulte la publicación de Apple: https://support.apple.com/en-us/HT211025.

Autenticación de proveedores de identidades

Puede configurar un proveedor de identidades (IDP) a través de Citrix Cloud para inscribir y administrar dispositivos de usuario.

Casos de uso admitidos para los IDP:

  • Azure Active Directory a través de Citrix Cloud
    • La integración de Workspace es opcional
    • Citrix Gateway, configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos
  • Okta desde Citrix Cloud
    • La integración de Workspace es opcional
    • Citrix Gateway, configurado para la autenticación por certificados
    • Android Enterprise (Tech Preview; admite el modo BYOD, dispositivos totalmente administrados y perfiles de inscripción mejorados)
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos
  • Citrix Gateway local desde Citrix Cloud
    • Citrix Gateway, configurado para la autenticación por certificados
    • iOS para inscripciones MDM+MAM y MDM
    • Android heredado (AD)
    • Las funciones de inscripción automática, como el Programa de implementación de Apple, no se admiten en estos momentos
Certificados y autenticación