Citrix Endpoint Management

Autenticación con certificado de cliente o certificado y dominio

En Citrix Endpoint Management, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management, considere la posibilidad de usar la autenticación basada en certificados. En el entorno de Citrix Endpoint Management, esta configuración es la mejor combinación de seguridad y experiencia de usuario. La autenticación con certificado y dominio tiene las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en NetScaler Gateway.

Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con resultado, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en Citrix Endpoint Management, Citrix Endpoint Management no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en Citrix Endpoint Management. Los usuarios se inscriben mediante un PIN único que Citrix Endpoint Management genera para ellos. Una vez que el usuario haya obtenido acceso, Citrix Endpoint Management crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de Citrix Endpoint Management.

Puede utilizar el asistente de NetScaler para XenMobile para llevar a cabo la configuración necesaria para Citrix Endpoint Management cuando se usa la autenticación con solo certificado o la autenticación con certificado y dominio en NetScaler Gateway. Puede ejecutar el asistente de NetScaler para XenMobile solamente una vez.

En los entornos de alta seguridad, donde el uso de las credenciales de LDAP fuera de una organización en redes públicas o no seguras se considera una amenaza acuciante a la seguridad de la organización. Para entornos altamente seguros, la autenticación de dos factores mediante un certificado del cliente y un token de seguridad es una posibilidad. Para obtener más información, consulte Configurar Citrix Endpoint Management para la autenticación con certificado y token de seguridad.

La autenticación de certificado del cliente está disponible para dispositivos inscritos en MAM y MDM+MAM. Para usar la autenticación de certificado de cliente con esos dispositivos, debe configurar el servidor Microsoft, el servidor de Citrix Endpoint Management y, a continuación, NetScaler Gateway. Siga estos pasos generales, como se describe en este artículo.

En el servidor Microsoft:

  1. Agregue el complemento de Certificados a la consola MMC (Microsoft Management Console).
  2. Agregue la plantilla a la entidad de certificación (CA).
  3. Cree un certificado PFX desde el servidor de CA.

En Citrix Endpoint Management:

  1. Cargue el certificado en Citrix Endpoint Management.
  2. Cree una entidad PKI para la autenticación por certificado.
  3. Configure proveedores de credenciales.
  4. Configure NetScaler Gateway para entregar un certificado de usuario para la autenticación.

Para obtener información sobre la configuración de NetScaler Gateway, consulte los siguientes artículos de la documentación de Citrix ADC:

Requisitos previos

  • Cuando cree plantillas de entidad para Servicios de certificado de Microsoft, no use caracteres especiales para evitar posibles problemas de autenticación en los dispositivos inscritos. Por ejemplo, no use estos caracteres en el nombre de la plantilla: : ! $ () # % + * ~ ? | {} []

  • Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulte la documentación de Microsoft sobre Exchange Server. Configure el sitio del servidor de la entidad de certificación (CA) para que Exchange ActiveSync requiera certificados de cliente.
  • Si utiliza certificados de servidor privados para proteger el tráfico de ActiveSync hacia el servidor Exchange Server, compruebe que los dispositivos móviles tienen todos los certificados raíz e intermedios. De lo contrario, la autenticación basada en certificados falla durante la configuración de buzones de correo en Citrix Secure Mail. En la consola IIS de Exchange, debe:
    • Agregar un sitio web para que Citrix Endpoint Management lo use con Exchange y enlazar el certificado de servidor web.
    • Usar el puerto 9443.
    • Para ese sitio web, debe agregar dos aplicaciones, una para “Microsoft-Server-ActiveSync” y otra para “EWS”. En ambas aplicaciones, en Configuración de SSL, habilite Requerir SSL.

Agregar el complemento de Certificados a Microsoft Management Console

  1. Abra la consola y haga clic en Agregar o quitar complemento.

  2. Agregue los complementos siguientes:

    • Plantillas de certificado
    • Certificados (Equipo local)
    • Certificados (Usuario local)
    • Entidad de certificación (Local)

    Microsoft Management Console

  3. Expanda Plantillas de certificado.

    Microsoft Management Console

  4. Seleccione la plantilla Usuario y Duplicar plantilla.

    Microsoft Management Console

  5. Suministre el nombre para mostrar de la plantilla.

    Importante:

    Marque la casilla Publicar certificado en Active Directory solo si es necesario. Si selecciona esta opción, todos los certificados de cliente de los usuarios se crearán en Active Directory, lo que podría desorganizar su base de datos de Active Directory.

  6. Seleccione Windows 2003 Server como tipo de plantilla. En Windows 2012 R2 Server, en Compatibilidad, seleccione Entidad de certificación y defina Windows 2003 como destinatario.

  7. En Seguridad, haga clic en Agregar y seleccione la cuenta del usuario de AD que Citrix Endpoint Management utilizará para generar certificados.

    Importante:

    Agregue solo el usuario de la cuenta de servicio aquí. Agregue el permiso Inscribir solo a esta cuenta de usuario de AD.

    Como se describe más adelante en este artículo, creará un certificado de usuario PFX mediante la cuenta de servicio. Para obtener información, consulte Crear un certificado PFX desde el servidor de CA.

    Microsoft Management Console

  8. En Criptografía, compruebe que indica el tamaño de la clave. Deberá indicar el tamaño de esa clave más adelante, durante la configuración de Citrix Endpoint Management.

    Microsoft Management Console

  9. En Nombre del sujeto, seleccione Proporcionado por el solicitante. Aplique y guarde los cambios.

    Microsoft Management Console

Agregar la plantilla a la entidad de certificación

  1. Vaya a Entidad de certificación y seleccione Plantillas de certificado.

  2. Haga clic con el botón secundario en el panel derecho y seleccione Nueva > Plantilla de certificado que se va a emitir.

    Microsoft Management Console

  3. Seleccione la plantilla que creó en el paso anterior y haga clic en Aceptar para agregarla a la Entidad de certificación.

    Microsoft Management Console

Crear un certificado PFX desde el servidor de CA

  1. Cree un certificado .pfx de usuario con la cuenta de servicio con la que inició sesión. Este PFX se carga en Citrix Endpoint Management, el cual solicita un certificado de usuario de parte de los usuarios que inscriban sus dispositivos.

  2. En Usuario actual, expanda Certificados.

  3. Haga clic con el botón secundario en el panel derecho y después haga clic en Solicitar un nuevo certificado.

    Microsoft Management Console

  4. Aparecerá la pantalla Inscripción de certificados. Haga clic en Siguiente.

    Microsoft Management Console

  5. Seleccione Directiva de inscripción de Active Directory y haga clic en Siguiente.

    Microsoft Management Console

  6. Seleccione la plantilla Usuario y haga clic en Inscribir.

    Microsoft Management Console

  7. Exporte el archivo .pfx que creó en el paso anterior.

    Microsoft Management Console

  8. Haga clic en Exportar la clave privada.

    Microsoft Management Console

  9. Marque las casillas Si es posible, incluir todos los certificados en la ruta de acceso de certificación y Exportar todas las propiedades extendidas.

    Microsoft Management Console

  10. Defina la contraseña que va a usar para cargar este certificado en Citrix Endpoint Management.

    Microsoft Management Console

  11. Guarde el certificado en su disco duro.

Cargar el certificado en Citrix Endpoint Management

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. Haga clic en Certificados y, a continuación, en Importar.

  3. Introduzca los parámetros siguientes:

    • Importar: Almacén de claves.
    • Tipo de almacén de claves: PKCS#12.
    • Usar como: Servidor.
    • Archivo de almacén de claves: Haga clic en “Examinar” para seleccionar el certificado PFX que acaba de crear.
    • Contraseña: Introduzca la contraseña que creó para este certificado.

    Pantalla de configuración de certificados

  4. Haga clic en Importar.

  5. Verifique que el certificado se ha instalado correctamente. Un certificado correctamente instalado se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación con certificados

  1. En Parámetros, vaya a Más > Administración de certificados > Entidades PKI.

  2. Haga clic en Agregar y, a continuación, haga clic en Entidad de Servicios de certificados de Microsoft. Aparecerá la pantalla Entidad de Servicios de certificados de Microsoft: Información general.

  3. Introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • URL raíz del servicio de inscripción web: https://RootCA-URL/certsrv/ Debe agregar la última barra diagonal (/) a la ruta de URL.
    • certnew.cer page name: certnew.cer (valor predeterminado)
    • certfnsh.asp: certfnsh.asp (valor predeterminado)
    • Tipo de autenticación: Certificado de cliente.
    • Certificado de cliente SSL: Seleccione el certificado de usuario que se va a usar para emitir el certificado del cliente de Citrix Endpoint Management. Si no existe ningún certificado, siga el procedimiento descrito en la sección anterior para cargar certificados.

    Pantalla de configuración de certificados

  4. En Plantillas, agregue la plantilla que creó cuando configuró el certificado de Microsoft. No agregue espacios.

    Pantalla de configuración de certificados

  5. Omita el paso “Parámetros HTTP” y haga clic en Certificados de CA.

  6. Seleccione el nombre de la CA raíz que le corresponda a su entorno. Esta CA raíz forma parte de la cadena importada desde el certificado del cliente de Citrix Endpoint Management.

    Pantalla de configuración de certificados

  7. Haga clic en Guardar.

Configurar proveedores de credenciales

  1. En Parámetros, vaya a Más > Administración de certificados > Proveedores de credenciales.

  2. Haga clic en Agregar.

  3. En General, introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • Descripción: Introduzca una descripción.
    • Entidad de emisión: Seleccione la entidad PKI creada anteriormente.
    • Método de emisión: SIGN.
    • Plantillas: Seleccione la plantilla agregada en el apartado de la entidad PKI.

    Pantalla de configuración de proveedores de credenciales

  4. Haga clic en Solicitud de firma de certificado e introduzca los parámetros siguientes:

    • Algoritmo de clave: RSA
    • Tamaño de clave: 2048
    • Algoritmo de firma: SHA256withRSA
    • Nombre del sujeto: cn=$user.username

    Para Nombre alternativo del sujeto, haga clic en Agregar e introduzca los parámetros siguientes:

    • Tipo: Nombre principal del usuario.
    • Valor: $user.userprincipalname

    Pantalla de configuración de proveedores de credenciales

  5. Haga clic en Distribución e introduzca los parámetros siguientes:

    • CA emisora de certificados: Seleccione la CA emisora que firmó el certificado del cliente de Citrix Endpoint Management.
    • Seleccionar modo de distribución: Marque Preferir modo centralizado: Generación de clave en el lado del servidor.

    Pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes (Revocación Citrix Endpoint Management y Revocación PKI), defina los parámetros, si es necesario. En este ejemplo, ambas opciones se omiten.

  7. Haga clic en Renovación.

  8. Habilite Renovar certificados cuando caduquen.

  9. Deje todos los demás parámetros con los valores predeterminados o cámbielos si es necesario.

    Pantalla de configuración de proveedores de credenciales

  10. Haga clic en Guardar.

Configurar Citrix Secure Mail para la autenticación con certificados

Cuando agregue Citrix Secure Mail a Citrix Endpoint Management, configure los parámetros de Exchange en Parámetros de aplicación.

Pantalla Configuración de aplicaciones

Configurar la entrega de certificados de NetScaler Gateway en Citrix Endpoint Management

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway.

  3. Si NetScaler Gateway aún no está agregado, haga clic en Agregar y especifique los parámetros:

    • Nombre: Escriba un nombre descriptivo para el dispositivo.
    • Alias: Un alias opcional para el dispositivo.
    • URL externa: https://YourCitrixGatewayURL
    • Tipo de inicio de sesión: Seleccione Certificado y dominio.
    • Se requiere contraseña: Desactivado.
    • Establecer como predeterminado: Activado.
  4. En Autenticación y Entregar certificado de usuario para autenticación, seleccione .

    Pantalla de configuración de NetScaler Gateway

  5. En Proveedor de credenciales, seleccione un proveedor y haga clic en Guardar.

  6. Si va a usar atributos de sAMAccount en los certificados de usuario como alternativa al nombre principal de usuario (UPN), configure el conector de LDAP en Citrix Endpoint Management de este modo: vaya a Parámetros > LDAP, seleccione el directorio, haga clic en Modificar y seleccione sAMAccountName en Buscar usuarios por.

    Pantalla de configuración de LDAP

Habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya a Parámetros > Propiedades de cliente y marque las casillas Enable Citrix PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Solucionar problemas en la configuración de certificados de cliente

Después de definir correctamente la configuración anterior, además de configurar NetScaler Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben sus dispositivos móviles.

  2. Citrix Endpoint Management solicita a los usuarios que creen un PIN de Citrix.

  3. Se redirige a los usuarios al almacén de aplicaciones.

  4. Cuando los usuarios inician Citrix Secure Mail, Citrix Endpoint Management no les pide credenciales para configurar el buzón. En su lugar, Citrix Secure Mail solicitará el certificado del cliente de Citrix Secure Hub y lo enviará a Microsoft Exchange Server para la autenticación. Si Citrix Endpoint Management pide credenciales cuando los usuarios inician Citrix Secure Mail, verifique si ha configurado todo correctamente.

Si los usuarios pueden descargar e instalar Citrix Secure Mail, pero durante la configuración de buzones Citrix Secure Mail no puede finalizar la configuración:

  1. Si el servidor de Microsoft Exchange ActiveSync usa certificados de servidor SSL privados para proteger el tráfico, compruebe que los certificados raíz e intermedios están instalados en el dispositivo móvil.

  2. Compruebe que el tipo de autenticación seleccionado para ActiveSync es Requerir certificados de cliente.

    Pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, visite el sitio Microsoft-Server-ActiveSync para ver si tiene habilitada la autenticación con asignación de certificados del cliente. De forma predeterminada, la autenticación con asignación de certificados del cliente está inhabilitada. La opción está en Editor de configuración > Seguridad > Autenticación.

    Pantalla de configuración de Microsoft ActiveSync

    Después de seleccionar True, debe hacer clic en Aplicar para que los cambios tengan efecto.

  4. Revise la configuración de NetScaler Gateway en la consola de Citrix Endpoint Management: Entregar certificado de usuario para autenticación debe estar activado y Proveedor de credenciales debe tener seleccionado el perfil correcto.

Para determinar si el certificado del cliente se ha entregado a un dispositivo móvil

  1. En la consola de Citrix Endpoint Management, vaya a Administrar > Dispositivos y seleccione el dispositivo.

  2. Haga clic en Modificar o Mostrar más.

  3. Vaya a la sección Grupos de entrega y busque esta entrada:

    NetScaler Gateway Credentials: Requested credential, CertId=

Para validar si está habilitada la negociación de certificados de cliente

  1. Ejecute este comando netsh para ver la configuración del certificado SSL que está vinculado en el sitio web de IIS:

    netsh http show sslcert

  2. Si el valor de Negotiate Client Certificate es Disabled, ejecute el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=23498dfsdfhaf98rhkjqf9823rkjhdasf98asfk appid={123asd456jd-a12b-3c45-d678-123456lkjhgf} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si no puede entregar certificados raíz o intermedios a un dispositivo Windows Phone 8.1 a través de Citrix Endpoint Management:

  • Envíe los archivos .cer de certificados raíz/intermedios por correo electrónico al dispositivo Windows Phone 8.1 e instálelos directamente.

Si Citrix Secure Mail no se puede instalar correctamente en Windows Phone 8.1, compruebe lo siguiente:

  • El token de inscripción de la aplicación (archivo AETX) se entrega a través de Citrix Endpoint Management mediante la directiva de hub empresarial.
  • El token de inscripción de la aplicación se creó con el mismo certificado de empresa del proveedor de certificados utilizado para empaquetar Citrix Secure Mail y firmar las aplicaciones de Citrix Secure Hub.
  • Se usa el mismo ID de publicador para firmar y empaquetar Citrix Secure Hub, Citrix Secure Mail y el token de inscripción de la aplicación.