Citrix Endpoint Management™

Proveedores de credenciales

April 21, 2026

Contribución de:

C C

Los proveedores de credenciales son las configuraciones de certificado reales que usas en las distintas partes del sistema Citrix Endpoint Management. Los proveedores de credenciales definen las fuentes, los parámetros y los ciclos de vida de tus certificados. Esas operaciones se producen tanto si los certificados forman parte de las configuraciones de dispositivos como si son independientes (es decir, se envían tal cual al dispositivo).

La inscripción de dispositivos limita el ciclo de vida del certificado. Es decir, Citrix Endpoint Management no emite certificados antes de la inscripción, aunque Citrix Endpoint Management puede emitir algunos certificados como parte de la inscripción. Además, los certificados emitidos desde la PKI interna en el contexto de una inscripción se revocan cuando se revoca la inscripción. Una vez finalizada la relación de administración, no queda ningún certificado válido.

Puedes usar una configuración de proveedor de credenciales en muchos lugares, de modo que una configuración puede administrar cualquier número de certificados al mismo tiempo. La unidad se centra entonces en el recurso de implementación y en la implementación. Por ejemplo, si el proveedor de credenciales P se implementa en el dispositivo D como parte de la configuración C: Los parámetros de emisión de P determinan el certificado que se implementa en D. Del mismo modo, los parámetros de renovación de D se aplican cuando se actualiza C. Y los parámetros de revocación de D también se aplican cuando se elimina C o cuando se revoca D.
Según esas reglas, la configuración del proveedor de credenciales en Citrix Endpoint Management determina lo siguiente:
La fuente de los certificados.
El método para obtener certificados: Firmar un certificado nuevo o recuperar un par de certificado y clave existente.
Los parámetros para la emisión o recuperación: Por ejemplo, los parámetros de la solicitud de firma de certificado (CSR), como el tamaño de clave, el algoritmo de clave y las extensiones de certificado.
La forma en que se entregan los certificados al dispositivo.
Condiciones de revocación: Aunque todos los certificados se revocan en Citrix Endpoint Management cuando se interrumpe la relación de administración, la configuración puede especificar una revocación anterior. Por ejemplo, la configuración puede especificar que los certificados se marquen como revocados cuando se eliminan del dispositivo. Además, bajo algunas condiciones, la revocación del certificado asociado en Citrix Endpoint Management puede enviarse a la infraestructura de clave pública (PKI) de back-end. Es decir, la revocación de certificados en Citrix Endpoint Management puede provocar la revocación del certificado en la PKI.
Parámetros de renovación: Los certificados obtenidos a través de un proveedor de credenciales determinado pueden renovarse automáticamente cuando se acerque su caducidad. O, independientemente de esa situación, pueden emitirse notificaciones cuando se acerque esa caducidad.

La disponibilidad de las opciones de configuración depende principalmente del tipo de entidad PKI y del método de emisión que selecciones para un proveedor de credenciales.

Método de emisión de certificados

Puedes obtener un certificado, conocido como método de emisión, mediante firma.

Con este método, la emisión implica crear una nueva clave privada, crear una CSR y enviar la CSR a una entidad de certificación (CA) para su firma. Citrix Endpoint Management admite el método de firma para entidades de servicios de certificados de MS y entidades de CA discrecionales.

Un proveedor de credenciales usa el método de emisión de firma.

Entrega de certificados

Hay dos modos de entrega de certificados disponibles en Citrix Endpoint Management: centralizado y distribuido. El modo distribuido usa el Protocolo simple de inscripción de certificados (SCEP) y solo está disponible en situaciones en las que el cliente admite el protocolo (solo iOS). El modo distribuido es obligatorio en algunas situaciones.

Para que un proveedor de credenciales admita la entrega distribuida (asistida por SCEP), es necesario un paso de configuración especial: Configurar certificados de entidad de registro (RA). Los certificados RA son necesarios porque, si usas el protocolo SCEP, Citrix Endpoint Management actúa como un delegado (un registrador) de la entidad de certificación real. Citrix Endpoint Management debe demostrar al cliente que tiene la autoridad para actuar como tal. Esa autoridad se establece cargando los certificados mencionados anteriormente en Citrix Endpoint Management.

Se requieren dos roles de certificado distintos (aunque un único certificado puede cumplir ambos requisitos): firma de RA y cifrado de RA. Las restricciones para estos roles son las siguientes:

El certificado de firma de RA debe tener el uso de clave X.509 de firma digital.
El certificado de cifrado de RA debe tener el uso de clave X.509 de cifrado de clave.
Para configurar los certificados RA del proveedor de credenciales, carga los certificados en Citrix Endpoint Management y luego los vinculas en el proveedor de credenciales.

Se considera que un proveedor de credenciales admite la entrega distribuida solo si el proveedor tiene un certificado configurado para roles de certificado. Puedes configurar cada proveedor de credenciales para preferir el modo centralizado, preferir el modo distribuido o requerir el modo distribuido. El resultado real depende del contexto: Si el contexto no admite el modo distribuido, pero el proveedor de credenciales requiere este modo, la implementación falla. Del mismo modo, si el contexto requiere el modo distribuido, pero el proveedor de credenciales no admite el modo distribuido, la implementación falla. En todos los demás casos, se respeta la configuración preferida.

La siguiente tabla muestra la distribución de SCEP en todo Citrix Endpoint Management:

| Contexto | SCEP admitido | SCEP requerido | | — | – | – |

Servicio de perfiles de iOS

Sí

Inscripción de administración de dispositivos móviles de iOS	Sí	No
Perfiles de configuración de iOS	Sí	No
Inscripción de SHTP	No	No
Configuración de SHTP	No	No
Inscripción de tabletas Windows	No	No

Configuración de tabletas Windows

No, excepto para la directiva de dispositivos de red, que se admite para las versiones de Windows 10 y Windows 11

Revocación de certificados

-  Hay tres tipos de revocación.

-  **Revocación interna:** La revocación interna afecta al estado del certificado mantenido por Citrix Endpoint Management. Citrix Endpoint Management considera este estado al evaluar un certificado presentado o al proporcionar información de estado OCSP para un certificado. La configuración del proveedor de credenciales determina cómo se ve afectado este estado en diversas condiciones. Por ejemplo, el proveedor de credenciales puede especificar que los certificados se marquen como revocados cuando se eliminan del dispositivo.
-  **Revocación propagada externamente:** También conocida como Revocación de Citrix Endpoint Management, este tipo de revocación se aplica a los certificados obtenidos de una PKI externa. El certificado se revoca en la PKI cuando Citrix Endpoint Management revoca internamente el certificado, según las condiciones definidas por la configuración del proveedor de credenciales.
-  **Revocación inducida externamente:** También conocida como Revocación de PKI, este tipo de revocación también solo se aplica a los certificados obtenidos de una PKI externa. Cada vez que Citrix Endpoint Management evalúa un estado de certificado determinado, Citrix Endpoint Management consulta a la PKI sobre ese estado. Si el certificado se revoca, Citrix Endpoint Management revoca internamente el certificado. Este mecanismo usa el protocolo OCSP.

-  Estos tres tipos no son exclusivos, sino que se aplican conjuntamente. Una revocación externa o un hallazgo independiente pueden provocar una revocación interna. Una revocación interna puede afectar potencialmente a una revocación externa.

Renovación de certificados

Una renovación de certificado es la combinación de la revocación del certificado existente y la emisión de otro certificado.

    -  Citrix Endpoint Management primero intenta obtener el nuevo certificado antes de revocar el certificado anterior, para evitar la interrupción del servicio si la emisión falla. Para la entrega distribuida (compatible con SCEP), la revocación también solo ocurre después de que el certificado se haya instalado correctamente en el dispositivo. De lo contrario, la revocación ocurre antes de que el nuevo certificado se envíe al dispositivo. Esa revocación es independiente del éxito o el fracaso de la instalación del certificado.

    -  La configuración de revocación requiere que especifiques una duración determinada (en días). Cuando el dispositivo se conecta, el servidor verifica si la fecha `NotAfter` del certificado es posterior a la fecha actual, menos la duración especificada. Si el certificado cumple esa condición, Citrix Endpoint Management intenta renovar el certificado.

    -  ## Crear un proveedor de credenciales

    -  La configuración de un proveedor de credenciales varía principalmente en función de la entidad emisora y el método de emisión que selecciones para el proveedor de credenciales. Puedes distinguir entre proveedores de credenciales que utilizan una entidad interna o una entidad externa:

-  Una entidad discrecional, que es interna a Citrix Endpoint Management, es una entidad interna. El método de emisión para una entidad discrecional es siempre una firma. Firmar significa que, con cada operación de emisión, Citrix Endpoint Management firma un nuevo par de claves con el certificado de CA seleccionado para la entidad. Si el par de claves se genera en el dispositivo o en el servidor depende del método de distribución que selecciones.

    -  Una entidad externa, que forma parte de tu infraestructura corporativa, incluye la CA de Microsoft.

    -  1.  En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha y, a continuación, haz clic en **Configuración > Proveedores de credenciales**.

    -  1.  En la página **Proveedores de credenciales**, haz clic en **Agregar**.

    -  Aparece la página **Proveedores de credenciales: Información general**.

En la página Proveedores de credenciales: Información general, haz lo siguiente:
```
-  **Nombre:** Escribe un nombre único para la nueva configuración del proveedor. Este nombre se utiliza más adelante para identificar la configuración en otras partes de la consola de Citrix Endpoint Management.
-  **Descripción:** Describe el proveedor de credenciales. Aunque este campo es opcional, una descripción puede proporcionar detalles útiles sobre este proveedor de credenciales.
-  **Entidad emisora:** Haz clic en la entidad emisora del certificado. -  **Método de emisión:** Haz clic en **Firmar** o **Obtener** para que sirva como método que el sistema utiliza para obtener certificados de la entidad configurada. Para la autenticación de certificados de cliente, usa **Firmar**. -  Si la lista **Plantilla** está disponible, selecciona la plantilla que agregaste en la entidad PKI para el proveedor de credenciales.

Estas plantillas están disponibles cuando se agregan entidades de servicios de certificados de Microsoft en **Configuración > Entidades PKI**.
```
- 1. Haz clic en Siguiente.
- Aparece la página Proveedores de credenciales: Solicitud de firma de certificado.
  - 1. En la página Proveedores de credenciales: Solicitud de firma de certificado, configura lo siguiente según tu configuración de certificado:
- Algoritmo de clave: Elige el algoritmo de clave para el nuevo par de claves. Los valores disponibles son RSA, DSA y ECDSA.
  - Tamaño de clave: Escribe el tamaño, en bits, del par de claves. Este campo es obligatorio.
  Los valores permitidos dependen del tipo de clave. Por ejemplo, el tamaño máximo para las claves DSA es de 2048 bits. Para evitar falsos negativos, que dependen del hardware y el software subyacentes, Citrix Endpoint Management no aplica tamaños de clave. Prueba siempre las configuraciones del proveedor de credenciales en un entorno de prueba antes de activarlas en producción.
  - Algoritmo de firma: Haz clic en un valor para el nuevo certificado. Los valores dependen del algoritmo de clave.
  - Nombre del sujeto: Obligatorio. Escribe el nombre distinguido (DN) del nuevo sujeto del certificado. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
- Por ejemplo, para la autenticación de certificados de cliente, usa esta configuración:
  - Algoritmo de clave: RSA
  - Tamaño de clave: 2048
  - Algoritmo de firma: SHA256withRSA
  - Nombre del sujeto: cn=$user.username
- Para agregar una entrada a la tabla Nombres alternativos del sujeto, haz clic en Agregar. Selecciona el tipo de nombre alternativo y, a continuación, escribe un valor en la segunda columna.
  
  Para la autenticación de certificados de cliente, especifica:
  - Tipo: Nombre principal de usuario
  - Valor: $user.userprincipalname
    
    Al igual que con el nombre del sujeto, puedes usar macros de Citrix Endpoint Management en el campo de valor.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Distribución.
En la página Proveedores de credenciales: Distribución, haz lo siguiente:
- En la lista Certificado de CA emisor, haz clic en el certificado de CA ofrecido. Debido a que el proveedor de credenciales utiliza una entidad de CA discrecional, el certificado de CA para el proveedor de credenciales es siempre el certificado de CA configurado en la propia entidad. El certificado de CA se presenta aquí para mantener la coherencia con las configuraciones que utilizan entidades externas.
- En Seleccionar modo de distribución, haz clic en una de las siguientes formas de generar y distribuir claves:
  - Preferir centralizado: Generación de claves en el servidor: Citrix recomienda esta opción centralizada. Es compatible con todas las plataformas compatibles con Citrix Endpoint Management y es necesaria cuando se utiliza la autenticación de NetScaler Gateway. Las claves privadas se generan y almacenan en el servidor y se distribuyen a los dispositivos de los usuarios.
  - Preferir distribuido: Generación de claves en el dispositivo: Las claves privadas se generan y almacenan en los dispositivos de los usuarios. Este modo distribuido utiliza SCEP y requiere un certificado de cifrado de RA con keyUsage keyEncryption y un certificado de firma de RA con KeyUsage digitalSignature. El mismo certificado se puede usar tanto para el cifrado como para la firma.
  - Solo distribuido: Generación de claves en el dispositivo: Esta opción funciona igual que Preferir distribuido: Generación de claves en el dispositivo, excepto que, al ser “Solo” en lugar de “Preferir”, no hay ninguna opción disponible si la generación de claves en el dispositivo falla o no está disponible.
Si seleccionas Preferir distribuido: Generación de claves en el dispositivo o Solo distribuido: Generación de claves en el dispositivo, haz clic en el certificado de firma de RA y en el certificado de cifrado de RA. Se puede usar el mismo certificado para ambos. Aparecen nuevos campos para estos certificados.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Revocación de Citrix Endpoint Management. En esta página, configuras las condiciones bajo las cuales Citrix Endpoint Management marca internamente los certificados, emitidos a través de esta configuración de proveedor, como revocados.
En la página Proveedores de credenciales: Revocación de Citrix Endpoint Management, haz lo siguiente:
- En Revocar certificados emitidos, selecciona una de las opciones que indican cuándo revocar certificados.
- Para indicar a Citrix Endpoint Management que envíe una notificación cuando se revoque el certificado: establece el valor de Enviar notificación en Activado y elige una plantilla de notificación.
- Para revocar el certificado en la PKI cuando se revoque el certificado de Citrix Endpoint Management: establece Revocar certificado en PKI en Activado y, en la Lista de entidades, haz clic en una plantilla. La Lista de entidades muestra todas las entidades disponibles con capacidades de revocación. Cuando se revoca el certificado de Citrix Endpoint Management, se envía una llamada de revocación a la PKI seleccionada de la Lista de entidades.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Revocación de PKI. En esta página, identificas qué acciones realizar en la PKI si se revoca el certificado. También tienes la opción de crear un mensaje de notificación.
En la página Proveedores de credenciales: Revocación de PKI, haz lo siguiente si quieres revocar certificados de la PKI:
- Cambia la configuración de Habilitar comprobaciones de revocación externas a Activado. Aparecen más campos relacionados con la revocación de PKI.
- En la lista Certificado de CA del respondedor OCSP, haz clic en el nombre distintivo (DN) del sujeto del certificado.
  
  Puedes usar macros de Citrix Endpoint Management para los valores del campo DN. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
- En la lista Cuando se revoque el certificado, haz clic en una de las siguientes acciones para realizar en la entidad PKI cuando se revoque el certificado:
  - No hacer nada.
  - Renovar el certificado.
  - Revocar y borrar el dispositivo.
- Para indicar a Citrix Endpoint Management que envíe una notificación cuando se revoque el certificado: establece el valor de Enviar notificación en Activado.
  
  Puedes elegir entre dos opciones de notificación:
- Si seleccionas Seleccionar plantilla de notificación, puedes seleccionar un mensaje de notificación preescrito que luego puedes personalizar. Estas plantillas están en la lista Plantilla de notificación.
- Si seleccionas Introducir detalles de notificación, puedes escribir tu propio mensaje de notificación. Además de proporcionar la dirección de correo electrónico del destinatario y el mensaje, puedes establecer la frecuencia con la que se envía la notificación.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Renovación. En esta página, puedes configurar Citrix Endpoint Management para que haga lo siguiente:
- Renovar el certificado. Opcionalmente, puedes enviar una notificación al renovar y, opcionalmente, excluir los certificados ya caducados de la operación.
- Emitir una notificación para los certificados que se acercan a la caducidad (notificación antes de la renovación).
En la página Proveedores de credenciales: Renovación, haz lo siguiente si quieres renovar certificados cuando caduquen:

Establece Renovar certificados cuando caduquen en Activado. Aparecen más campos.
- En el campo Renovar cuando el certificado esté dentro de, escribe cuántos días antes de la caducidad se debe renovar el certificado.
- Opcionalmente, selecciona No renovar certificados que ya hayan caducado. En este caso, “ya caducado” significa que la fecha NotAfter está en el pasado, no que se haya revocado. Citrix Endpoint Management no renueva certificados después de que se hayan revocado internamente.
Para indicar a Citrix Endpoint Management que envíe una notificación cuando se haya renovado el certificado: establece Enviar notificación en Activado. Para indicar a Citrix Endpoint Management que envíe una notificación cuando el certificado se acerque a la caducidad: establece Notificar cuando el certificado se acerque a la caducidad en Activado. Para cualquiera de esas opciones, puedes elegir entre dos opciones de notificación:
- Seleccionar plantilla de notificación: Selecciona un mensaje de notificación preescrito que luego puedes personalizar. Estas plantillas están en la lista Plantilla de notificación.
- Introducir detalles de notificación: Escribe tu propio mensaje de notificación. Proporciona la dirección de correo electrónico del destinatario, un mensaje y una frecuencia para enviar la notificación.
En el campo Notificar cuando el certificado esté dentro de, escribe cuántos días antes de la caducidad del certificado se debe enviar la notificación.
Haz clic en Guardar.

El proveedor de credenciales aparece en la tabla Proveedor de credenciales.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Proveedores de credenciales

April 21, 2026

Contribución de:

C C

April 21, 2026

Contribución de:

C C

¿Le ha resultado útil?