Certificados y autenticación

Existen varios componentes que desempeñan un papel en la autenticación durante las operaciones de XenMobile:

  • XenMobile Server: La seguridad y la experiencia de la inscripción se definen en XenMobile Server. Las opciones para incorporar usuarios son:
    • Elaborar una inscripción abierta para todos o solo por invitación.
    • Requerir la autenticación de dos o tres factores. A través de las propiedades de cliente en XenMobile, puede habilitar la autenticación con PIN de Citrix y configurar la complejidad y el tiempo de caducidad de ese PIN.
  • NetScaler: Con NetScaler, puede finalizar sesiones SSL de micro VPN. Asimismo, puede proteger la seguridad de los datos en tránsito en la red y definir la experiencia de autenticación cada vez que un usuario accede a una aplicación.
  • Secure Hub: Secure Hub y XenMobile Server funcionan conjuntamente en las operaciones de inscripción. Presente en el dispositivo, Secure Hub es la entidad que se comunica con NetScaler. Cuando una sesión caduca, Secure Hub obtiene un tíquet de autenticación de NetScaler y lo envía a las aplicaciones MDX. Citrix recomienda usar la fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). Para obtener más información, consulte la sección Fijación de certificados en el artículo Secure Hub.

    Asimismo, Secure Hub favorece a la seguridad del contenedor MDX, ya que envía directivas, crea sesiones con NetScaler cuando se agota el tiempo de espera de una aplicación y define el tiempo de espera y la experiencia de autenticación MDX. Secure Hub también se encarga de detectar la liberación por jailbreak, así como de comprobar la geolocalización y las directivas que se apliquen.

  • Directivas MDX: Las directivas MDX crean la caja fuerte de datos en el dispositivo. Las directivas MDX dirigen las conexiones de micro VPN de nuevo a NetScaler, aplican las restricciones del modo desconectado y las directivas de cliente (como los tiempos de espera).

Para obtener más información sobre la configuración de la autenticación, incluida una descripción general de los métodos de autenticación de uno y dos factores, consulte Authentication en el manual “Deployment Handbook”.

En XenMobile, puede usar certificados para crear conexiones seguras y para autenticar usuarios. En el resto de este artículo, se describen los certificados. Para obtener información adicional acerca de la configuración, consulte los siguientes artículos:

Certificados

De forma predeterminada, XenMobile incluye un certificado autofirmado de capa de sockets seguros (SSL), generado durante la instalación para proteger los flujos de comunicación con el servidor. Citrix recomienda reemplazar ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación conocida.

Nota:

Los dispositivos iOS 10.3 no admiten certificados autofirmados. Si XenMobile utiliza certificados autofirmados, los usuarios no podrán inscribir dispositivos iOS 10.3 en XenMobile. Para inscribir los dispositivos que ejecutan iOS 10.3 o posterior en XenMobile, debe utilizar certificados SSL de confianza en XenMobile.

XenMobile también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.

La autenticación con certificados de cliente proporciona una capa de seguridad adicional para las aplicaciones móviles y permite que los usuarios pueden acceder sin problemas a aplicaciones HDX. Cuando se configura la autenticación con certificados de cliente, los usuarios introducen su PIN de Citrix para acceder con inicio de sesión único (Single Sign-On) a las aplicaciones habilitadas para XenMobile. El PIN de Citrix también simplifica la experiencia de autenticación del usuario. El PIN de Citrix se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo.

Para inscribir y administrar dispositivos iOS con XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para conocer los pasos a seguir, consulte Certificados APNs.

En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de XenMobile:

Componente XenMobile Formato del certificado Tipo de certificado requerido
NetScaler Gateway PEM (BASE64), PFX (PKCS #12) SSL, Raíz (NetScaler Gateway convierte automáticamente el formato PFX en PEM.)
XenMobile Server .p12 (.pfx en equipos basados en Windows) SSL, SAML, APNs (XenMobile también genera una infraestructura de clave pública completa durante el proceso de instalación.) Importante: XenMobile Server no admite certificados con extensión .pem. Para utilizar un certificado PEM, divida el archivo .pem en un certificado y una clave e importe cada uno en XenMobile Server.
StoreFront PFX (PKCS #12) SSL, raíz

XenMobile respalda los certificados SSL de escucha y certificados de cliente con longitudes de bits de 4096, 2048 y 1024. Tenga en cuenta que el riesgo es alto con certificados de 1024 bits.

Para NetScaler Gateway y XenMobile Server, Citrix recomienda obtener certificados de servidor procedentes de una entidad de certificación pública (como VeriSign, DigiCert o Thawte). Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de NetScaler Gateway o de XenMobile. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en NetScaler Gateway o XenMobile.

Cargar certificados en XenMobile

A cada certificado que cargue, le corresponderá una entrada en la tabla “Certificados”, con un resumen de su contenido. Cuando configure los componentes de integración con PKI que requieran un certificado, deberá elegir un certificado que cumpla los criterios de contexto. Por ejemplo, es posible que quiera configurar XenMobile para integrarlo con la entidad de certificación (CA) de Microsoft. La conexión a la entidad de certificación de Microsoft debe autenticarse con un certificado de cliente.

Esta sección ofrece instrucciones generales para cargar certificados. Para obtener más información sobre cómo crear, cargar y configurar los certificados de cliente, consulte Autenticación de certificado de cliente o certificado + dominio.

Requisitos de clave privada

XenMobile puede contener o no la clave privada de un certificado determinado. Del mismo modo, XenMobile puede requerir o no una clave privada para los certificados que usted cargue.

Carga de certificados en la consola

Para cargar certificados en la consola, tiene dos opciones:

  • Puede hacer clic para importar un almacén de claves. Luego, debe identificar la entrada en el repositorio del almacén de claves que quiere instalar, a menos que quiera cargar un formato PKCS #12.
  • Puede hacer clic para importar un certificado.

Puede cargar el certificado de CA (sin la clave privada) que usa la CA para firmar las solicitudes. También puede cargar un certificado de cliente SSL (con la clave privada) para la autenticación de clientes.

Cuando configure la entidad CA de Microsoft, especifique el certificado de CA. Seleccione el certificado de CA desde una lista de todos los certificados de servidor que sean certificados de CA. Del mismo modo, cuando configure la autenticación de cliente, podrá seleccionar un certificado de servidor de una lista que contiene todos los certificados de servidor para los que XenMobile tiene la clave privada.

Para importar un almacén de claves

Los almacenes de claves, que son repositorios de certificados de seguridad, están diseñados para que puedan contener entradas múltiples. Al cargar entradas desde un almacén de claves, por lo tanto, se le solicitará que especifique el alias de entrada que identifica la entrada que quiera cargar. Si no se especifica ningún alias, se cargará la primera entrada del almacén. Como los archivos PKCS #12 suelen contener solo una entrada, el campo de alias no aparece cuando se selecciona PKCS #12 como tipo de almacén de claves.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Certificados. Aparecerá la página Certificados.

    Imagen de la página Configuración de certificados

  3. Haga clic en Importar. Aparecerá el cuadro de diálogo Importar.

  4. Configure estos parámetros:

    • Importar: Seleccione Almacén de claves en la lista. El cuadro de diálogo Importar cambiará para reflejar las opciones de almacén de claves disponibles.

    Imagen de la página Configuración de certificados

    • Tipo de almacén de claves: Seleccione PKCS #12 en la lista.
    • Usar como: En la lista, haga clic en la forma en que usará el certificado. Las opciones disponibles son:
      • Servidor. Los certificados de servidor son aquellos que usa XenMobile Server, que se cargan en la consola Web de XenMobile. En este grupo se incluyen: los certificados de la entidad de certificación (CA), los certificados de la entidad de registro (RA) y los certificados para la autenticación de cliente con los demás componentes de la infraestructura. Además, puede utilizar los certificados de servidor como un almacén para los certificados que quiera implementar en los dispositivos. Este uso se aplica especialmente a certificados de entidades de certificación utilizados para establecer una relación de confianza en el dispositivo.
      • SAML. La certificación de SAML (Security Assertion Markup Language) permite ofrecer acceso Single Sign-On a los servidores, los sitios Web y las aplicaciones.
      • APNs. Los certificados APNs de Apple permiten la administración de dispositivos móviles a través de Apple Push Network.
      • Escucha SSL. La escucha de Secure Sockets Layer (SSL) notifica a XenMobile acerca de la actividad de cifrado SSL.
    • Archivo de almacén de claves: Busque el almacén de claves que quiere importar del tipo de archivo .p12 (o .pfx en equipos Windows).
    • Contraseña: Escriba la contraseña asignada al certificado.
    • Descripción: Escriba una descripción opcional del almacén de claves que le ayude a distinguirlo de otros almacenes.
  5. Haga clic en Importar. El almacén de claves se agrega a la tabla “Certificados”.

Para importar un certificado

Al importar un certificado (ya sea mediante un archivo o mediante una entrada del almacén de claves), XenMobile intenta crear una cadena de certificados desde la entrada. XenMobile importa todos los certificados de esa cadena (con lo que crea una entrada de certificado de servidor para cada certificado). Esta operación solo funciona si los certificados del archivo o del almacén de claves forman una cadena. Por ejemplo, si cada certificado de la cadena es el emisor del certificado anterior.

Si lo prefiere, puede agregar una descripción opcional para el certificado importado. La descripción solo se vincula al primer certificado de la cadena. Más tarde, podrá actualizar la descripción de los certificados restantes.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. A continuación, haga clic en Certificados.

  2. En la página Certificados, haga clic en Importar. Aparecerá el cuadro de diálogo Importar.

  3. En el cuadro de diálogo Importar, en Importar, si no se ha seleccionado ya, haga clic en Certificado.

  4. El cuadro de diálogo Importar cambiará para reflejar las opciones de certificado disponibles. En Usar como, seleccione cómo usará el almacén de claves. Las opciones disponibles son:

    • Servidor. Los certificados de servidor son aquellos que usa XenMobile Server, que se cargan en la consola Web de XenMobile. En este grupo se incluyen: los certificados de la entidad de certificación (CA), los certificados de la entidad de registro (RA) y los certificados para la autenticación de cliente con los demás componentes de la infraestructura. Además, puede utilizar los certificados de servidor como un almacén para los certificados que quiera implementar en los dispositivos. Esta opción se aplica especialmente a entidades de certificación utilizadas para establecer una relación de confianza en el dispositivo.
    • SAML. La certificación de SAML (Security Assertion Markup Language) permite ofrecer acceso Single Sign-On (SSO) a los servidores, los sitios Web y las aplicaciones.
    • Escucha SSL. La escucha de Secure Sockets Layer (SSL) notifica a XenMobile acerca de la actividad de cifrado SSL.
  5. Busque el almacén de claves que quiere importar del tipo de archivo .p12 (o .pfx en equipos Windows).

  6. Busque el archivo de clave privada optativa del certificado. Junto con el certificado, la clave privada se usa para el cifrado y el descifrado.

  7. Si quiere, escriba una descripción del certificado que le ayude a distinguirlo de otros certificados.

  8. Haga clic en Importar. El certificado se agrega a la tabla “Certificados”.

Actualizar un certificado

XenMobile solo permite un certificado por clave pública en el sistema a la vez. Si intenta importar un certificado del mismo par de claves que un certificado ya importado, podrá reemplazar la entrada existente o eliminarla.

En la consola de XenMobile, la forma más eficaz de actualizar los certificados es: Haga clic en el icono con forma de engranaje ubicado en la esquina superior derecha de la consola para abrir la página Parámetros y, a continuación, haga clic en Certificados. En el cuadro de diálogo Importar, importe el nuevo certificado.

Cuando se actualice un certificado del servidor, los componentes que utilizaban el certificado anterior empiezan automáticamente a utilizar el nuevo. Del mismo modo, si ha implementado el certificado de servidor en dispositivos, el certificado se actualizará automáticamente en la siguiente implementación.

Actualizar un certificado

XenMobile Server utiliza internamente las siguientes entidades de certificación (CA) para PKI: CA raíz, CA del dispositivo y CA del servidor. Esas CA se clasifican como un grupo lógico y se les proporciona un nombre de grupo. Cuando se aprovisiona una nueva instancia de XenMobile Server, se generan las tres CA y se les asigna el nombre de grupo “predeterminado”.

Puede renovar las CA para los dispositivos iOS, macOS y Android respaldados desde la consola de XenMobile Server o la API pública de REST. En caso de dispositivos Windows inscritos, los usuarios deben volver a inscribir sus dispositivos para recibir una nueva CA de dispositivo.

Están disponibles las siguientes API para actualizar o regenerar las CA de PKI internas en XenMobile Server y renovar los certificados de dispositivo emitidos por estas entidades de certificación.

  • Crear nuevas entidades de certificación (CA) de grupo.
  • Activar nuevas CA y desactivar las antiguas.
  • Renovar el certificado de dispositivo en una lista configurada de dispositivos. Los dispositivos ya inscritos continúan funcionando sin interrupciones. Se emite un certificado de dispositivo cuando este se conecta de nuevo al servidor.
  • Devolver una lista de dispositivos que todavía usan la CA antigua.
  • Eliminar la CA antigua una vez que todos los dispositivos tengan la CA nueva.

Para obtener información, consulte las siguientes secciones en el documento PDF denominado XenMobile Public API for REST Services:

-  Sección 3.16.58, Renew Device Certificate (Renovar certificado de dispositivo)
-  Sección 3.23, Refresh XenMobile CA Group (Actualizar grupo de CA de XenMobile)

Como parte de esta característica, está disponible una nueva acción de seguridad, Renovación de certificado, en la consola Administrar dispositivos. Esta acción renueva el certificado de inscripción en ese dispositivo.

Requisitos previos
  • De forma predeterminada, la función de actualización de certificado está inhabilitada. Para activar la función de actualización de certificado, establezca la propiedad de servidor refresh.internal.ca en el valor verdadero.
  • De forma predeterminada, la cantidad de dispositivos en los que puede solicitar la actualización de certificados simultáneamente es 100. La API genera un error si ya existen más de 100 solicitudes de renovación de certificados de dispositivo. Para cambiar ese límite, actualice la nueva propiedad de servidor max.renew_device_cert_requests.allowed. Para obtener información sobre cómo configurar las propiedades de servidor, consulte Propiedades de servidor.

Importante:

Si NetScaler se ha configurado para la descarga de SSL, asegúrese de actualizar el equilibrador de carga con el nuevo cacert.perm al generar un nuevo certificado. Para obtener más información sobre la configuración de NetScaler Gateway, consulte Para usar el modo de descarga SSL para las direcciones VIP de NetScaler.

Opción de CLI para restablecer la contraseña del certificado de CA del servidor para nodos de clúster

Después de generar un certificado de CA del servidor en un nodo de XenMobile Server, use la CLI de XenMobile para restablecer la contraseña del certificado en otros nodos del clúster. Desde el menú principal de la CLI, seleccione System > Advanced Settings > Reset CA certs password. Si intenta restablecer la contraseña cuando no hay ningún certificado de CA nuevo, XenMobile no restablece la contraseña.

Imagen de la interfaz de línea de comandos en XenMobile

Administrar certificados en XenMobile

Se recomienda mantener una lista de los certificados que utilice en la implementación de XenMobile, sobre todo de sus fechas de caducidad y sus contraseñas respectivas. El objetivo de esta sección es facilitarle la tarea de administración de certificados en XenMobile.

Su entorno puede contener alguno o todos los certificados siguientes:

  • XenMobile Server
    • Certificado SSL para FQDN de MDM
    • Certificado SAML (para ShareFile)
    • Certificados de CA raíz e intermedios para los certificados anteriores y otros recursos internos (StoreFront, Proxy, etc.)
    • Certificado APNs para la administración de dispositivos iOS
    • Certificado APNs interno para notificaciones de Secure Hub en XenMobile Server
    • Certificado de usuario PKI para la conectividad con PKI
  • MDX Toolkit
    • Certificado de desarrollador de Apple
    • Perfil de aprovisionamiento de Apple (por aplicación)
    • Certificado APNs de Apple (para usar con Citrix Secure Mail)
    • Archivo JKS de Android
    • Certificado Windows Phone – Symantec
  • NetScaler
    • Certificado SSL para FQDN de MDM
    • Certificado SSL para FQDN de Gateway
    • Certificado SSL para FQDN de StorageZones Controller de ShareFile
    • Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
    • Certificado SSL para el equilibrio de carga con StoreFront
    • Certificados de CA raíz e intermedios para los certificados anteriores

Directiva de caducidad de certificados en XenMobile

Si un certificado caduca, dejará de ser válido. No podrá seguir ejecutando operaciones seguras en su entorno ni acceder a los recursos de XenMobile.

Nota:

La entidad de certificación (CA) le pide que renueve su certificado SSL antes de la fecha de caducidad.

Certificado APNs para Citrix Secure Mail

Los certificados Apple Push Notification Service (APNs) caducan cada año. Debe crear un certificado SSL de APNs y actualizarlo en el portal de Citrix antes de que caduque. Si el certificado caduca, los usuarios sufrirán interrupciones del servicio de notificaciones push en Secure Mail. Tampoco podrá seguir enviando notificaciones push a sus aplicaciones.

Certificado APNs para la administración de dispositivos iOS

Para inscribir y administrar dispositivos iOS en XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Si el certificado caduca, los usuarios no podrán inscribirse en XenMobile y usted no podrá administrar sus dispositivos iOS. Para obtener información más detallada, consulte Certificados APNs.

Para ver el estado y la fecha de caducidad del certificado APNs, inicie sesión en el portal Apple Push Certificates Portal. Debe iniciar sesión con el mismo usuario con que creó el certificado.

Asimismo, Apple le enviará una notificación por correo electrónico entre 30 y 10 días antes de la fecha de caducidad. Esa notificación contendrá la siguiente información:

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.

Thank You,

Apple Push Notification Service

MDX Toolkit (certificado de distribución iOS)

Una aplicación que se ejecute en un dispositivo iOS físico (aparte de las aplicaciones del App Store de Apple) presenta estos requisitos de firma:

  • Debe firmar la aplicación con un perfil de aprovisionamiento.
  • Debe firmar la aplicación con un certificado de distribución correspondiente.

Para comprobar que dispone de un certificado de distribución iOS válido, lleve a cabo lo siguiente:

  1. Desde el portal Apple Enterprise Developer, cree un ID de aplicación explícito para cada aplicación que quiera empaquetar con MDX Toolkit. Un ejemplo de ID de aplicación válido es: com.CompanyName.ProductName.
  2. Desde el portal Apple Enterprise Developer, vaya a Provisioning Profiles > Distribution y cree un perfil de aprovisionamiento interno. Repita este paso para cada ID de aplicación que haya creado en el paso anterior.
  3. Descargue todos los perfiles de aprovisionamiento. Para obtener más información, consulte Empaquetado de aplicaciones móviles iOS.

Para confirmar que todos los certificados de XenMobile Server son válidos, lleve a cabo lo siguiente:

  1. En la consola de XenMobile, haga clic en Parámetros > Certificados.
  2. Compruebe que todos los certificados (APNs, escucha de SSL, raíz e intermedio) son válidos.

Almacén de claves Android

El almacén de claves es un archivo que contiene certificados utilizados para firmar las aplicaciones Android. Cuando una clave caduca, los usuarios ya no pueden actualizar fácilmente la aplicación a una nueva versión.

Certificado de empresa de Symantec para Windows Phone

Symantec es el proveedor exclusivo de certificados de firma de código para el servicio App Hub de Microsoft. Los desarrolladores y publicadores de software se unen a App Hub para distribuir aplicaciones para Windows Phone y Xbox 360 para descargarlas desde Windows Marketplace. Para obtener información más detallada, consulte Symantec Code Signing Certificates for Windows Phone en la documentación de Symantec.

Si el certificado caduca, los usuarios de Windows Phone no podrán inscribirse. Esos usuarios tampoco podrán instalar aplicaciones publicadas y firmadas por la empresa ni iniciar aplicaciones de empresa que estén instaladas en el teléfono.

NetScaler

Para obtener información más detallada sobre cómo gestionar la caducidad de los certificados en NetScaler, consulte How to handle certificate expiry on NetScaler en Knowledge Center de la asistencia de Citrix.

Un certificado caducado de NetScaler impide que los usuarios inscriban sus dispositivos y accedan a la tienda. El certificado caducado también impide que los usuarios se conecten al servidor Exchange cuando utilicen Secure Mail. Además, los usuarios no podrán conocer ni abrir las aplicaciones HDX (según el certificado caducado).

Command Center (Centro de comandos) y Expiry Monitor (Centro de supervisión de caducidad) son dos herramientas que pueden ayudarle a hacer un seguimiento de los certificados de NetScaler. Command Center le notifica cuándo caduca el certificado. Esas herramientas ayudan a supervisar los siguientes certificados de NetScaler:

  • Certificado SSL para FQDN de MDM
  • Certificado SSL para FQDN de Gateway
  • Certificado SSL para FQDN de StorageZones Controller de ShareFile
  • Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
  • Certificado SSL para el equilibrio de carga con StoreFront
  • Certificados de CA raíz e intermedios para los certificados anteriores

Certificados y autenticación