Guía de implementación: Servicio de autenticación federada de Citrix y Sectigo MS Agent

Overview

Sectigo Certificate Manager (SCM) es una plataforma universal diseñada específicamente para emitir y administrar los ciclos de vida de los certificados digitales. SCM protege todas las identidades de usuario y máquina de su empresa, todo ello desde una única interfaz.
Con SCM, puede automatizar la emisión y la administración de los certificados de Sectigo junto con los certificados de otras autoridades de certificación (CA) de confianza pública y CA privadas, como Microsoft ADCS, Google Cloud Platform (GCP) y AWS Cloud Services.

Para el descubrimiento y la inscripción de certificados, los agentes de Sectigo MS se instalan en los servidores de Active Directory. SCM usa agentes de MS para hacer lo siguiente:

  • Detectar certificados: un agente instalado en un servidor Windows unido a un dominio puede detectar activos como servidores web, dominios y certificados en Active Directory.
  • Proxy de protocolos de inscripción de MS en SCM: un agente instalado en un servidor Windows unido a un dominio puede actuar como proxy para emitir certificados públicos y privados mediante el uso de plantillas de certificados de MS AD asignadas a perfiles de certificados de SCM.

Como medida de redundancia, SCM le permite crear clústeres de agentes de MS instalados en diferentes servidores para que actúen como un único agente. Si algún agente falla, los demás agentes del clúster continúan sin problemas con la detección y el registro de certificados.

El Servicio de Autenticación Federada (FAS) de Citrix es un componente privilegiado diseñado para integrarse con los Servicios de certificados de Active Directory. Emite certificados para los usuarios de forma dinámica, lo que les permite iniciar sesiones en un entorno de Active Directory como si tuvieran una tarjeta inteligente.
Esto permite a StoreFront usar una gama más amplia de opciones de autenticación, tales como aserciones SAML (Security Assertion Markup Language). SAML se usa normalmente como alternativa a las cuentas de usuario tradicionales de Windows en Internet.

Diagrama de arquitectura

Descripción general de FAS

Instalación

Requisitos previos

  • Un Microsoft Windows Server 2019 o Microsoft Windows Server 2022.
  • Un controlador de dominio (DC) de Active Directory.
  • Una cuenta activa de Sectigo Certificate Manager (SCM)
    • Una organización creada en SCM.
    • Backend de CA privado habilitado.
    • MS Agent habilitado.
  • Un Sectigo MS Agent instalado en el Active Directory DC o en un servidor de dominio.
  • Se recomienda que, al configurar Citrix FAS, la regla se llame predeterminada y no arbitraria, ya que es lo que Citrix Cloud utilizará para ponerse en contacto con el servidor Citrix FAS.
  • El controlador de dominio debe confiar en el certificado de CA de Sectigo (el dominio en el que se utilizan esos certificados debe confiar en la CA que generará los certificados de usuario final). Como se describe en este artículo).

Instalación de MS Agent

Un administrador con la función de oficial principal de la autoridad de registro (MRAO) puede gestionar los agentes de MS mediante la página Integraciones > Agentes de MS de SCM.

Consulte la Guía del administrador de Sectigo Certificate Manager para conocer los requisitos de instalación de MS Agent.

Instalación del agente MS

Instalación de Citrix FAS

Por motivos de seguridad, Citrix recomienda instalar el Servicio de autenticación federada (FAS) en un servidor dedicado protegido para un controlador de dominio o una autoridad de certificación. Citrix FAS se puede instalar desde:

  • El instalador de Citrix Virtual Apps and Desktops (desde el botón del Servicio de autenticación federada de la pantalla de inicio de ejecución automática cuando se inserta la ISO), o
  • Un archivo de instalación de FAS independiente disponible como archivo MSI en Citrix Downloads

Configuración de Citrix FAS con MS Agent

Consola de administración de Citrix FAS:

  • Debe ejecutarse como usuario de dominio que sea administrador local. Debe seleccionar Ejecutar como administrador , según la configuración de Windows.
  • Aquí se pueden realizar muchos pasos desde la consola de administración de Citrix FAS. Esta es una GUI simple que es suficiente para las necesidades de la mayoría de los clientes. Por lo general, se instala en C:\Program Files\ Citrix\ Federated Authentication Service\ fasadminconsole.exe
  • La consola FAS de Citrix sondea los servidores FAS de Citrix cada 2 segundos para obtener su configuración más reciente; puede resultar útil dejar abierta la consola de administración de Citrix FAS incluso cuando se utilizan cmdlets de PowerShell.

NOTA: Los dos primeros pasos de la consola de administración de Citrix FAS, que implican la comunicación con AD, solo se actualizan si hace clic en Actualizar en la parte superior derecha.

Instalación de FAS

  1. Implemente plantillas de certificados. Seleccione Implementar para implementar las siguientes tres plantillas de certificado en AD:
    • Citrix_RegistrationAuthority_ManualAuthorization
    • Citrix_RegistrationAuthority
    • Citrix_SmartcardLogon
  2. Configure una autoridad de certificación. Esta plantilla requiere la aprobación del administrador de la CA.
    • Vaya al Administrador del servidor > Herramientas > Autoridad de certificación > Plantillas de certificados > Administrar > Citrix_RegistrationAuthority_ManualAuthorization .
    • Compruebe la aprobación de CA Certificate Manager y haga clic enAceptar .

    Instalación de FAS

    Una vez que FAS obtiene un certificado con esta plantilla, lo usa inmediatamente como autorización para solicitar un certificado con Citrix_RegistrationAuthority. A continuación, se elimina el certificado Citrix_RegistrationAuthority_ManualAuthorization. Este flujo de autorización de dos etapas está destinado a admitir la renovación automática del certificado RA, pero esta función aún debe implementarse. Citrix_RegistrationAuthority es la plantilla de certificado RA que autoriza a Citrix FAS a actuar como RA.

    Tiene el siguiente uso extendido de claves:

    Instalación de FAS

  3. Configurar Citrix_SmartcardLogon
    • Citrix FAS utiliza esta plantilla para generar certificados de usuario «sobre la marcha», de modo que Citrix FAS pueda realizar un inicio de sesión único para el usuario.
    • Sus requisitos de emisión especifican un certificado RA como autorización.

      Instalación de FAS

    • Las plantillas se pueden personalizar y también es posible configurar Citrix FAS con un certificado RA sin utilizar las siguientes plantillas.

      Instalación de FAS

Desactivación de la integración de AD

De forma predeterminada, la plantilla Citrix_SmartcardLogon indica a la CA que consulte a AD para rellenar los campos del certificado. Sin embargo, Citrix FAS proporciona suficiente información en la solicitud de certificado como para poder cambiar esta configuración a Supply en la solicitud. De esta forma, la CA no necesitaría consultar a AD.

Instalación de FAS

Instalación de FAS

NOTA: FAS no lee las plantillas.

  • Al crear una solicitud de certificado, el nombre de la plantilla forma parte de la solicitud.
  • Sin embargo, FAS no lee las plantillas. Por ejemplo, la longitud de la clave que se va a utilizar forma parte de la configuración de FAS. FAS no lee el tamaño mínimo de clave de la plantilla.

Autorizar este servicio

Para configurar FAS con un certificado RA:

  1. En la consola de administración de Citrix FAS , haga clic en Autorizar .

Nota:Para eliminar una autorización, haz clic en Desautorizar .

  1. El administrador de la CA aprueba la solicitud yendo a Administrador del servidor > Herramientas > Autoridad de certificación > Pendiente . FAS sondea a la CA en espera de una respuesta y la consola de administración de FAS muestra una ruleta mientras la solicitud aún está pendiente.

  2. El administrador de la CA hace clic con el botón derecho en la solicitud pendiente y selecciona Aprobar para emitir el certificado RA.

  3. La consola de administración de Citrix FAS muestra el servicio como Autorizado.

Crear una regla

Una vez que haya configurado el FAS con un certificado RA, complete el resto de la configuración del FAS.

  1. Haga clic en Crear.

  2. Siga las instrucciones del asistente de instalación; en la mayoría de las pantallas, haga clic en Siguiente.

    • Cuando se le solicite, proporcione lo siguiente:
      • La plantilla (Citrix_SmartcardLogon) que FAS usa para solicitar certificados de usuario.
      • El CAS FAS se pone en contacto para solicitar un certificado de usuario.

    Instalación de FAS

    Ahora el Citrix FAS está completamente integrado con el agente MS para la emisión de certificados.

    Instalación de FAS

Asignación de plantillas de certificados de MS AD en plantillas de SCM para Citrix

Antes de emitir un certificado, asegúrese de que las plantillas de autenticación Citrix_SmartcardLogon, Domain Controller y Domain Controller estén asignadas a un perfil de certificado de SCM en su cuenta de SCM.

Crear mapeo de plantillas de certificados de MS AD

Instalación de FAS

Para crear la asignación de plantillas de certificados de MS AD entre un perfil de certificado de SCM y una plantilla de MS AD:

  1. En SCM, vaya a Inscripción > Asignación de plantillas de certificados de MS AD .

  2. Haz clic en Agregar (+).

  3. Complete el cuadro de diálogo Agregar asignación de plantillas de certificados de MS AD consultando la tabla siguiente.

    SCM

  4. Haga clic en Guardar.

    SCM

Creación de certificados de usuario

El cmdlet de PowerShell se usa para administrar Citrix FAS y la creación de certificados.

  1. Configure el cmdlet de PowerShell. Abra un comando de PowerShell, Windows como administrador, y ejecute el siguiente comando:

    Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1 $CitrixFasAddress=[Get-FasServer](0).Address
    <!--NeedCopy-->
    
  2. Configurar la autenticación FAS en Active Directory
  3. Comando para inscribir el certificado. La plantilla de certificado SCM requiere un nombre principal de usuario (UPN) para el certificado de cliente. Establezca el UPN para el usuario en el ejemplo de AD: ’ < admin@wwco.net >

  4. Ejecute el siguiente comando de PowerShell para inscribir un certificado de usuario:

    Test-FasCertificateSigningRequest -UserPrincipalName "<admin@wwco.net>" -Rule default
    <!--NeedCopy-->
    

    Puede ver el certificado desde el panel de control de SCM:

    SCM

  5. Para ver los detalles del certificado, vaya a Certificados > Certificados de cliente y seleccione Ver > Cadena de confianza .

    SCM

Referencias

Guía de implementación: Servicio de autenticación federada de Citrix y Sectigo MS Agent