Product Documentation

Entidades de infraestructura PKI

Mar 02, 2017

La configuración de una entidad de infraestructura de clave pública (PKI) de XenMobile representa un componente que lleva a cabo operaciones de PKI (emisión, revocación e información de estado). Estos componentes pueden ser internos de XenMobile, (en cuyo caso se llaman discrecionales) o externos a XenMobile (si forman parte de la infraestructura corporativa). 

XenMobile admite los siguientes tipos de entidades de infraestructura PKI:

  • Entidades de certificación discrecionales (CA)
  • PKIs genéricas (GPKIs)
  • Microsoft Certificate Services

XenMobile respalda el uso de los siguientes servidores de CA:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Conceptos comunes de infraestructura de clave pública

Independientemente de su tipo, cada entidad de infraestructura de clave pública (PKI) tiene un subconjunto de las siguientes funciones:

  • sign: Emitir un nuevo certificado a partir de una solicitud de firma de certificado (CSR).
  • fetch: Recuperar un par de claves y un certificado existentes.
  • revoke: Revocar un certificado de cliente.

Acerca de los certificados de CA

Cuando configure una entidad de infraestructura PKI, deberá indicar a XenMobile el certificado de CA que va a actuar como firmante de los certificados que esta entidad emita (o de aquellos certificados que se recuperen de ella). La misma y única entidad de infraestructura PKI puede devolver certificados (ya sean recuperados o recién firmados) que haya firmado una cantidad indefinida de entidades de certificación (CA). Debe proporcionar el certificado de cada una de estas entidades de certificación como parte de la configuración de la entidad de infraestructura PKI. Para ello, cargue los certificados a XenMobile y, a continuación, vincúlelos en la entidad de infraestructura PKI. En caso de entidades de certificación discrecionales, el certificado es, de forma implícita, el certificado de la entidad de certificación que firma. En cambio, en caso de entidades externas, deberá especificarlo manualmente.

Infraestructura de clave pública genérica

El protocolo de infraestructura de clave pública genérica (GPKI) es un protocolo de XenMobile propietario que se ejecuta sobre una capa de servicios Web SOAP con la finalidad de uniformar la interacción con las interfaces de varias soluciones de infraestructura de clave pública. El protocolo GPKI define las siguientes tres operaciones fundamentales de infraestructura de clave pública:

  • sign. El adaptador puede hacerse cargo de las solicitudes de firma de certificado (CSR), transmitirlas a la infraestructura de clave pública y devolver los certificados recién firmados.
  • fecth. El adaptador puede recuperar certificados y pares de claves existentes (según los parámetros de entrada) de la infraestructura de clave pública.
  • revoke. El adaptador puede hacer que la infraestructura de clave pública revoque un certificado existente.

El receptor final del protocolo GPKI es el adaptador de GPKI. El adaptador traduce las operaciones fundamentales para el tipo específico de infraestructura de clave pública para el que se creó. En otras palabras, hay un adaptador de GPKI para RSA, otro para EnTrust, y así sucesivamente.

El adaptador de GPKI, como punto final de servicios Web SOAP, publica un archivo (o definición) en formato WSDL (Web Services Description Language) que se puede analizar de forma autónoma. Crear una entidad de infraestructura de clave pública genérica significa facilitar a XenMobile esa definición en formato WSDL, ya sea a través de una dirección URL o cargando el archivo en cuestión.

Admitir cada una de las operaciones de PKI en un adaptador es opcional. Si un adaptador admite esa operación, es que tiene la funcionalidad correspondiente (firmar, obtener o revocar). Cada una de estas capacidades se puede asociar a un conjunto de parámetros de usuario.

Los parámetros de usuario son aquellos parámetros que define el adaptador de GPKI para una operación específica, y cuyos valores debe proporcionar a XenMobile. Tras analizar el archivo WSDL, XenMobile determina las operaciones que admite el adaptador (las capacidades que tiene) y los parámetros que necesita para cada una de ellas. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre XenMobile y el adaptador de GPKI.

Para agregar una infraestructura de clave pública genérica

1. En la consola de XenMobile, haga clic en Configure > Settings > More > PKI Entities.

2. En la página PKI Entities, haga clic en Add.

Aparece una lista que muestra los tipos de entidades de infraestructura PKI que puede agregar.

3. Haga clic en Generic PKI Entity.

Aparecerá la página Generic PKI Entity: General Information.

4. En la página Generic PKI Entity: General Information, lleve a cabo lo siguiente:

  • Name. Escriba un nombre descriptivo para la entidad de infraestructura PKI.
  • WSDL URL. Escriba la ubicación del archivo WSDL que describe el adaptador.
  • Authentication type. Haga clic en el método de autenticación que se va a utilizar.
  • Ninguno.
  • HTTP Basic. Proporcione el nombre de usuario y la contraseña necesarios para conectarse al adaptador.
  • Client certificate. Seleccione el certificado SSL de cliente correspondiente.

5. Haga clic en Next.

Aparecerá la página Generic PKI Entity: Adapter Capabilities.

6. En la página Generic PKI Entity: Adapter Capabilities, revise las funciones y los parámetros asociados al adaptador y, a continuación, haga clic en Next.

Aparecerá la página Generic PKI Entity: Issuing CA Certificates.

7. En la página Generic PKI Entity: Issuing CA Certificates, seleccione los certificados que se van a utilizar para la entidad.

Nota: Aunque las entidades puedan devolver certificados firmados por entidades de certificación diferentes, todos los certificados obtenidos de un proveedor de certificados determinado deben estar firmados por la misma entidad de certificación. Por lo tanto, al configurar el parámetro Credential Provider, en la página Distribution, seleccione uno de los certificados configurados aquí.

8. Haga clic en Save.

La entidad se muestra en la tabla PKI Entities.

Microsoft Certificate Services

XenMobile interactúa con Microsoft Certificate Services a través de su interfaz de inscripción Web. XenMobile admite solo la emisión de certificados nuevos a través de esa interfaz (el equivalente de la funcionalidad de firma de GPKI).

Para crear una entidad de certificación de infraestructura PKI de Microsoft en XenMobile, debe especificar la URL base de la interfaz Web de los Servicios de servidor de certificados. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre XenMobile y la interfaz Web de los Servicios de servidor de certificados.

Para agregar una entidad de Servicios de servidor de certificados de Microsoft

1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en More > PKI Entities.

2. En la página PKI Entities, haga clic en Add.

Aparece una lista que muestra los tipos de entidades de infraestructura PKI que puede agregar.

3. Haga clic en Microsoft Certificate Services Entity.

Aparecerá la página Microsoft Certificate Services Entity: General Information.

4. En la página Microsoft Certificate Services Entity: General Information, lleve a cabo lo siguiente:

  • Name. Escriba un nombre para la nueva entidad. Lo utilizará más tarde para hacer referencia a esa entidad. Los nombres de entidad deben ser únicos.
  • Web enrollment service root URL. Especifique la URL base del servicio de inscripción Web de la entidad de certificación de Microsoft, como, por ejemplo, https://192.0.2.13/certsrv/. La URL puede usar HTTP sin formato o HTTP sobre SSL.
  • certnew.cer page name. El nombre de la página certnew.cer. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
  • certfnsh.asp. El nombre de la página certfnsh.asp. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
  • Authentication type. Haga clic en el método de autenticación que se va a utilizar.
  • Ninguno
  • HTTP Basic. Proporcione el nombre de usuario y la contraseña necesarios para la conexión.
  • Client certificate. Seleccione el certificado SSL de cliente correspondiente.

5. Haga clic en Next.

Aparecerá la página Microsoft Certificate Services Entity: Templates. En esta página, especifique los nombres internos de las plantillas que admite la entidad de certificación de Microsoft. Cuando cree proveedores de credenciales, seleccione una plantilla de la lista definida aquí. Todos los proveedores de credenciales que utilicen esta entidad se valen de una plantilla exactamente igual.

Para conocer los requisitos de plantillas de Microsoft Certificate Services, consulte la documentación de Microsoft referente a su versión de servidor Microsoft. XenMobile no presenta requisitos para los certificados que distribuye, salvo los formatos de certificado indicados en Certificados.

6. En la página Microsoft Certificate Services Entity: Templates, haga clic en Add, escriba el nombre de la plantilla y, a continuación, haga clic en Save. Repita este paso para cada plantilla a agregar.

7. Haga clic en Next.

Aparecerá la página Microsoft Certificate Services Entity: HTTP parameters. En esta página, puede especificar parámetros personalizados que XenMobile debe insertar en la solicitud HTTP para la interfaz de inscripción Web de Microsoft. Esta opción solo es útil si tiene scripts personalizados que se ejecutan en la entidad de certificación.

8. En la página Microsoft Certificate Services Entity: HTTP parameters, haga clic en Add, escriba el nombre y el valor de los parámetros HTTP a agregar y, a continuación, haga clic en Next.

Aparecerá la página Microsoft Certificate Services Entity: CA Certificates. En esta página, debe indicar a XenMobile los firmantes de los certificados que el sistema va a obtener a través de esta entidad. Cuando se renueve el certificado de CA, actualícelo en XenMobile, y el cambio se aplicará a la entidad de forma transparente.

9 En la página Microsoft Certificate Services Entity: CA Certificates, seleccione los certificados que se van a utilizar para la entidad.

10. Haga clic en Save.

La entidad se muestra en la tabla PKI Entities.

Lista de revocación de certificados (CRL) de NetScaler

XenMobile respalda la lista de revocación de certificados (CRL) solo para una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza NetScaler para administrar la revocación. Al configurar la autenticación basada en certificados de cliente, tenga en cuenta si es necesario configurar el parámetro de lista de revocación de certificados (CRL), Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo; XenMobile vuelve a emitir un certificado nuevo, porque no impide a un usuario generar un certificado de usuario si se revoca otro. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Entidades de certificación (CA) discrecionales

Se crea una entidad de certificación discrecional al proporcionar a XenMobile un certificado de CA y la clave privada asociada. XenMobile gestiona la emisión, la revocación y la información de estado de certificados internamente en función de los parámetros especificados.

Cuando configure una entidad de certificación discrecional, dispone de la opción para activar el respaldo del protocolo Online Certificate Status Protocol (OCSP) para dicha entidad de certificación. Si (y solo si) se habilita el respaldo de OCSP, la entidad de certificación agrega una extensión id-pe-authorityInfoAccess a los certificados que emita la entidad de certificación, y apuntará al respondedor OCSP interno de XenMobile en la siguiente ubicación.

https://server/instance/ocsp

Al configurar el servicio OCSP, debe especificar un certificado de firma de OCSP para la entidad discrecional en cuestión. Puede usar el certificado de CA en sí como firmante. Para evitar una exposición innecesaria de la clave privada de la entidad de certificación (recomendado), cree un certificado de firma de OCSP delegado, firmado por la entidad de certificación, e incluya una extensión id-kp-OCSPSigning extendedKeyUsage.

El servicio de respondedor OCSP de XenMobile respalda el uso de respuestas de OCSP básicas y los siguientes algoritmos de hash en las solicitudes:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Las respuestas se firman con SHA-256 y el algoritmo de clave del certificado de firma (DSA, RSA o ECDSA).

Para agregar entidades de certificación discrecionales

1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en More > PKI Entities.

2. En la página PKI Entities, haga clic en Add.

Aparece una lista que muestra los tipos de entidades de infraestructura PKI que puede agregar.

3. Haga clic en Discretionary CA.

Aparecerá la página Discretionary CA: General Information.

4. En la página Discretionary CA: General Information, lleve a cabo lo siguiente:

  • Name. Escriba un nombre descriptivo para la entidad de certificación discrecional.
  • CA certificate to sign certificate requests. Haga clic en un certificado de la entidad de certificación discrecional que se utilizará para firmar solicitudes de certificados. Esta lista de certificados se genera a partir de los certificados de CA con las claves privadas que se cargaron en XenMobile, en Configure > Settings > Certificates.

5. Haga clic en Next.

Aparecerá la página Discretionary CA: Parameters.

6. En la página Discretionary CA: Parameters, lleve a cabo lo siguiente:
  • Serial number generator. La entidad de certificación discrecional genera números de serie para los certificados que emite. En esta lista, haga clic en Sequential o en Non-sequential para determinar el modo en que se generan los números.
  • Next serial number. Escriba un valor para determinar el siguiente número a emitir.
  • Certificate valid for. Escriba la cantidad de días durante los que el certificado será válido.
  • Key usage. Debe identificar el propósito de los certificados emitidos por la entidad de certificación discrecional. Para ello, establezca las claves apropiadas en On. Una vez establecidas, la entidad de certificación está limitada a la emisión de certificados para esos fines.
  • Extended key usage. Para agregar parámetros adicionales, haga clic en Add, escriba el nombre de la clave y, a continuación, haga clic en Save.

7. Haga clic en Next.

Aparecerá la página Discretionary CA: Distribution.

8. En la página Discretionary CA: Distribution, seleccione un modo de distribución:

  • Centralized: server-side key generation. Citrix recomienda la opción centralizada. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
  • Distributed: device-side key generation. Las claves privadas se generan en los dispositivos de usuario. Este modo de distribución utiliza SCEP y requiere un certificado de cifrado de RA con keyUsage keyEncryption, así como un certificado de firma de RA con KeyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.

9. Haga clic en Next.

Aparecerá la página Discretionary CA: Online Certificate Status Protocol (OCSP).

En la página Discretionary CA: Online Certificate Status Protocol (OCSP), lleve a cabo lo siguiente:

  • Para agregar una extensión AuthorityInfoAccess (RFC2459) a los certificados firmados por esta entidad de certificación, establezca Enable OCSP support for this CA en On. Esta extensión apunta al respondedor OCSP de la entidad de certificación en https://server/instance/ocsp.
  • Si ha habilitado el respaldo de OCSP, seleccione un certificado de firma de CA OSCP. Esta lista de certificados se genera a partir de los certificados de CA que se cargaron en XenMobile.

10. Haga clic en Save.

La entidad de certificación discrecional se muestra en la tabla PKI Entitites.