Product Documentation

Proveedores de credenciales

May 05, 2016

Los proveedores de credenciales son las configuraciones de certificado en cuestión que se usarán en las distintas partes del sistema de XenMobile. Definen las fuentes, los parámetros y los ciclos de vida de los certificados. También determinan si los certificados forman parte de configuraciones de dispositivo o son independientes; es decir, si se insertan tal cual en el dispositivo.

La inscripción de dispositivos limita el ciclo de vida de los certificados. Es decir, XenMobile no emite certificados antes de la inscripción, aunque XenMobile puede emitir algunos certificados como parte de la inscripción. Además, los certificados que emita la infraestructura de clave pública interna en el contexto de una inscripción se revocan cuando la inscripción en cuestión se revoca. Una vez que la relación de administración haya finalizado, no queda ningún certificado válido.

Puede usar una configuración de proveedores de credenciales en varios sitios, con lo que una sola configuración puede gestionar una cantidad infinita de certificados al mismo tiempo. Entonces, la unidad radica en el recurso de la implementación y en la implementación. Por ejemplo: si el proveedor de credenciales P se implementa en el dispositivo D como parte de la configuración C, los parámetros de emisión de P determinan el certificado que se implementará en D. Del mismo modo, los parámetros de renovación previstos para D se aplicarán cuando se actualice C, y los parámetros de revocación previstos para D también se aplicarán cuando C se elimine o cuando D se revoque.

Teniendo esto en cuenta, la configuración del proveedor de credenciales en XenMobile lleva a cabo lo siguiente:

  • Determina la fuente de los certificados.
  • Determina el método con que se obtienen los certificados: mediante la firma de un certificado nuevo o la obtención (recuperación) de un par de claves y un certificado existentes.
  • Determina los parámetros para la emisión o la recuperación. Por ejemplo: los parámetros de la solicitud de firma de certificado (CSR), como el tamaño de la clave, el algoritmo de clave, el nombre distintivo y las extensiones del certificado, entre otros.
  • Determina el modo en que los certificados se entregarán al dispositivo.
  • Determina las condiciones de revocación. Mientras que todos los certificados se revocan en XenMobile cuando finaliza la relación de administración, la configuración puede especificar que la revocación ocurra antes; por ejemplo, cuando se elimina la configuración asociada al dispositivo. Además, en algunas ocasiones, la revocación del certificado asociado en XenMobile se puede enviar a la infraestructura de clave pública (PKI) back-end; es decir, la revocación en XenMobile puede causar la revocación en la infraestructura de clave pública.
  • Determina los parámetros de renovación. Los certificados que se obtienen mediante un proveedor de credenciales determinado se pueden renovar automáticamente cuando se acerque su fecha de caducidad. Además, independientemente de esas circunstancias, se pueden emitir notificaciones cuando se acerque esa fecha de caducidad.

La disponibilidad de las opciones de configuración depende principalmente del tipo de entidad de infraestructura PKI y del método de emisión seleccionado para un proveedor de credenciales.

Métodos de emisión de certificados

Puede obtener un certificado mediante procesos conocidos como métodos de emisión de dos maneras:

  • sign. Con este método, la emisión implica crear una nueva clave privada, crear una solicitud de firma de certificado y enviar esa solicitud a una entidad de certificación (CA) para su firma. XenMobile respalda el método de firma de las tres entidades PKI (MS Certificate Services Entity, Generic PKI y Discretionary CA).
  • fetch. Con este método, la emisión (en lo relativo a XenMobile) consiste en la recuperación de un par de claves que ya existe. XenMobile respalda el método "fetch" solo para Generic PKI.

Un proveedor de credenciales usa los métodos de emisión "sign" o "fetch". El método seleccionado determina las opciones de configuración disponibles. Por ejemplo, la configuración de las solicitudes de firma de certificado y la entrega distribuida solo están disponibles si el método de emisión es "sign". El certificado obtenido siempre se envía al dispositivo en formato PKCS #12, el equivalente del modo de entrega centralizado del método "sign".

Entrega de certificados

En XenMobile, hay disponibles dos modos de entrega de certificados: centralizada y distribuida. El modo distribuido usa SCEP (Protocolo de inscripción de certificados simple) y solo está disponible en los casos en que el cliente admite el protocolo (solo para iOS). El modo distribuido llega a ser obligatorio en algunas situaciones.

Para que un proveedor de credenciales admita la entrega distribuida (mediante SCEP), se necesita un paso especial de configuración: se deben configurar certificados de una entidad de registro (RA). Los certificados de RA son necesarios porque, cuando se usa el protocolo SCEP, XenMobile actúa como un delegado (un registrador) para la entidad de certificación y debe demostrar al cliente que tiene autoridad para actuar como tal. Para establecer esta entidad, debe facilitar a XenMobile los certificados mencionados anteriormente.

Se necesitan dos roles de certificados (aunque un solo certificado pueda satisfacer ambos requisitos): la firma de RA y el cifrado de RA. A continuación se presentan las restricciones de esos roles:

  • El certificado de firma de RA debe tener una firma digital de uso de clave X.509.
  • El certificado de cifrado de RA debe tener un cifrado de clave de uso de clave X.509.

Para configurar los certificados de RA del proveedor de credenciales, usted debe cargarlos a XenMobile y, a continuación, vincularlos a ellos en el proveedor de credenciales.

Se considera que un proveedor de credenciales admite la entrega distribuida solamente si tiene un certificado configurado para los roles de certificado. Cada proveedor de credenciales se puede configurar para preferir el modo centralizado o el modo distribuido, o bien para requerir el modo distribuido. El resultado real depende del contexto: si el contexto no admite el modo distribuido mientras que el proveedor de credenciales lo requiere, la implementación falla. Del mismo modo, si el contexto requiere el modo distribuido pero el proveedor de credenciales no lo admite, la implementación falla. En todos los demás casos, se respeta la preferencia asignada.

En la siguiente tabla se muestra la distribución de SCEP mediante XenMobile:

Contexto Se admite SCEP Se requiere SCEP
Servicio de perfil de iOS
Inscripción y administración de dispositivos móviles iOS No
Perfiles de configuración de iOS No
Inscripción de SHTP No No
Configuración de SHTP No No
Inscripción de Windows Phone No No
Configuración de Windows Phone No No

Revocación de certificados

Existen tres tipos de revocación.

  • Internal revocation (Revocación interna). La revocación interna afecta al estado del certificado que mantiene XenMobile. Este estado se tiene en cuenta cuando XenMobile evalúa un certificado que se le presenta o cuando debe proporcionar información del estado OCSP de un certificado. La configuración del proveedor de credenciales determina el impacto sobre el estado cuando se dan varias condiciones. Por ejemplo, el proveedor de credenciales puede especificar que los certificados obtenidos mediante él deban marcarse como revocados cuando se hayan eliminado del dispositivo.
  • Externally propagated revocation (Revocación propagada de forma externa). También conocida como revocación de XenMobile, este tipo de revocación se aplica a certificados obtenidos de una infraestructura de clave pública externa. Este certificado se revoca en la infraestructura de clave pública cuando XenMobile lo revoca internamente si se cumplen las condiciones definidas en la configuración del proveedor de credenciales. La llamada para realizar la revocación requiere una entidad de infraestructura de clave pública genérica (GPKI) que tenga la capacidad de revocar.
  • Externally induced revocation (Revocación inducida externamente). También conocida como infraestructura de clave pública de revocación, este tipo de revocación también se aplica solo a certificados obtenidos de una infraestructura de clave pública externa. Siempre que XenMobile evalúa el estado de un certificado concreto, XenMobile consulta ese estado a la infraestructura de clave pública. Si el certificado se revoca, XenMobile lo revoca internamente. Este mecanismo utiliza el protocolo OCSP.

Estos tres tipos de revocación no se excluyen mutuamente, sino que se pueden aplicar de forma conjunta: la revocación interna se produce por una revocación externa o por otros motivos; a su vez, la revocación interna tiene como resultado potencial una revocación externa.

Renovación de certificados

La renovación de un certificado es la combinación de una revocación del certificado existente y una emisión de otro certificado.

Tenga en cuenta que XenMobile primero intenta obtener el nuevo certificado antes de revocar el anterior a fin de evitar la interrupción del servicio si la emisión falla. Si se usa la entrega distribuida (respaldada por SCEP), la revocación a su vez se dará solo cuando el certificado se haya instalado correctamente en el dispositivo; de lo contrario, la revocación se produce antes de que el nuevo certificado se envíe al dispositivo, independientemente del resultado de la instalación.

La configuración de la revocación requiere que especifique una duración (en días). Cuando el dispositivo se conecta, el servidor comprueba si la fecha NotAfter del certificado es posterior a la fecha actual, menos el tiempo especificado. Si lo es, se empieza una renovación.

Para crear un proveedor de credenciales

La configuración de un proveedor de credenciales varía principalmente en la entidad de emisión y el método de emisión elegidos para el proveedor de credenciales. Puede distinguir entre un proveedor de credenciales que usa una entidad interna (por ejemplo, discrecional) y un proveedor de credenciales que usa una entidad externa, como una infraestructura GPKI o una entidad de certificación de Microsoft. El método de emisión de una entidad discrecional es siempre "sign", de manera que, con cada operación de emisión, XenMobile firma un nuevo par de claves con el certificado de CA seleccionado para la entidad. El método de distribución seleccionado determina si el par de claves se genera en el dispositivo o en el servidor.

  1. En la consola Web de XenMobile, haga clic en Configure > Settings > More > Credential Providers.
  2. En la página Credential Providers, haga clic en Add.

    Aparecerá la página Credential Providers: General Information.



  3. En la página Credential Providers: General Information, lleve a cabo lo siguiente:
    1. Name. Escriba un nombre exclusivo para la configuración del nuevo proveedor. Este nombre se usará posteriormente para hacer referencia a la configuración en otras partes de la consola de XenMobile.
    2. Description. Describa el proveedor de credenciales. Aunque este campo sea optativo, una descripción puede resultar útil más adelante para ayudarle a recordar datos concretos acerca de este proveedor de credenciales.
    3. Issuing entity. Haga clic en la entidad emisora de certificados.
    4. Issuing method. Haga clic en Sign o en Fetch para designar el método que usará el sistema para obtener certificados de la entidad configurada.
    5. Si la lista de plantillas está disponible, seleccione una plantilla para el proveedor de credenciales.
      Nota: Estas plantillas pasan a estar disponibles cuando las entidades de Microsoft Certificate Services se agregan en Configure > Settings > More > PKI Entities.
    6. Haga clic en Siguiente.

      Aparecerá la página Credential Providers: Certificate Signing Request.



  4. En la página Credential Providers: Certificate Signing Request, lleve a cabo lo siguiente:
    1. Key algorithm. Haga clic en el algoritmo de clave para el nuevo par de claves. Los valores disponibles son: RSA, DSA y ECDSA.
    2. Key size. Escriba el tamaño, en bits, del par de claves. Este campo es obligatorio.
      Nota: Los valores permitidos dependen del tipo de clave. Por ejemplo, el tamaño máximo de las claves DSA es de 1024 bits. Para evitar falsos negativos, los cuales dependerán del hardware y software subyacentes, XenMobile no aplicará tamaños de clave. Debe probar siempre las configuraciones del proveedor de credenciales en un entorno de prueba antes de activarlas en producción.
    3. Signature algorithm. Haga clic en un valor para el nuevo certificado. Los valores dependen del algoritmo de clave.
    4. Subject name. Escriba el nombre distintivo (DN) del sujeto del nuevo certificado. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation. Este campo es obligatorio.
    5. Para agregar una nueva entrada a la tabla Subject alternative names, haga clic en Add. Seleccione el tipo de nombre alternativo y, a continuación, escriba un valor en la segunda columna.
      Nota: En cuanto al nombre del sujeto, puede hacer uso de las macros de XenMobile en el campo del valor.
    6. Haga clic en Siguiente.

      Aparecerá la página Credential Providers: Distribution.

  5. En la página Credential Providers: Distribution, lleve a cabo lo siguiente:
    1. En la lista Issuing CA certificate, haga clic en el certificado de CA ofrecido. Dado que el proveedor de credenciales usa una entidad de certificación discrecional, el certificado de CA de ese proveedor siempre será el certificado de CA configurado en la propia entidad; se mostrará aquí por coherencia con las configuraciones que usan entidades externas.
    2. En Select distribution mode, haga clic en una de las siguientes maneras de generar y distribuir claves:
      • Prefer centralized: Server-side key generation. Citrix recomienda esta opción centralizada. Admite todas las plataformas respaldadas por XenMobile y es necesaria cuando se usa la autenticación de NetScaler Gateway. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
      • Prefer distributed: Device-side key generation. Las claves privadas se generan y se almacenan en los dispositivos de usuario. Este modo de distribución utiliza SCEP y requiere un certificado de cifrado de RA con keyUsage keyEncryption, así como un certificado de firma de RA con KeyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
      • Only distributed: Device-side key generation. Esta opción funciona de la misma forma que Prefer distributed: Device-side key generation, salvo que no se permite ninguna otra opción si se produce un error en la generación de claves por parte del dispositivo o esta no está disponible.

      Si selecciona Prefer distributed: Device-side key generation u Only distributed: Device-side key generation, también debe seleccionar un certificado de firma de RA y un certificado de cifrado de RA. Aparecerán campos nuevos para esos certificados.


    3. Si selecciona Prefer distributed: Device-side key generation u Only distributed: Device-side key generation, haga clic en el certificado de firma de RA y en el certificado de cifrado de RA. Se puede usar el mismo certificado tanto para el cifrado como para la firma.
    4. Haga clic en Siguiente.

      Aparecerá la página Credential Providers: Revocation XenMobile. En esta página, puede configurar las condiciones bajo las que XenMobile deberá marcar internamente como revocados los certificados que se emitan con esta configuración de proveedor.

  6. En la página Credential Providers: Revocation XenMobile, lleve a cabo lo siguiente:
    1. En Revoke issued certificates, seleccione una de las opciones que indican el momento en que se deben revocar los certificados.
    2. Si quiere que XenMobile envíe una notificación cuando el certificado se revoque, establezca el valor de Send notification en On y seleccione una plantilla de notificaciones.



    3. Si quiere revocar el certificado presente en la infraestructura de clave pública cuando este se haya revocado en XenMobile, establezca Revoke certificate on PKI en On y, en la lista Entity, haga clic en una plantilla. La lista Entity muestra todas las entidades de infraestructura GPKI disponibles con capacidades de revocación. Cuando el certificado se revoque en XenMobile, se enviará una llamada de revocación a la infraestructura de clave pública seleccionada de la lista Entity.



    4. Haga clic en Siguiente.

      Aparecerá la página Credential Providers: Revocation PKI. En esta página, puede identificar las acciones que se deben realizar en la infraestructura de clave pública si se revoca el certificado. También tiene la opción de crear un mensaje de notificación.


  7. En la página Credential Providers: Revocation PKI, lleve a cabo lo siguiente si quiere revocar certificados procedentes de la infraestructura de clave pública:
    1. Cambie la opción Enable external revocation checks a On.

      Aparecerán campos adicionales relacionados con la infraestructura de clave pública de revocación.

    2. En la lista OCSP responder CA certificate, haga clic en el nombre distintivo (DN) del sujeto del certificado.
      Nota: Puede usar macros de XenMobile para los valores de los campos del DN. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
    3. En la lista When certificate is revoked, haga clic en una de las siguientes acciones a realizar en la entidad de infraestructura PKI cuando se revoque el certificado:
      • No hacer nada.
      • Renovar el certificado.
      • Revocar y borrar el dispositivo.
    4. Si quiere que XenMobile envíe una notificación cuando el certificado se revoque, establezca el valor de Send notification en On.

      Puede elegir entre dos opciones de notificación:

      • Si selecciona Select notification template, puede seleccionar un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista Notification template.
      • Si elige Enter notification details, puede escribir su propio mensaje de notificación. Además de facilitar la dirección de correo electrónico del destinatario y el mensaje, puede configurar la frecuencia con que se envía la notificación.
    5. Haga clic en Siguiente.
      Aparecerá la página Credential Providers: Renewal. En esta página, puede determinar que XenMobile opere de la siguiente manera:
      • Renovar el certificado y, si quiere, enviar una notificación cuando finalice el proceso (notificación de renovación) y, también si lo prefiere, excluir de la operación los certificados ya caducados.
      • Emitir una notificación para aquellos certificados cuya fecha de caducidad se acerca (notificación antes de renovación).
  8. En la página Credential Providers: Renewal, lleve a cabo lo siguiente si quiere renovar certificados cuando estos caduquen:
    1. Establezca Renew certificates when they expire en On.

      Aparecerán campos adicionales.



    2. En el campo Renew when the certificate comes within, escriba la antelación (la cantidad de días anteriores a la fecha de caducidad) con que debe realizarse la renovación.
    3. Si quiere, seleccione Do not renew certificates that have already expired.
      Nota: En este caso, "already expired" significa que la fecha NotAfter del certificado ha pasado, no que ha sido revocado. XenMobile no renovará certificados una vez que se hayan revocado internamente.
    4. Si quiere que XenMobile envíe una notificación cuando el certificado se haya renovado, establezca el valor de Send notification en On.

      Puede elegir entre dos opciones de notificación:

      • Si selecciona Select notification template, puede seleccionar un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista Notification template.
      • Si elige Enter notification details, puede escribir su propio mensaje de notificación. Además de facilitar la dirección de correo electrónico del destinatario y el mensaje, puede configurar la frecuencia con que se envía la notificación.
    5. Si quiere que XenMobile envíe una notificación cuando la fecha de caducidad de la certificación se acerque, establezca Notify when certificate nears expiration en On.

      Puede elegir entre dos opciones de notificación:

      • Si selecciona Select notification template, puede seleccionar un mensaje de notificación previamente escrito que puede personalizar. Estas plantillas se encuentran en la lista Notification template.
      • Si elige Enter notification details, puede escribir su propio mensaje de notificación. Además de facilitar la dirección de correo electrónico del destinatario y el mensaje, puede configurar la frecuencia con que se envía la notificación.
    6. En el campo Notify when the certificate comes within, escriba la antelación (la cantidad de días anteriores a la fecha de caducidad) con que debe enviarse la notificación.
  9. Haga clic en Save.

    El proveedor de credenciales se agregará a la tabla Credential Providers.