Product Documentation

Certificados

Oct 31, 2016

En XenMobile, puede usar certificados para crear conexiones seguras y para autenticar usuarios.

De forma predeterminada, XenMobile incluye un certificado autofirmado de capa de sockets seguros (SSL), generado durante la instalación para proteger los flujos de comunicación con el servidor. Citrix recomienda reemplazar ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación conocida.

XenMobile también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.

Para inscribir y administrar dispositivos iOS con XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para obtener más información, consulte Solicitud de un certificado APNs.

En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de XenMobile:

Componente XenMobileFormato del certificadoTipo de certificado requerido
NetScaler GatewayPEM (BASE64)

PFX (PKCS#12)

SSL, raíz

NetScaler Gateway convierte automáticamente el formato PFX en PEM.

Servidor XenMobilePEM o

PFX (PKCS#12)

SSL, SAML, APNs

XenMobile también genera una infraestructura de clave pública completa durante el proceso de instalación.

XenMobile Server no respalda certificados con la extensión PEM. Use el comando openssl para generar un archivo PFX a partir del archivo PEM:

openssl pkcs12 -export -out certificate.pfx -in certificate.pem

StoreFrontPFX (PKCS#12)SSL, raíz


XenMobile respalda los certificados SSL de escucha y certificados de cliente con longitudes de bits de 4096, 2048 y 1024. Tenga en cuenta que el riesgo es alto con certificados de 1024 bits.

Para NetScaler Gateway y el servidor XenMobile, Citrix recomienda obtener certificados de servidor procedentes de una entidad de certificación pública, como VeriSign, DigiCert o Thawte. Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de NetScaler Gateway o de XenMobile. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en NetScaler Gateway o XenMobile.

Configuración de certificados de cliente para la autenticación

NetScaler Gateway admite certificados de cliente para la autenticación. Los usuarios que inician sesiones en NetScaler Gateway también se pueden autenticar con los atributos del certificado del cliente que se presenta ante el servidor virtual. La autenticación de certificados de cliente también puede utilizarse con otro tipo de autenticación, como LDAP o RADIUS, para la autenticación de dos factores.

Para autenticar usuarios basándose en los atributos del certificado del cliente, la autenticación de clientes debe estar habilitada en el servidor virtual y se debe solicitar el certificado del cliente. Es necesario vincular un certificado raíz al servidor virtual de NetScaler Gateway.

La autenticación de dispositivos con Netscaler Gateway no recibe respaldo para certificados obtenidos a través de una entidad de certificación (CA) discrecional.

Cuando los usuarios inician sesiones en NetScaler Gateway, después de la autenticación, la información de nombre de usuario se extrae del campo especificado del certificado. Normalmente, este campo es Sujeto:CN. Si el nombre de usuario se extrae correctamente, se puede autenticar al usuario con éxito. Si el usuario no presenta un certificado válido durante la conexión de Secure Sockets Layer (SSL), o si falla la extracción del nombre de usuario, la autenticación también fallará.

Se puede autenticar usuarios basándose en el certificado del cliente, definiendo el tipo de autenticación predeterminado para que use el certificado del cliente. También se puede crear una acción de certificado que defina lo que hay que hacer durante la autenticación basada en un certificado SSL del cliente.

Infraestructura de clave pública de XenMobile

La función de integración de infraestructuras de clave pública (PKI) de XenMobile permite administrar la distribución y el ciclo de vida de los certificados de seguridad en los dispositivos.

XenMobile crea una infraestructura de clave pública interna para la autenticación de dispositivos durante el proceso de instalación.

Las infraestructuras de clave pública externas también se pueden usar para emitir certificados para los dispositivos que se van a utilizar en las directivas de configuración o para la autenticación de cliente ante NetScaler Gateway.

La función principal del sistema de PKI es la entidad de infraestructura de clave pública. Una entidad de infraestructura PKI modela un componente back-end para las operaciones de PKI. Este componente forma parte de la infraestructura empresarial, como una infraestructura de clave pública de Microsoft, RSA, Entrust, Symantex u OpenTrust. La entidad de infraestructura PKI gestiona la emisión y la revocación de certificados back-end. La entidad de infraestructura PKI es el origen de autoridad para el estado del certificado. Por regla general, la configuración de XenMobile contiene exactamente una entidad de infraestructura PKI por componente back-end de PKI.

La segunda función del sistema de PKI es el proveedor de credenciales. Un proveedor de credenciales es una configuración específica de emisión y ciclo de vida de certificados. El proveedor de credenciales se encargará de aspectos como el formato del certificado (sujeto, clave, algoritmos) y las condiciones para su renovación o revocación, si las hubiera. Los proveedores de credenciales delegan operaciones a las entidades de infraestructura PKI. En otras palabras, aunque los proveedores de credenciales gestionan cuándo y con qué datos se llevan a cabo las operaciones de PKI, las entidades de infraestructura PKI controlan cómo se realizan esas operaciones. Por regla general, la configuración de XenMobile contiene varios proveedores de credenciales por entidad de infraestructura PKI.

Administración de certificados en XenMobile

Se recomienda hacer un seguimiento de los certificados que utilice en la implementación de XenMobile, sobre todo de sus fechas de caducidad y sus contraseñas respectivas. El objetivo de esta sección es facilitarle la tarea de administración de certificados en XenMobile.

Su entorno puede contener alguno o todos los certificados siguientes:

XenMobile Server
Certificado SSL para FQDN de MDM
Certificado SAML (para ShareFile)
Certificados de CA raíz e intermedios para los certificados anteriores y otros recursos internos (StoreFront, Proxy, etc.)
Certificado APNs para la administración de dispositivos iOS
Certificado APNs interno para notificaciones XMS de WorxHome
Certificado de usuario PKI para la conectividad con PKI

MDX Toolkit
Certificado de desarrollador de Apple
Perfil de aprovisionamiento de Apple (por aplicación)
Certificado APNs de Apple (para usar con WorxMail)
Archivo JKS de Android
Certificado Windows Phone – Symantec

NetScaler
Certificado SSL para FQDN de MDM
Certificado SSL para FQDN de Gateway
Certificado SSL para FQDN de StorageZones Controller de ShareFile
Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
Certificado SSL para el equilibrio de carga con StoreFront
Certificados de CA raíz e intermedios para los certificados anteriores

Directiva de caducidad de certificados en XenMobile

Si un certificado caduca, dejará de ser válido, por lo que no podrá seguir ejecutando operaciones seguras en su entorno ni acceder a los recursos de XenMobile.

Nota

La entidad de certificación (CA) le pedirá que renueve su certificado SSL antes de la fecha de caducidad.

Certificado APNs para WorxMail

Como los certificados de Apple Push Notification service (APNs) caducan al año, cree un nuevo certificado SSL de Apple Push Notification service y actualícelo en el portal de Citrix antes de que caduque. Si el certificado caduca, los usuarios sufrirán interrupciones del servicio de notificaciones push de WorxMail. Tampoco podrá seguir enviando notificaciones push a sus aplicaciones.

Certificado APNs para la administración de dispositivos iOS

Para inscribir y administrar dispositivos iOS en XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Si el certificado caduca, los usuarios no podrán inscribirse en XenMobile y usted no podrá administrar sus dispositivos iOS. Para obtener más información, consulte Solicitud de un certificado APNs.

Para ver el estado y la fecha de caducidad del certificado APNs, inicie sesión en el portal Apple Push Certificate Portal. Debe iniciar sesión con el mismo usuario con que creó el certificado.

Asimismo, Apple le enviará una notificación por correo electrónico 30 y 10 días antes de la fecha de caducidad. Esa notificación contendrá un mensaje del tipo:

"El siguiente certificado Apple Push Notification Service, creado para el ID de cliente o ID de Apple caducará el DD/MM/AAAA. Revocar este certificado o dejar que caduque tendrá como consecuencia que los dispositivos existentes deban volver a inscribirse con un nuevo certificado push.

Póngase en contacto con su proveedor para generar una nueva solicitud (una solicitud de firma de certificado firmada) y vaya a https://identity.apple.com/pushcert para renovar su certificado Apple Push Notification Service.

Atentamente,

Servicio de notificaciones push de Apple"

MDX Toolkit (certificado de distribución iOS)

Cualquier aplicación que se ejecute en un dispositivo iOS físico (aparte de las aplicaciones del App Store de Apple) debe estar firmada con un perfil de aprovisionamiento y un certificado de distribución correspondiente.

Tenga en cuenta que el certificado existente de iOS Developer for Enterprise y el perfil de aprovisionamiento pueden no ser compatibles con iOS 9. Para obtener información más detallada, consulte "Empaquetado de aplicaciones Worx para iOS 9".

Para comprobar que dispone de un certificado de distribución iOS válido, lleve a cabo lo siguiente:

1. Desde el portal Apple Enterprise Developer, cree un ID de aplicación explícito para cada aplicación que quiera empaquetar con MDX Toolkit. Un ejemplo de un ID de aplicación válido es: com.NombreEmpresa.NombreProducto.
2. Desde el portal Apple Enterprise Developer, vaya a Provisioning Profiles > Distribution y cree un perfil de aprovisionamiento interno. Repita este paso para cada ID de aplicación que haya creado en el paso anterior.
3. Descargue todos los perfiles de aprovisionamiento. Para obtener más información, consulte Empaquetado de aplicaciones móviles iOS.

Para confirmar que todos los certificados de servidor XenMobile son válidos, lleve a cabo lo siguiente:

  1.  En la consola de XenMobile, haga clic en Settings y, a continuación, en Certificates
  2. Compruebe que todos los certificados (APNS, escucha de SSL, raíz e intermedio) son válidos.

KeyStore de Android

KeyStore es un archivo que contiene los certificados utilizados para firmar su aplicación de Android. Cuando caduca el período de validez de su clave, los usuarios ya no pueden actualizarse a nuevas versiones de su aplicación.

Certificado de empresa de Symantec para teléfonos Windows

Symantec es el proveedor exclusivo de certificados de firma de código para el servicio App Hub de Microsoft. Los desarrolladores y los editores de software se registran en App Hub para distribuir aplicaciones Windows Phone y Xbox 360 que a continuación se pueden descargar desde el catálogo de soluciones de Windows. Para obtener información más detallada, consulte Symantec Code Signing Certificates for Windows Phone en la documentación de Symantec.
 
Si el certificado caduca, los usuarios de Windows Phone no podrán inscribirse, instalar aplicaciones publicadas y firmadas por la empresa ni iniciar aplicaciones de empresa que estén instaladas en el teléfono.

NetScaler

Para obtener información más detallada sobre cómo gestionar los certificados de NetScaler que caducan, consulte How to handle certificate expiry on NetScaler en Knowledge Center de la asistencia de Citrix.

Si un certificado de NetScaler caduca, los usuarios no podrán inscribirse, acceder a Worx Store, conectarse al servidor Exchange cuando utilicen WorxMail ni enumerar o abrir aplicaciones HDX (según el certificado caducado). 

Command Center (Centro de comandos) y Expiry Monitor (Centro de supervisión de caducidad) son dos herramientas que pueden ayudarle a hacer un seguimiento de los certificados de NetScaler y notificarle cuando estos caduquen. Esas dos herramientas ayudan a supervisar los siguientes certificados de Netscaler:

Certificado SSL para FQDN de MDM
Certificado SSL para FQDN de Gateway
Certificado SSL para FQDN de StorageZones Controller de ShareFile
Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
Certificado SSL para el equilibrio de carga con StoreFront
Certificados de CA raíz e intermedios para los certificados anteriores