Citrix Endpoint Management

Entidades PKI

La configuración de una entidad de infraestructura de clave pública (PKI) de Endpoint Management representa un componente que lleva a cabo operaciones de PKI (emisión, revocación e información de estado). Estos componentes son internos o externos a Endpoint Management. Los componentes internos se conocen como discrecionales. Los componentes externos forman parte de su infraestructura corporativa.

Endpoint Management admite los siguientes tipos de entidades de infraestructura PKI:

  • PKI genéricas (GPKI)

    El protocolo PKI genérico de Endpoint Management admite DigiCert Managed PKI.

  • Servicios de certificados de Microsoft

  • Entidades de certificación discrecionales (CA)

Endpoint Management admite los siguientes servidores de CA:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Conceptos comunes de infraestructura de clave pública

Independientemente de su tipo, cada entidad de infraestructura de clave pública (PKI) tiene un subconjunto de las siguientes funciones:

  • Sign: Emitir un nuevo certificado a partir de una solicitud de firma de certificado (CSR).
  • Fetch: Recuperar un par de claves y un certificado existentes.
  • Revoke: Revocar un certificado de cliente.

Acerca de los certificados de CA

Cuando configure una entidad de infraestructura PKI, deberá indicar a Endpoint Management el certificado de CA que va a actuar como firmante de los certificados que esta entidad emita (o de aquellos certificados que se obtengan de ella). Esa entidad PKI puede devolver certificados (ya sean recuperados o recién firmados) que haya firmado una cantidad indefinida de entidades de certificación (CA).

Debe proporcionar el certificado de cada una de estas entidades de certificación cuando configure la entidad de infraestructura PKI. Para ello, cargue los certificados en Endpoint Management y, a continuación, vincúlelos en la entidad de infraestructura PKI. Para las entidades de certificación discrecionales, el certificado es implícitamente el certificado de firma de CA. Para las entidades externas, debe especificar manualmente el certificado.

Importante:

Cuando cree plantillas de entidad para Servicios de certificados de Microsoft, para evitar posibles problemas de autenticación en los dispositivos inscritos, no use caracteres especiales en el nombre de las plantillas. Por ejemplo, no use: ! : $ ( ) # % + * ~ ? | { } [ ]

Infraestructura de clave pública genérica

El protocolo de infraestructura de clave pública genérica (GPKI) es un protocolo propietario de Endpoint Management que se ejecuta sobre una capa de servicios web SOAP. El protocolo GPKI proporciona una interfaz uniforme con varias soluciones PKI. El protocolo GPKI define las siguientes operaciones fundamentales de infraestructura de clave pública:

  • Sign: El adaptador puede hacerse cargo de las solicitudes de firma de certificado (CSR), transmitirlas a la infraestructura de clave pública y devolver los certificados recién firmados.
  • Fetch: El adaptador puede recuperar certificados y pares de claves existentes (según los parámetros de entrada) desde la infraestructura de clave pública.
  • Revoke: El adaptador puede hacer que la infraestructura de clave pública revoque un certificado determinado.

El receptor final del protocolo GPKI es el adaptador de GPKI. El adaptador traduce las operaciones fundamentales para el tipo específico de infraestructura de clave pública para el que se creó. Por ejemplo, existen adaptadores GPKI para RSA y Entrust.

El adaptador de GPKI, como punto final de servicios web SOAP, publica un archivo (o definición) en formato WSDL (Web Services Description Language) que se puede analizar de forma autónoma. Crear una entidad de infraestructura de clave pública genérica significa suministrar a Endpoint Management esa definición en formato WSDL, ya sea a través de una dirección URL o cargando el archivo en cuestión.

Admitir cada una de las operaciones de PKI en un adaptador es opcional. Si un adaptador admite esa operación, es que tiene la funcionalidad correspondiente (firmar, obtener o revocar). Cada una de estas capacidades se puede asociar a un conjunto de parámetros de usuario.

Los parámetros de usuario son aquellos parámetros que define el adaptador de GPKI para una operación específica. Proporcione a Endpoint Management valores para los parámetros de usuario. Endpoint Management analiza el archivo WSDL para determinar las operaciones que puede realizar el adaptador y los parámetros que necesita para cada una de ellas. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre Endpoint Management y el adaptador de GPKI.

Para agregar una infraestructura de clave pública genérica

  1. En la consola de Endpoint Management, haga clic en Parámetros > Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

    Pantalla de configuración de entidades PKI

  3. Haga clic en Entidad de PKI genérica.

    Aparecerá la página “Entidad de PKI genérica: Información general”.

    Pantalla de configuración de entidades PKI

  4. En la página Entidad de PKI genérica: Información general, lleve a cabo lo siguiente:

    • Nombre: Escriba un nombre descriptivo para la entidad de infraestructura PKI.
    • URL de WSDL: Escriba la ubicación del archivo WSDL que describe el adaptador.
    • Tipo de autenticación: Haga clic en el método de autenticación que se va a utilizar.
      • Ninguna
      • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para conectarse al adaptador.
      • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
  5. Haga clic en Siguiente.

    Aparecerá la página “Entidad de PKI genérica: Capacidades del adaptador”.

  6. En la página Entidad de PKI genérica: Capacidades del adaptador, revise las funciones y los parámetros asociados al adaptador y, a continuación, haga clic en Siguiente.

    Aparecerá la página Entidad de PKI genérica: Certificados de CA emisora.

  7. En la página “Entidad de PKI genérica: Certificados de CA emisora”, seleccione los certificados que se van a utilizar para la entidad.

    Aunque las entidades puedan devolver certificados firmados por varias entidades de certificación, todos los certificados obtenidos de un proveedor de certificados determinado deben estar firmados por la misma entidad de certificación. Por lo tanto, al configurar el parámetro Proveedor de credenciales, en la página Distribución, seleccione uno de los certificados configurados aquí.

  8. Haga clic en Guardar.

    La entidad se muestra en la tabla “Entidades PKI”.

DigiCert Managed PKI

El protocolo PKI genérico de Endpoint Management admite DigiCert Managed PKI, también conocido como MPKI. En esta sección se describe cómo configurar Windows Server y Endpoint Management para DigiCert Managed PKI.

Requisitos previos

  • Acceder a la infraestructura de DigiCert Managed PKI
  • Windows Server 2012 R2 con los siguientes componentes instalados como se indica en este artículo:
    • Java
    • Apache Tomcat
    • Cliente PKI de Symantec
    • Portecle
  • Acceso al sitio de descargas de Endpoint Management.

Instalar Java en Windows Server

Descargue Java para Windows de 64 bits desde el sitio web Java y, a continuación, instale la aplicación. En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.

Instalar Apache Tomcat en Windows Server

Descargue el instalador más reciente de Apache Tomcat de 32 o 64 bits para Servicios de Windows desde https://tomcat.apache.org/ y, a continuación, ejecútelo. En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. Complete la configuración de Apache Tomcat con los ejemplos siguientes como guía.

Pantalla de configuración de Apache Tomcat

Pantalla de configuración de Apache Tomcat

Pantalla de configuración de Apache Tomcat

Pantalla de configuración de Apache Tomcat

Pantalla de configuración de Apache Tomcat

A continuación, vaya a Servicios de Windows y cambie Tipo de inicio de Manual a Automático.

Pantalla de configuración de Servicios de Windows

Pantalla de configuración de Servicios de Windows

Instalar el cliente de DigiCert PKI en Windows Server

Descargue el instalador desde la consola de administrador de la infraestructura de clave pública. Si no dispone de acceso a la consola, descargue el instalador desde la página de asistencia de DigiCert Cómo descargar el cliente de DigiCert PKI. Descomprima y ejecute el instalador.

Instalación del cliente de DigiCert PKI

Instalación del cliente de DigiCert PKI

En el cuadro de diálogo Advertencia de seguridad, debe hacer clic en Ejecutar. Siga las instrucciones del instalador para completar la instalación y la configuración. Cuando se completen los pasos del instalador, se le solicitará que reinicie.

Instalar Portecle en Windows Server

Descargue el instalador desde https://sourceforge.net/projects/portecleinstall/files/ y, a continuación, descomprímalo y ejecútelo.

Generar el certificado de la entidad de registro (RA) para DigiCert Managed PKI

El almacén de claves relativo a la autenticación por certificados de cliente se encuentra en un certificado de entidad de registro (RA) llamado RA.jks. En los pasos siguientes se describe cómo generar ese certificado desde Portecle. También puede generar el certificado de RA desde la interfaz de línea de comandos de Java.

En este artículo también se describe cómo cargar los certificados públicos y RA.

  1. En Portecle, vaya a Tools > Generate Key Pair, proporcione la información necesaria y genere el par de claves.

    Pantalla de configuración de Portecle

  2. Haga clic con el botón secundario en el par de claves y, a continuación, haga clic en Generate Certification Request.

    Pantalla de configuración de Portecle

  3. Copie la solicitud CSR.

  4. En Symantec PKI Manager, genere un certificado de RA: haga clic en Settings > Get a RA Certificate, pegue la solicitud CSR y, a continuación, haga clic en Continue.

    Pantalla de configuración de Symantec PKI Manager

  5. Haga clic en Download para descargar el certificado de RA generado.

    Pantalla de configuración de Symantec PKI Manager

  6. En Portecle, importe el certificado de RA: haga clic con el botón secundario en el par de claves y, a continuación, haga clic en Import CA Reply.

    Pantalla de configuración de Portecle

  7. En Symantec PKI Manager, vaya a Resources > Web Services y descargue los certificados de CA.

    Pantalla de configuración de Symantec PKI Manager

  8. En Portecle, importe los certificados intermedios y raíz de RA en el almacén de claves: vaya a Tools > Import Trusted Certificates.

    Pantalla de configuración de Portecle

  9. Después de importar los certificados de las entidades de certificación, guarde el almacén de claves como RA.jks en la carpeta C:\Symantec en el servidor Windows.

    Pantalla de configuración de Portecle

Configurar el adaptador PKI de Symantec en Windows Server

  1. Inicie sesión en Windows Server con credenciales de administrador.

  2. Cargue el archivo RA.jks generado en la sección anterior. Cargue también los certificados públicos (cacerts.jks) para su servidor Symantec MPKI.

  3. Descargue el archivo del adaptador PKI de Symantec:

    1. Vaya a https://www.citrix.com/downloads.
    2. Vaya a Citrix Endpoint Management (y Citrix XenMobile Server) > XenMobile Server (local) > Software de producto > XenMobile Server 10 > Herramientas.
    3. En el mosaico Symantec PKI Adapter, haga clic en Download File (Descargar archivo).
    4. Descomprima y copie los archivos a la unidad C: del servidor de Windows:
      • custom_gpki_adapter.properties
      • Symantec.war
  4. Abra custom_gpki_adapter.properties en el Bloc de notas y modifique los siguientes valores:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Copie el archivo Symantec.war que se encuentra en la carpeta <tomcat dir>\webapps y, a continuación, inicie Tomcat.

  6. Compruebe que la aplicación se ha implementado: abra un explorador web y vaya a https://localhost/Symantec. (si obtiene un error de certificado, considere conectarse con HTTP).

  7. Vaya a la carpeta <tomcat dir>\webapps\Symantec\WEB-INF\classes y modifique gpki_adapter.properties. Modifique la propiedad CustomProperties para que apunte al archivo custom_gpki_adapter ubicado en la carpeta C:\Symantec:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Reinicie Tomcat, vaya a https://localhost/Symantec y, a continuación, copie la dirección del dispositivo de punto final. En la sección siguiente, pegue esa dirección cuando configure el adaptador de PKI.

    Pantalla de configuración de la PKI de Symantec

Configurar Endpoint Management para DigiCert Managed PKI

Complete la configuración de Windows Server antes de realizar la siguiente configuración de Endpoint Management.

Para importar los certificados de CA de Symantec y configurar la entidad PKI

  1. Importe los certificados de CA de Symantec que emiten el certificado de usuario final. Para ello, en la consola de Endpoint Management, vaya a Parámetros > Certificados y haga clic en Importar.

    Pantalla de configuración de certificados

  2. Agregue y configure la entidad de infraestructura de clave pública. Para ello, vaya a Parámetros > Entidades de PKI, haga clic en Agregar y, a continuación, elija Entidad de PKI genérica. En URL de WSDL, pegue la dirección del dispositivo de punto final que copió cuando configuraba el adaptador de PKI en la sección anterior. A continuación, agregue ?wsdl como se muestra en el siguiente ejemplo.

    Pantalla de configuración de entidades PKI

  3. Haga clic en Siguiente. Endpoint Management rellena los nombres de los parámetros desde el archivo WSDL.

    Pantalla de configuración de entidades PKI

  4. Haga clic en Siguiente, seleccione el certificado de CA correcto y, a continuación, haga clic en Guardar.

    Pantalla de configuración de entidades PKI

  5. En la página Parámetros > Entidades PKI, verifique que el Estado de la entidad PKI que ha agregado es Válido.

    Pantalla de configuración de entidades PKI

Para crear el proveedor de credenciales de DigiCert Managed PKI

  1. En la consola Symantec PKI Manager, copie el OID de perfil de certificado desde la plantilla de certificado.

    Pantalla de configuración de Symantec PKI Manager

  2. En la consola de Endpoint Management, vaya a Parámetros > Proveedores de credenciales, haga clic en Agregar y, a continuación, configure los parámetros de la siguiente manera.

    • Nombre: Escriba un nombre exclusivo para la configuración del nuevo proveedor. Este nombre se usará para hacer referencia a la configuración en otras partes de la consola de Endpoint Management.

    • Descripción: Describa el proveedor de credenciales. Aunque este campo sea optativo, una descripción puede resultar útil cuando necesite datos concretos acerca del proveedor de credenciales.

    • Entidad de emisión: Seleccione la entidad emisora de certificados.

    • Método de emisión: Haga clic en Firmar para designar el método que usará el sistema para obtener certificados de la entidad configurada.

    • certParams: Agregue este valor: commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: Pegue el OID de perfil de certificado que copió en el paso 1.

    Pantalla de configuración de proveedores de credenciales

  3. Haga clic en Siguiente. En cada una de las páginas restantes (desde “Solicitud de firma de certificado” hasta “Renovación”), acepte los parámetros predeterminados. Cuando haya terminado, haga clic en Guardar.

Para probar la configuración y solucionar problemas

  1. Cree una directiva de credenciales. Para ello, vaya a Configurar > Directivas de dispositivo, haga clic en Agregar, empiece a teclear la palabra Credenciales y, a continuación, haga clic en Credenciales.

  2. Especifique el Nombre de la directiva.

  3. Configure los parámetros de las plataformas de esta manera:

    • Tipo de credencial: Elija Proveedor de credenciales.

    • Proveedor de credenciales: Elija el proveedor de Symantec.

    Pantalla de configuración de proveedores de credenciales

  4. Después de completar la configuración de las plataformas, continúe a la página Asignación, asigne la directiva a grupos de entrega y haga clic en Guardar.

  5. Para comprobar si la directiva se ha implementado en el dispositivo, vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Modificar > Directivas asignadas. En el siguiente ejemplo se muestra una implementación correcta de la directiva.

    Pantalla de configuración Administrar dispositivos

    Si no se ha implementado la directiva, inicie sesión en el servidor Windows y compruebe si WSDL se carga correctamente.

    Pantalla del servidor Windows

Para obtener más información sobre cómo solucionar problemas de configuración, consulte los registros de Tomcat en <tomcat dir>\logs\catalina.<current date>.

Adaptador de PKI de Entrust

Como alternativa a DigiCert Managed PKI, puede instalar el adaptador de PKI de Entrust. Antes de instalar el adaptador, consulte los pasos para instalar Java y Apache Tomcat en Windows Server que se indican en la sección DigiCert Managed PKI de este artículo.

Compruebe que Citrix Cloud Connector también esté instalado. Para obtener más información sobre Cloud Connector, consulte Citrix Cloud Connector.

Instalar el adaptador de PKI de Entrust

  1. Descargue el archivo del adaptador PKI de Entrust:
    1. Vaya a https://www.citrix.com/downloads.
    2. Vaya a Citrix Endpoint Management (y Citrix XenMobile Server) > XenMobile Server (local) > Software de producto > XenMobile Server 10 > Herramientas.
    3. En el mosaico Entrust PKI Adapter, haga clic en Download File (Descargar archivo).
    4. Extraiga el archivo entrust.war del archivo ZIP descargado y colóquelo en el directorio C:\Archivos de programa (x86)\Apache Software Foundation\Tomcat 8.5\webapps.
  2. En C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\webapps\Entrust\WEB-INF\classes, modifique entrust_adapter.properties y establezca CustomProperties en c:\\zenprise\\custom_entrust_adapter.properties. Pantalla de configuración Administrar dispositivos
  3. En su unidad C:, cree el siguiente directorio y un archivo llamado: zenprise/custom_entrust_adapter.properties.
  4. Modifique el archivo con el siguiente contenido, con cuidado de reemplazar correctamente Entrust.MdmSvc.URL, AdminUserId y AdminPassword.

    ~
    # establezca lo siguiente en la URL que corresponda para AS/IG
    Entrust.MdmSvc.Url=`https://pki.yourcorp.com:19443/mdmws/services/AdminServiceV8`
    
    # establezca el valor "1" o "true" para forzar la creación de usuarios de parámetros antiguos de usuario y de grupo cuando no exista ningún usuario
    CreateUser=
    
    # establezca las credenciales para el dispositivo de punto final
    AdminUserId=`[User ID]`
    AdminPassword=`[password]`
    
    
    # keystore for client-cert auth
    #keyStore=
    #keyStorePassword=
    #keyStoreType: JKS, JCEKS and PKCS12  -- no es necesario para archivos P12 and JKS
    
    # truststore for server with self-signed root CA
    #trustStore=
    #trustStorePassword=
    #trustStoreType: JKS, JCEKS y PKCS12  — no es necesario para archivos P12 y JKS
    ~
    
  5. Reinicie el servicio de Tomcat. Vaya a C:\Archivos de programa (x86)\Apache Software Foundation\Tomcat 8.5\logs y abra Catalina_201x-MM-DD.log. Verifique que no haya errores y pueda ver la siguiente línea: 13-Nov-2018 09:02:35.319 INFO [localhost-startStop-1] org.apache.cxf.endpoint.ServerImpl.initDestination Setting the server's publish address to be /EntrustGpkiAdapter
  6. Vaya a http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl o a la URL pública de su servidor y compruebe que se muestra el XML adecuado. Pantalla de configuración Administrar dispositivos

Configurar Endpoint Management para el adaptador PKI de Entrust

  1. Inicie sesión en la consola de Endpoint Management y vaya a Configuración > Entidades PKI. Haga clic en Agregar > Entidad de PKI genérica.
  2. Introduzca la siguiente información:
    • Nombre: Introduzca un nombre para la entidad PKI.
    • URL de WSDL: Si utiliza Citrix Cloud Connector, escriba http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl. Si no utiliza Citrix Cloud Connector, introduzca la URL pública de su servidor.
    • Tipo de autenticación: Elija el método de autenticación que se va a utilizar.
      • Ninguna
      • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para la conexión.
      • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
    • Usar Cloud Connector: o No en función de si utiliza Citrix Cloud Connector o no.
    • Ubicación de recursos: Seleccione Mi ubicación de recursos.
    • Rutas relativas permitidas: Introduzca /Entrust/*.
  3. Una vez que haya terminado de configurar la entidad PKI, vuelva a la página Configuración y agregue un proveedor de credenciales .
  4. En la ficha General, seleccione la entidad Entrust como entidad emisora y SIGN como método de emisión.
  5. En la ficha Solicitud de firma de certificados, configure los parámetros de la siguiente manera:
    • Algoritmo de clave: RSA.
    • Tamaño de clave: 2048.
    • Algoritmo de firma: SHA256withRSA.
    • Nombre del sujeto: cd=$user.username
    • Nombres alternativos del sujeto: Opcional. Recomendamos lo siguiente:
      • Tipo: Nombre principal del usuario.
      • Valor: $user.userprincipalname.

    Nota:

    Si cambia algún parámetro del adaptador, siga estos pasos para volver a configurar el proveedor de credenciales.

  6. Después de configurar el proveedor de credenciales, vaya a Configurar > Directivas de dispositivo y agregue una directiva de credenciales.
  7. Configure la directiva para los sistemas operativos que piensa utilizar. En la página de configuración de cada sistema operativo, para Tipo de credencial, seleccione Proveedor de credenciales. En el menú Proveedor de credenciales, seleccione el proveedor de credenciales que configuró antes.

Servicios de certificados de Microsoft

Endpoint Management interactúa con Servicios de certificados de Microsoft a través de su interfaz de inscripción web. Endpoint Management solo admite la emisión de certificados nuevos a través de esa interfaz (el equivalente a la función de firma de GPKI). Si la CA de Microsoft genera un certificado de usuario de Citrix Gateway, Citrix Gateway admite la renovación y la revocación de esos certificados.

Para crear una entidad PKI de la entidad de certificación de Microsoft en Endpoint Management, debe especificar la URL base de la interfaz web de los Servicios de servidor de certificados. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre Endpoint Management y la interfaz web de los Servicios de servidor de certificados.

Agregar una entidad de Servicios de certificados de Microsoft

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

  3. Haga clic en Entidad de Servicios de certificados de Microsoft.

    Aparecerá la página Entidad de Servicios de certificados de Microsoft: Información general.

  4. En la página Entidad de Servicios de certificados de Microsoft: Información general, configure estos parámetros:

    • Nombre: Escriba un nombre para la nueva entidad; es el nombre que utilizará para hacer referencia a esa entidad. Los nombres de entidad deben ser únicos.
    • URL raíz del servicio de inscripción web: Especifique la URL base del servicio de inscripción web de la entidad de certificación de Microsoft. Por ejemplo: https://192.0.0.1/certsrv/. La URL puede usar HTTP sin formato o HTTP sobre SSL.
    • certnew.cer page name: El nombre de la página certnew.cer. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • certfnsh.asp: El nombre de la página certfnsh.asp. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • Tipo de autenticación: Elija el método de autenticación que se va a utilizar.
      • Ninguna
      • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para la conexión.
      • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
    • Usar Cloud Connector: Active el parámetro para usar Cloud Connector para conexiones al servidor de PKI. A continuación, especifique una Ubicación de recursos y las Rutas relativas permitidas para la conexión.

      • Ubicación de recursos: Elija una de las ubicaciones de recursos definidas en Citrix Cloud Connector.
      • Rutas relativas permitidas: Las rutas relativas permitidas para la ubicación de recursos especificada. Especifique una ruta por línea. Puede utilizar un asterisco (*) como comodín.

        Supongamos que la ubicación de recursos es https://www.ServiceRoot/certsrv. Para proporcionar acceso a todas las direcciones URL en esa ruta, introduzca /* en Rutas relativas permitidas.

    Pantalla de configuración de PKI

  5. Haga clic en Probar conexión para comprobar que el servidor está accesible. Si no se puede establecer la conexión, aparecerá un mensaje donde se indica que falló la conexión. Compruebe los parámetros de configuración.

  6. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Plantillas. En esta página, especifique los nombres internos de las plantillas que admite la entidad de certificación de Microsoft. Cuando cree proveedores de credenciales, seleccione una plantilla de la lista definida aquí. Todos los proveedores de credenciales que utilicen esta entidad se valen de una plantilla exactamente igual.

    Para conocer los requisitos de plantillas de Servicios de certificados de Microsoft, consulte la documentación de Microsoft referente a su versión de servidor Microsoft. Endpoint Management no presenta requisitos para los certificados que distribuye, salvo los formatos de certificado indicados en Certificados.

  7. En la página Entidad de Servicios de certificados de Microsoft: Plantillas, haga clic en Agregar, escriba el nombre de la plantilla y, a continuación, haga clic en Guardar. Repita este paso para cada plantilla a agregar.

  8. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP. En esta página, puede especificar parámetros personalizados que Endpoint Management agregará a la solicitud HTTP para la interfaz de inscripción web de Microsoft. Los parámetros personalizados son útiles solo para scripts personalizados que se ejecutan en la CA.

  9. En la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP, haga clic en Agregar, escriba el nombre y el valor de los parámetros HTTP a agregar. A continuación, haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Certificados de CA. En esta página, debe indicar a Endpoint Management los firmantes de los certificados que el sistema va a obtener a través de esta entidad. Cuando se renueve el certificado de CA, actualícelo en Endpoint Management. Endpoint Management aplica el cambio a la entidad de forma transparente.

  10. En la página Entidad de Servicios de certificados de Microsoft: Certificados de CA, seleccione los certificados que se van a utilizar para la entidad.

  11. Haga clic en Guardar.

    La entidad se muestra en la tabla “Entidades PKI”.

Lista de revocación de certificados (CRL) de Citrix Gateway

Endpoint Management solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, Endpoint Management utiliza Citrix Gateway para administrar la revocación.

Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) de Citrix Gateway, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse con un certificado existente en el dispositivo.

Endpoint Management vuelve a emitir un certificado nuevo, porque no impide que un usuario genere otro certificado de usuario tras revocarse uno. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Entidades de certificación (CA) discrecionales

Se crea una entidad de certificación discrecional al proporcionar a Endpoint Management un certificado de CA y la clave privada asociada. Endpoint Management gestiona la emisión, la revocación y la información de estado de certificados internamente en función de los parámetros especificados.

Cuando configure una entidad de certificación discrecional, puede activar el protocolo Online Certificate Status Protocol (OCSP) para esa entidad. Si habilita OCSP, la entidad de certificación agrega una extensión id-pe-authorityInfoAccess a los certificados que emita. La extensión apunta al respondedor OCSP interno de Endpoint Management que reside en la siguiente ubicación:

https://<server>/<instance>/ocsp

Al configurar el servicio OCSP, especifique un certificado de firma de OCSP para la entidad discrecional en cuestión. Puede usar el certificado de CA en sí como firmante. Para evitar una exposición innecesaria de la clave privada de la entidad de certificación (recomendado), cree un certificado de firma de OCSP delegado, firmado por la entidad de certificación, e incluya la extensión id-kp-OCSPSigning extendedKeyUsage.

El servicio de respondedor OCSP de Endpoint Management admite respuestas de OCSP básicas y los siguientes algoritmos hash en las solicitudes:

  • SHA-256
  • SHA-384
  • SHA-512

Las respuestas se firman con SHA-256 y el algoritmo de clave del certificado de firma (DSA, RSA o ECDSA).

Generar e importar un certificado para su entidad de certificación

  1. En el servidor, abra Microsoft Management Console (MMC) con su cuenta de sistema local y abra el complemento de certificados. En el panel de la derecha, haga clic con el botón secundario y, a continuación, haga clic en Todas las tareas > Solicitar nuevo certificado.

    Solicitar un nuevo certificado

  2. En el asistente que se abre, haga clic en Siguiente dos veces. En la lista Solicitar certificados, seleccione Entidad de certificación subordinada y, a continuación, haga clic en el enlace Más información.

    Plantilla de CA subordinada

  3. En la ventana, escriba un nombre de sujeto y un nombre alternativo. Haga clic en Aceptar.

    Plantilla de CA subordinada

  4. Haga clic en Inscribir y, a continuación, en Finalizar.

  5. En MMC, haga clic con el botón secundario en el certificado creado. Haga clic en Todas las tareas > Exportar. Exporte el certificado como un archivo PFX con una clave privada.

  6. En la consola de Endpoint Management, vaya a Parámetros > Certificados.

    Página Certificado

  7. Haga clic en Importar. En la ventana que se abre, busque los archivos de certificado y de clave privada que exportó anteriormente.

    Página Certificado

  8. Haga clic en Importar. El certificado se agrega a la tabla.

Agregar entidades de certificación discrecionales

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Más > Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Tipos de entidades PKI

  3. Haga clic en Entidad de certificación (CA) discrecional.

    Página Información general de PKI

  4. En la página CA discrecional: Información general, configure lo siguiente:

    • Nombre: Escriba un nombre descriptivo para la entidad de certificación discrecional.
    • Certificado de CA para firmar solicitudes de certificado: Haga clic en un certificado de la entidad de certificación discrecional que se utilizará para firmar las solicitudes de certificados.

      Esta lista de certificados se genera a partir de los certificados de CA con las claves privadas que se cargaron en Endpoint Management, en Configurar > Parámetros > Certificados.

  5. Haga clic en Siguiente.

    Página Parámetros de PKI

  6. En la página CA discrecional: Parámetros, configure lo siguiente:

    • Generador de números de serie: La entidad de certificación discrecional genera números de serie para los certificados que emite. En esta lista, haga clic en Secuencial o en No secuencial para determinar el modo en que se generan los números.
    • Siguiente número de serie: Escriba un valor para determinar el siguiente número a emitir.
    • Certificado válido para: Escriba la cantidad de días durante los que el certificado será válido.
    • Uso de clave: Identifique el propósito de los certificados emitidos por la entidad de certificación discrecional. Para ello, active las claves apropiadas. Una vez activadas, la entidad de certificación está limitada a la emisión de certificados para esos fines.
    • Uso mejorado de clave: Para agregar más parámetros, haga clic en Agregar, escriba el nombre de la clave y, a continuación, haga clic en Guardar.
  7. Haga clic en Siguiente.

    Página Distribución de PKI

  8. En la página CA discrecional: Distribución, seleccione un modo de distribución:

    • Centralizado: generación de claves en el lado del servidor. Citrix recomienda la opción centralizada. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
    • Distribuido: generación de claves en el lado del dispositivo. Las claves privadas se generan en los dispositivos de usuario. Este modo de distribución utiliza SCEP y requiere un certificado de cifrado de RA con la extensión keyUsage keyEncryption, así como un certificado de firma de RA con la extensión keyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
  9. Haga clic en Siguiente.

    Página OCSP de PKI

  10. En la página CA discrecional: Protocolo OCSP (Online Certificate Status Protocol), configure lo siguiente:

    • Para agregar una extensión AuthorityInfoAccess (RFC2459) a los certificados firmados por esta entidad de certificación, establezca Habilitar OCSP para esta CA en . Esta extensión apunta al respondedor OCSP de la entidad de certificación en https://<server>/<instance>/ocsp.
    • Si ha habilitado OCSP, seleccione un certificado de firma de CA OCSP. Esta lista de certificados se genera a partir de los certificados de CA que se cargaron en Endpoint Management.

    Al habilitar la función, Citrix ADC puede comprobar el estado de los certificados. Citrix recomienda habilitarla.

  11. Haga clic en Guardar.

    La entidad de certificación discrecional se muestra en la tabla “Entidades PKI”.

Configurar un proveedor de credenciales

  1. En la consola de Endpoint Management, vaya a Parámetros > Proveedor de credenciales y haga clic en Agregar.

  2. En la página Proveedores de credenciales: Información general, configure lo siguiente:

    Página general de los proveedores de credenciales

    • Nombre: Escriba un nombre exclusivo para la configuración del nuevo proveedor. Este nombre se usará posteriormente para identificar la configuración en otras partes de la consola de Endpoint Management.
    • Descripción: Describa el proveedor de credenciales. Aunque este campo sea opcional, una descripción puede resultar útil cuando necesite datos concretos acerca del proveedor de credenciales.
    • Entidad emisora: Seleccione CA discrecional.
    • Método de emisión: Haga clic en Sign o en Fetch para designar el método que usará el sistema para obtener certificados de la entidad configurada. Para la autenticación con certificado del cliente, use Sign.
  3. Haga clic en Siguiente. En la página Proveedores de credenciales: Solicitud de firma de certificado, defina lo siguiente según la configuración de su certificado:

    Página Proveedores de credenciales: Solicitud de firma de certificado

    • Algoritmo de clave: Seleccione el algoritmo de clave para el nuevo par de claves. Los valores disponibles son: RSA, DSA y ECDSA.

    • Tamaño de clave: Escriba el tamaño, en bits, del par de claves. Este campo es obligatorio. Citrix recomienda utilizar 2048 bits.

    • Algoritmo de firma: Haga clic en un valor para el nuevo certificado. Los valores dependen del algoritmo de clave. Citrix recomienda SHA256withRSA.

    • Nombre del sujeto: Campo obligatorio. Escriba el nombre distintivo (DN) del nuevo sujeto del certificado. Use CN=${user.username} para el nombre de usuario o CN=${user.samaccountname} para usar sAMAccountName.

    • Para agregar una nueva entrada a la tabla Nombres alternativos del sujeto, haga clic en Agregar. Seleccione el tipo de nombre alternativo y, a continuación, escriba un valor en la segunda columna.

      Agregue lo siguiente:

      • Tipo: Nombre principal del usuario.
      • Valor: $user.userprincipalname

      Al igual que para el nombre del sujeto, puede usar las macros de Endpoint Management en el campo Valor.

  4. Haga clic en Siguiente. En la página Proveedores de credenciales: Distribución, configure lo siguiente:

    Página de distribución de los proveedores de credenciales

    • CA emisora de certificados: Seleccione el certificado de CA discrecional que agregó anteriormente.
    • Seleccionar modo de distribución: Seleccione una de las siguientes maneras de generar y distribuir claves:
      • Preferir modo centralizado: Generación de clave en el lado del servidor: Citrix recomienda esta opción centralizada. Admite todas las plataformas compatibles con Endpoint Management y es necesaria cuando se usa la autenticación de Citrix Gateway. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
      • Preferir modo distribuido: Generación de clave en el lado del dispositivo: Las claves privadas se generan y se almacenan en los dispositivos de usuario. Este modo de distribución utiliza SCEP y requiere un certificado de cifrado de RA con keyUsage keyEncryption, así como un certificado de firma de RA con KeyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
      • Solo distribuido: Generación de clave en el lado del dispositivo: Esta opción funciona de la misma forma que Preferir modo distribuido: Generación de clave en el lado del dispositivo, salvo que no se permite ninguna otra opción si se produce un error en la generación de claves por parte del dispositivo o esta no está disponible.

    Si selecciona Preferir modo distribuido: Generación de clave en el lado del dispositivo o Solo distribuido: Generación de clave en el lado del dispositivo, haga clic en el certificado de firma de RA y en el certificado de cifrado de RA. Se puede usar el mismo certificado tanto para el cifrado como para la firma. Aparecerán campos nuevos para esos certificados.

  5. Haga clic en Siguiente. En la página Proveedores de credenciales: Revocación Endpoint Management, configure las condiciones en las que Endpoint Management marca internamente como revocados los certificados emitidos a través de esta configuración de proveedor. Configure las siguientes opciones:

    Página de revocación de proveedores de credenciales

    • En Revocar certificados emitidos, seleccione una de las opciones que indican cuándo revocar los certificados.
    • Si quiere que Endpoint Management envíe una notificación cuando el certificado se revoque, active el parámetro Enviar notificación y seleccione una plantilla de notificaciones.

    • Revocar certificado en PKI no funciona cuando se utiliza Endpoint Management como PKI discrecional.
  6. Haga clic en Siguiente. En la página Proveedores de credenciales: Revocación PKI, identifique las acciones que debe realizar en la infraestructura PKI si se revoca el certificado. También tiene la opción de crear un mensaje de notificación. Configure las siguientes opciones:

    Página de revocación PKI de proveedores de credenciales

    • Habilitar comprobaciones de revocación externas: Active esta configuración. Aparecerán campos adicionales relacionados con la infraestructura de clave pública de revocación.
    • En la lista Certificado de CA de respondedor OCSP, seleccione el nombre distintivo (DN) del sujeto del certificado.

      Puede usar macros de Endpoint Management para los valores de los campos del DN. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • En la lista Cuando se revoque el certificado, haga clic en una de las siguientes acciones a realizar en la entidad de infraestructura PKI cuando se revoque el certificado:

      • No hacer nada.
      • Renovar el certificado.
      • Revocar y borrar el dispositivo.
    • Si quiere que Endpoint Management envíe una notificación al revocarse un certificado, active el parámetro Enviar notificación.

      Puede elegir entre dos opciones de notificación:

      • Si selecciona Seleccionar plantilla de notificaciones, puede seleccionar un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista “Plantillas de notificaciones”.
      • Si elige Introducir detalles de notificación, puede escribir su propio mensaje de notificación. Además de facilitar la dirección de correo electrónico del destinatario y el mensaje, puede configurar la frecuencia con que se envía la notificación.
  7. Haga clic en Siguiente. En la página Proveedores de credenciales: Renovación, configure lo siguiente:

    Página de renovación de proveedores de credenciales

    Active la opción Renovar certificados cuando caduquen. Aparecen más campos.

    • En el campo Renovar el certificado cuando queden, escriba la antelación (la cantidad de días anteriores a la fecha de caducidad) con que debe realizarse la renovación.
    • También puede seleccionar No renovar certificados que ya han caducado. En este caso, “ya caducado” significa que la fecha NotAfter del certificado ha pasado, no que ha sido revocado. Endpoint Management no renueva los certificados después de que hayan sido revocados internamente.

    Si quiere que Endpoint Management envíe una notificación tras renovarse el certificado, active el parámetro Enviar notificación. Si quiere que Endpoint Management envíe una notificación cuando la fecha de caducidad se acerque, active el parámetro Notificar cuando se acerque la fecha de caducidad. Para cualquiera de esas opciones, puede elegir entre dos opciones de notificación:

    • Seleccionar plantilla de notificaciones: Seleccione un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista “Plantillas de notificaciones”.
    • Introducir detalles de notificación: Escriba su propio mensaje de notificación. Proporcione la dirección de correo electrónico del destinatario, un mensaje y una frecuencia para enviar la notificación.
  8. Haga clic en Guardar.