Autenticación con certificado de cliente o certificado + dominio

En Endpoint Management, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Endpoint Management, considere la posibilidad de usar la autenticación basada en certificados. En el entorno de Endpoint Management, esta configuración es la mejor combinación de seguridad y experiencia de usuario. La autenticación con certificado y dominio tiene las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en Citrix Gateway.

Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con resultado, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en Endpoint Management, Endpoint Management no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en Endpoint Management. Los usuarios se inscriben mediante un PIN único que Endpoint Management genera para ellos. Una vez que el usuario obtiene el acceso, Endpoint Management crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de Endpoint Management.

Puede utilizar el asistente de NetScaler para XenMobile para llevar a cabo la configuración necesaria para Endpoint Management cuando se usa la autenticación con solo certificado o la autenticación con certificado y dominio en Citrix Gateway. Puede ejecutar el asistente de NetScaler para XenMobile solamente una vez.

En los entornos de alta seguridad, donde el uso de las credenciales de LDAP fuera de una organización en redes públicas o no seguras se considera una amenaza acuciante a la seguridad de la organización. Para entornos altamente seguros, la autenticación de dos factores mediante un certificado del cliente y un token de seguridad es una posibilidad. Para obtener más información, consulte Configurar Endpoint Management para la autenticación con certificado y token de seguridad.

La autenticación con certificado del cliente está disponible para el modo MAM (también llamado solo MAM) y el modo ENT (cuando los usuarios se inscriben en MDM y MAM) de Endpoint Management. La autenticación con certificado del cliente no está disponible para el modo ENT de Endpoint Management cuando los usuarios se inscriben en el modo MAM antiguo. Para usar la autenticación de certificado de cliente en los modos ENT y MAM de Endpoint Management, debe configurar el servidor Microsoft, el servidor Endpoint Management y, a continuación, Citrix Gateway. Siga estos pasos generales, como se describe en este artículo.

En el servidor Microsoft:

  1. Agregue el complemento de Certificados a la consola MMC (Microsoft Management Console).
  2. Agregue la plantilla a la entidad de certificación (CA).
  3. Cree un certificado PFX desde el servidor de CA.

En el servidor Endpoint Management:

  1. Cargue el certificado en Endpoint Management.
  2. Cree una entidad PKI para la autenticación por certificado.
  3. Configure proveedores de credenciales.
  4. Configure Citrix Gateway para entregar un certificado de usuario para la autenticación.

En Citrix Gateway, configure los parámetros como se describe en la documentación de Citrix Gateway.

Requisitos previos

  • Cuando cree plantillas de entidad para Servicios de certificado de Microsoft, no use caracteres especiales para evitar posibles problemas de autenticación en los dispositivos inscritos. Por ejemplo, no use estos caracteres en el nombre de la plantilla: : ! $ () # % + * ~ ? | {} []

  • Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulte este blog de Microsoft.
  • Si utiliza certificados de servidor privados para proteger el tráfico de ActiveSync hacia el servidor Exchange Server, compruebe que los dispositivos móviles tienen todos los certificados raíz e intermedios. De lo contrario, la autenticación basada en certificados falla durante la configuración de buzones de correo en Secure Mail. En la consola IIS de Exchange, debe:
    • Agregar un sitio web para que Endpoint Management lo use con Exchange y enlazar el certificado de servidor web.
    • Usar el puerto 9443.
    • Para ese sitio Web, debe agregar dos aplicaciones, una para “Microsoft-Server-ActiveSync” y otra para “EWS”. En ambas aplicaciones, en Configuración de SSL, habilite Requerir SSL.

Agregar el complemento de Certificados a Microsoft Management Console

  1. Abra la consola y haga clic en Agregar o quitar complemento.

  2. Agregue los complementos siguientes:

    • Plantillas de certificado
    • Certificados (Equipo local)
    • Certificados (Usuario local)
    • Entidad de certificación (Local)

    Imagen de Microsoft Management Console

  3. Expanda Plantillas de certificado.

    Imagen de Microsoft Management Console

  4. Seleccione la plantilla Usuario y Duplicar plantilla.

    Imagen de Microsoft Management Console

  5. Suministre el nombre para mostrar de la plantilla.

    Importante:

    Marque la casilla Publicar certificado en Active Directory solo si es necesario. Si selecciona esta opción, todos los certificados de cliente de los usuarios se crearán en Active Directory, lo que podría desorganizar su base de datos de Active Directory.

  6. Seleccione Windows 2003 Server como tipo de plantilla. En Windows 2012 R2 Server, en Compatibilidad, seleccione Entidad de certificación y defina Windows 2003 como destinatario.

  7. En Seguridad, haga clic en Agregar y seleccione la cuenta del usuario de AD que Endpoint Management utilizará para generar certificados. Importante: Agregue solo el usuario de la cuenta de servicio aquí. Agregue el permiso Inscribir solo a esta cuenta de usuario de AD.

    Como se describe más adelante en este artículo, creará un certificado de usuario PFX utilizando la cuenta de servicio. Para obtener información, consulte Crear un certificado PFX desde el servidor de CA.

    Imagen de Microsoft Management Console

  8. En Criptografía, compruebe que indica el tamaño de la clave. Deberá indicar el tamaño de esa clave más adelante, durante la configuración de Endpoint Management.

    Imagen de Microsoft Management Console

  9. En Nombre del sujeto, seleccione Proporcionado por el solicitante. Aplique y guarde los cambios.

    Imagen de Microsoft Management Console

Agregar la plantilla a la entidad de certificación

  1. Vaya a Entidad de certificación y seleccione Plantillas de certificado.

  2. Haga clic con el botón secundario en el panel derecho y seleccione Nueva > Plantilla de certificado que se va a emitir.

    Imagen de Microsoft Management Console

  3. Seleccione la plantilla que creó en el paso anterior y haga clic en Aceptar para agregarla a la Entidad de certificación.

    Imagen de Microsoft Management Console

Crear un certificado PFX desde el servidor de CA

  1. Cree un certificado .pfx de usuario con la cuenta de servicio con la que inició sesión. Este PFX se carga en Endpoint Management, el cual solicita un certificado de usuario de parte de los usuarios que inscriban sus dispositivos.

  2. En Usuario actual, expanda Certificados.

  3. Haga clic con el botón secundario en el panel derecho y después haga clic en Solicitar un nuevo certificado.

    Imagen de Microsoft Management Console

  4. Aparecerá la pantalla Inscripción de certificados. Haga clic en Siguiente.

    Imagen de Microsoft Management Console

  5. Seleccione Directiva de inscripción de Active Directory y haga clic en Siguiente.

    Imagen de Microsoft Management Console

  6. Seleccione la plantilla Usuario y haga clic en Inscribir.

    Imagen de Microsoft Management Console

  7. Exporte el archivo .pfx que creó en el paso anterior.

    Imagen de Microsoft Management Console

  8. Haga clic en Exportar la clave privada.

    Imagen de Microsoft Management Console

  9. Marque las casillas Si es posible, incluir todos los certificados en la ruta de acceso de certificación y Exportar todas las propiedades extendidas.

    Imagen de Microsoft Management Console

  10. Defina la contraseña que va a usar para cargar este certificado en Endpoint Management.

    Imagen de Microsoft Management Console

  11. Guarde el certificado en su disco duro.

Cargar el certificado en Endpoint Management

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. Haga clic en Certificados y, a continuación, en Importar.

  3. Introduzca los parámetros siguientes:

    • Importar: Almacén de claves.
    • Tipo de almacén de claves: PKCS#12.
    • Usar como: Servidor.
    • Archivo de almacén de claves: Haga clic en “Examinar” para seleccionar el certificado PFX que acaba de crear.
    • Contraseña: Introduzca la contraseña que creó para este certificado.

    Imagen de la pantalla Configuración de certificados

  4. Haga clic en Importar.

  5. Verifique que el certificado se ha instalado correctamente. Un certificado correctamente instalado se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación con certificados

  1. En Parámetros, vaya a Más > Administración de certificados > Entidades PKI.

  2. Haga clic en Agregar y, a continuación, haga clic en Entidad de Servicios de certificados de Microsoft. Aparecerá la pantalla Entidad de Servicios de certificados de Microsoft: Información general.

  3. Introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • URL raíz del servicio de inscripción Web: https://RootCA-URL/certsrv/ Debe agregar la última barra diagonal (/) a la ruta de URL.
    • certnew.cer page name: certnew.cer (valor predeterminado)
    • certfnsh.asp: certfnsh.asp (valor predeterminado)
    • Tipo de autenticación: Certificado de cliente.
    • Certificado de cliente SSL: Seleccione el certificado de usuario que se va a usar para emitir el certificado del cliente de Endpoint Management.

    Imagen de la pantalla Configuración de certificados

  4. En Plantillas, agregue la plantilla que creó cuando configuró el certificado de Microsoft. No agregue espacios.

    Imagen de la pantalla Configuración de certificados

  5. Omita el paso “Parámetros HTTP” y haga clic en Certificados de CA.

  6. Seleccione el nombre de la CA raíz que le corresponda a su entorno. Esta CA raíz forma parte de la cadena importada desde el certificado del cliente de Endpoint Management.

    Imagen de la pantalla Configuración de certificados

  7. Haga clic en Guardar.

Configurar proveedores de credenciales

  1. En Parámetros, vaya a Más > Administración de certificados > Proveedores de credenciales.

  2. Haga clic en Agregar.

  3. En General, introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • Descripción: Introduzca una descripción.
    • Entidad de emisión: Seleccione la entidad PKI creada anteriormente.
    • Método de emisión: SIGN.
    • Plantillas: Seleccione la plantilla agregada en el apartado de la entidad PKI.

    Imagen de la pantalla de configuración de proveedores de credenciales

  4. Haga clic en Solicitud de firma de certificado e introduzca los parámetros siguientes:

    • Algoritmo de clave: RSA
    • Tamaño de clave: 2048
    • Algoritmo de firma: SHA1withRSA
    • Nombre del sujeto: cn=$user.username

    Para Nombre alternativo del sujeto, haga clic en Agregar e introduzca los parámetros siguientes:

    • Tipo: Nombre principal del usuario.
    • Valor: $user.userprincipalname

    Imagen de la pantalla de configuración de proveedores de credenciales

  5. Haga clic en Distribución e introduzca los parámetros siguientes:

    • CA emisora de certificados: Seleccione la CA emisora que firmó el certificado del cliente de Endpoint Management.
    • Seleccionar modo de distribución: Marque Preferir modo centralizado: Generación de clave en el lado del servidor.

    Imagen de la pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes (Revocación Endpoint Management y Revocación PKI), defina los parámetros, si es necesario. En este ejemplo, ambas opciones se omiten.

  7. Haga clic en Renovación.

  8. En Renovar certificados cuando caduquen, seleccione .

  9. Deje todos los demás parámetros con los valores predeterminados o cámbielos si es necesario.

    Imagen de la pantalla de configuración de proveedores de credenciales

  10. Haga clic en Guardar.

Configurar Secure Mail para la autenticación con certificados

Cuando agregue Secure Mail a Endpoint Management, configure los parámetros de Exchange en Parámetros de aplicación.

Imagen de la pantalla Configuración de aplicaciones

Configurar la entrega de certificados de Citrix Gateway en Endpoint Management

  1. Inicie sesión en la consola de Endpoint Management y haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway.

  3. Si Citrix Gateway aún no está agregado, haga clic en Agregar y especifique los parámetros:

    • URL externa: https://YourCitrixGatewayURL
    • Tipo de inicio de sesión: Certificado.
    • Se requiere contraseña: No.
    • Establecer como predeterminado: Sí.
  4. En Entregar certificado de usuario para autenticación, seleccione .

    Imagen de la pantalla de configuración de Citrix Gateway

  5. En Proveedor de credenciales, seleccione un proveedor y haga clic en Guardar.

  6. Si va a usar atributos de sAMAccount en los certificados de usuario como alternativa al nombre principal de usuario (UPN), configure el conector de LDAP en Endpoint Management de este modo: vaya a Parámetros > LDAP, seleccione el directorio, haga clic en Modificar y seleccione sAMAccountName en Buscar usuarios por.

    Imagen de la pantalla de configuración de LDAP

Habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya a Parámetros > Propiedades de cliente y marque las casillas Enable Citrix PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Crear una directiva Hub empresarial para Windows Phone

Para dispositivos Windows Phone, es necesario crear una directiva Hub empresarial para entregar el archivo AETX y el cliente Secure Hub.

Nota:

Compruebe que los archivos AETX y Secure Hub utilizan:

  • El mismo certificado de empresa del proveedor de certificado.
  • El mismo ID de publicador en el perfil de cuenta de desarrollador de la Tienda Windows.
  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo.

  2. Haga clic en Agregar y, a continuación, en Más > Agente de Endpoint Management, haga clic en Hub empresarial.

  3. Después de dar un nombre a la directiva, seleccione el archivo AETX correcto y la aplicación Secure Hub firmada para Hub empresarial.

    Imagen de la pantalla de configuración Directivas de dispositivo

  4. Asigne la directiva a grupos de entrega y guárdela.

Solucionar problemas en la configuración de certificados de cliente

Después de definir correctamente la configuración anterior, además de configurar Citrix Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben sus dispositivos móviles.

  2. Endpoint Management solicita a los usuarios que creen un PIN de Citrix.

  3. Se redirige a los usuarios a la tienda de aplicaciones.

  4. Cuando los usuarios inician Secure Mail, Endpoint Management no les pide credenciales para configurar el buzón. En su lugar, Secure Mail solicitará el certificado del cliente de Secure Mail y lo enviará a Microsoft Exchange Server para la autenticación. Si Endpoint Management pide credenciales cuando los usuarios inician Secure Mail, verifique si ha configurado todo correctamente.

Si los usuarios pueden descargar e instalar Secure Mail, pero durante la configuración de buzones Secure Mail no puede finalizar la configuración:

  1. Si el servidor de Microsoft Exchange ActiveSync usa certificados de servidor SSL privados para proteger el tráfico, compruebe que los certificados raíz e intermedios están instalados en el dispositivo móvil.

  2. Compruebe que el tipo de autenticación seleccionado para ActiveSync es Requerir certificados de cliente.

    Imagen de la pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, visite el sitio Microsoft-Server-ActiveSync para ver si tiene habilitada la autenticación con asignación de certificados del cliente. De forma predeterminada, la autenticación con asignación de certificados del cliente está inhabilitada. La opción está en Editor de configuración > Seguridad > Autenticación.

    Imagen de la pantalla de configuración de Microsoft ActiveSync

    Después de seleccionar Verdadero, debe hacer clic en Aplicar para que los cambios tengan efecto.

  4. Revise la configuración de Citrix Gateway en la consola de Endpoint Management: Entregar certificado de usuario para autenticación debe estar activado y Proveedor de credenciales debe tener seleccionado el perfil correcto.

Para determinar si el certificado del cliente se ha entregado a un dispositivo móvil

  1. En la consola de Endpoint Management, vaya a Administrar > Dispositivos y seleccione el dispositivo.

  2. Haga clic en Modificar o Mostrar más.

  3. Vaya a la sección Grupos de entrega y busque esta entrada:

    NetScaler Gateway Credentials: Requested credential, CertId=

Para validar si está habilitada la negociación de certificados de cliente

  1. Ejecute este comando netsh para ver la configuración del certificado SSL que está vinculado en el sitio Web de IIS:

    netsh http show sslcert

  2. Si el valor de Negotiate Client Certificate es Disabled, ejecute el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si no puede entregar certificados raíz o intermedios a un dispositivo Windows Phone 8.1 a través de Endpoint Management:

  • Envíe los archivos .cer de certificados raíz/intermedios por correo electrónico al dispositivo Windows Phone 8.1 e instálelos directamente.

Si Secure Mail no se puede instalar correctamente en Windows Phone 8.1, compruebe lo siguiente:

  • El token de inscripción de la aplicación (archivo AETX) se entrega a través de Endpoint Management mediante la directiva Hub empresarial.
  • El token de inscripción de la aplicación se creó con el mismo certificado de empresa del proveedor de certificados utilizado para empaquetar Secure Mail y firmar las aplicaciones de Secure Hub.
  • Se usa el mismo ID de publicador para firmar y empaquetar Secure Hub, Secure Mail y el token de inscripción de la aplicación.