Configuración de Certificado de Cliente o Certificado de Cliente y Autenticación de Dominio

Puede utilizar el asistente Citrix ADC for Citrix Endpoint Management para realizar la configuración necesaria para Citrix Endpoint Management cuando se utiliza la autenticación de solo certificado Citrix ADC o la autenticación de certificado más autenticación de dominio. Puede ejecutar el asistente Citrix ADC para Citrix Endpoint Management una sola vez. Para obtener información sobre el uso del asistente, consulteConfiguración de configuración para su entorno de Citrix Endpoint Management.

Si ya ha utilizado el asistente, utilice las instrucciones de este artículo para obtener la configuración adicional necesaria para la autenticación de certificados de cliente o certificado de cliente más autenticación de dominio.

Para asegurarse de que el usuario de un dispositivo en modo solo de MAMs no puede autenticarse con un certificado existente en el dispositivo, consulte “Citrix ADC Certificate Revocation List (CRL)” más adelante en este artículo.

Configuración manual de Citrix Gateway para la autenticación de certificados de cliente

  1. En Administración del tráfico > Equilibrio de carga > Servidores virtuales, vaya a cada servidor virtual (443 y 8443), actualice los parámetros SSLy establezca Habilitar reutilización de sesión en DISABLED.

    Imagen localizada

  2. En el servidor virtual Citrix Gateway, en Habilitar autenticación de cliente -> Certificado de cliente, seleccione Autenticación de clientey, en Certificado de cliente, seleccione Obligatorio.

    Imagen localizada

  3. Cree una nueva directiva de certificado de autenticación para que Citrix Endpoint Management pueda extraer el nombre principal de usuario o SAMAccount del certificado de cliente proporcionado por Secure Hub a Citrix Gateway.

  4. Establezca los siguientes parámetros para el perfil de certificado:

    Tipo de autenticación: CERT

    Dos factores: OFF (para autenticación de solo certificado)

    Nombre de usuario Campo: Asunto: CN

    Campo de nombre de grupo: SubjetAltName:NombrePrincipal

    Imagen localizada

  5. Enlazar solo la directiva de autenticación de certificados como autenticación principal en el servidor virtual Citrix Gateway.

    Imagen localizada

  6. Enlace el certificado de CA raíz para validar la confianza del certificado de cliente presentado a Citrix Gateway.

    Imagen localizada

Configuración manual de Citrix Gateway para certificados de cliente y autenticación de dominio

  1. En Administración del tráfico > Equilibrio de carga > Servidores virtuales, vaya a cada servidor virtual (443 y 8443), actualice los parámetros SSLy establezca Habilitar reutilización de sesiónen DISABLED.

    Imagen localizada

  2. Vaya a Directivas > Autenticación > Cert, seleccione la ficha Servidoresy haga clic en Agregar.

    Imagen localizada

  3. Introduzca el nombre del perfil, establezca Two Factoren ON y, enCampo de nombre de usuario, seleccione SubjetAltNamePrincipalName.

    Imagen localizada

  4. Vaya a Directivas y haga clic en Agregar.

    Imagen localizada

  5. Escriba el nombre de la directiva, en Servidor seleccione el perfil de certificado, establezca la expresión como ns_true y haga clic en Crear.

    Imagen localizada

  6. Vaya a Servidores virtuales, seleccione el servidor virtual y haga clic en Editar.

    Imagen localizada

  7. Junto a Autenticación, haga clic en +para agregar la autenticación del certificado.

    Imagen localizada

  8. Para seleccionar el método de autenticación: en Elegir directiva, seleccione Certificado.

    Imagen localizada

  9. En Elegir tipo, seleccione Principal. Esto vincula la autenticación de certificados como la autenticación principal con la misma prioridad que el tipo de autenticación LDAP.

    Imagen localizada

  10. En Enlace de directivas, haga clic en Haga clic para seleccionarpara seleccionar la directiva de certificados creada anteriormente.

    Imagen localizada

  11. Seleccione la directiva de certificados creada anteriormente y haga clic en Aceptar.

    Imagen localizada

  12. Establezca la prioridad en 100 y, a continuación, haga clic en Vincular. Utilice el mismo número de prioridad al configurar la directiva de autenticación LDAP en los pasos siguientes.

    Imagen localizada

  13. En la fila de Directiva LDAP, haga clic en >.

    Imagen localizada

  14. Seleccione la directiva y, a continuación, en el menú desplegable Editar, haga clic en Editar enlace.

    Imagen localizada

  15. Escriba el mismo valor de prioridad que especificó para la directiva de certificado. Haga clic en Bind.

    Imagen localizada

  16. Haga clic en Cerrar.

    Imagen localizada

  17. En Avanzadas, haga clic en Parámetros SSL.

    Imagen localizada

  18. Seleccione la casilla de verificación Autenticación de cliente, en Certificado de cliente elija Obligatorio y haga clic en Aceptar.

    Imagen localizada

  19. Haga clic en Done.

    Imagen localizada

Lista de revocación de certificados ADC (CRL) de Citrix

Citrix Endpoint Management admite la lista de revocación de certificados (CRL) solo para una entidad emisora de certificados de terceros. Si tiene configurada una CA de Microsoft, Citrix Endpoint Management utiliza Citrix ADC para administrar la revocación. Al configurar la autenticación basada en certificados de cliente, considere si necesita configurar la opción de lista de revocación de certificados (CRL) de Citrix ADC, Habilitar actualización automática de CRL. Este paso garantiza que el usuario de un dispositivo en modo solo de MAMs no pueda autenticarse utilizando un certificado existente en el dispositivo; Citrix Endpoint Management vuelve a emitir un certificado nuevo, ya que no restringe que un usuario genere un certificado de usuario si se revoca uno. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL comprueba las entidades PKI caducadas.