Versión Current Release de XenMobile Server

Autenticación con certificado de cliente o certificado y dominio

En XenMobile, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de XenMobile, considere la posibilidad de usar la autenticación basada en certificados. En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia del usuario. La autenticación con certificado y dominio tiene las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en Citrix ADC.

Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con resultado, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en XenMobile, XenMobile no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben mediante un PIN único que genera XenMobile para ellos. Cuando el usuario tiene acceso, XenMobile crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de XenMobile.

Puede utilizar el asistente de Citrix ADC para XenMobile para llevar a cabo la configuración necesaria para XenMobile cuando se usa la autenticación con solo certificado o la autenticación con certificado y dominio en Citrix ADC. Puede ejecutar el asistente de Citrix ADC para XenMobile solamente una vez.

En los entornos de alta seguridad, donde el uso de las credenciales de LDAP fuera de una organización en redes públicas o no seguras se considera una amenaza acuciante a la seguridad de la organización. Para entornos altamente seguros, la autenticación de dos factores mediante un certificado del cliente y un token de seguridad es una posibilidad. Para obtener más información, consulte Configuración de XenMobile para la autenticación con certificado y token de seguridad.

La autenticación con certificado del cliente está disponible para el modo XenMobile MAM (solo MAM) y el modo ENT (cuando los usuarios se inscriben en MDM). La autenticación con certificado del cliente no está disponible para el modo XenMobile ENT cuando los usuarios se inscriben en el modo MAM antiguo. Para usar la autenticación con certificado del cliente en los modos ENT y MAM de XenMobile, debe configurar el servidor Microsoft, XenMobile Server y, a continuación, Citrix Gateway. Siga estos pasos generales, como se describe en este artículo.

En el servidor Microsoft:

  1. Agregue el complemento de Certificados a la consola MMC (Microsoft Management Console).
  2. Agregue la plantilla a la entidad de certificación (CA).
  3. Cree un certificado PFX desde el servidor de CA.

En XenMobile Server:

  1. Cargue el certificado en XenMobile.
  2. Cree una entidad PKI para la autenticación por certificado.
  3. Configure proveedores de credenciales.
  4. Configure Citrix Gateway para entregar un certificado de usuario para la autenticación.

Para obtener información sobre la configuración de Citrix Gateway, consulte los siguientes artículos de la documentación de Citrix ADC:

Requisitos previos

  • Cuando cree plantillas de entidad para Servicios de certificado de Microsoft, no use caracteres especiales para evitar posibles problemas de autenticación en los dispositivos inscritos. Por ejemplo, no use estos caracteres en el nombre de la plantilla: : ! $ () # % + * ~ ? | {} []

  • Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulte este blog de Microsoft. Configure el sitio del servidor de la entidad de certificación (CA) para que Exchange ActiveSync requiera certificados de cliente.
  • Si utiliza certificados de servidor privados para proteger el tráfico de ActiveSync hacia el servidor Exchange Server, compruebe que los dispositivos móviles tienen todos los certificados raíz e intermedios necesarios. De lo contrario, la autenticación basada en certificados falla durante la configuración de buzones de correo en Secure Mail. En la consola IIS de Exchange, debe:
    • Agregar un sitio web para que XenMobile lo use con Exchange y enlazar el certificado de servidor web.
    • Usar el puerto 9443.
    • Para ese sitio web, debe agregar dos aplicaciones, una para “Microsoft-Server-ActiveSync” y otra para “EWS”. En ambas aplicaciones, en Configuración de SSL, habilite Requerir SSL.

Agregar el complemento de Certificados a Microsoft Management Console

  1. Abra la consola y haga clic en Agregar o quitar complemento.

  2. Agregue los complementos siguientes:

    • Plantillas de certificado
    • Certificados (Equipo local)
    • Certificados (Usuario local)
    • Entidad de certificación (Local)

    Microsoft Management Console

  3. Expanda Plantillas de certificado.

    Microsoft Management Console

  4. Seleccione la plantilla Usuario y Duplicar plantilla.

    Microsoft Management Console

  5. Suministre el nombre para mostrar de la plantilla.

    Importante:

    Marque la casilla Publicar certificado en Active Directory solo si es necesario. Si selecciona esta opción, todos los certificados de cliente de los usuarios se crearán en Active Directory, lo que podría desorganizar su base de datos de Active Directory.

  6. Seleccione Windows 2003 Server como tipo de plantilla. En Windows 2012 R2 Server, en Compatibilidad, seleccione Entidad de certificación y defina Windows 2003 como destinatario.

  7. En Seguridad, seleccione la opción Inscribir en la columna Permitir para los usuarios específicos que están configurados con los parámetros de entidad PKI para XenMobile Server o para los grupos de usuarios que tienen los usuarios configurados con los parámetros de entidad PKI.

    Microsoft Management Console

  8. En Criptografía, compruebe que indica el tamaño de la clave. Más adelante, al configurar XenMobile, introduzca el tamaño de esa clave.

    Microsoft Management Console

  9. En Nombre del sujeto, seleccione Proporcionado por el solicitante. Aplique y guarde los cambios.

    Microsoft Management Console

Agregar la plantilla a la entidad de certificación

  1. Vaya a Entidad de certificación y seleccione Plantillas de certificado.

  2. Haga clic con el botón secundario en el panel derecho y seleccione Nueva > Plantilla de certificado que se va a emitir.

    Microsoft Management Console

  3. Seleccione la plantilla que creó en el paso anterior y haga clic en Aceptar para agregarla a la Entidad de certificación.

    Microsoft Management Console

Crear un certificado PFX desde el servidor de CA

  1. Cree un certificado .pfx de usuario con la cuenta de servicio con la que inició sesión. Este PFX se carga en XenMobile, con lo que se solicita un certificado de usuario de parte de los usuarios que inscriban sus dispositivos.

  2. En Usuario actual, expanda Certificados.

  3. Haga clic con el botón secundario en el panel derecho y después haga clic en Solicitar un nuevo certificado.

    Microsoft Management Console

  4. Aparecerá la pantalla Inscripción de certificados. Haga clic en Siguiente.

    Microsoft Management Console

  5. Seleccione Directiva de inscripción de Active Directory y haga clic en Siguiente.

    Microsoft Management Console

  6. Seleccione la plantilla Usuario y haga clic en Inscribir.

    Microsoft Management Console

  7. Exporte el archivo .pfx que creó en el paso anterior.

    Microsoft Management Console

  8. Haga clic en Exportar la clave privada.

    Microsoft Management Console

  9. Marque las casillas Si es posible, incluir todos los certificados en la ruta de acceso de certificación y Exportar todas las propiedades extendidas.

    Microsoft Management Console

  10. Defina la contraseña que va a usar para cargar este certificado en XenMobile.

    Microsoft Management Console

  11. Guarde el certificado en su disco duro.

Cargar el certificado en XenMobile

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. Haga clic en Certificados y, a continuación, en Importar.

  3. Introduzca los parámetros siguientes:

    • Importar: Almacén de claves.
    • Tipo de almacén de claves: PKCS#12.
    • Usar como: Servidor.
    • Archivo de almacén de claves: Haga clic en Examinar para seleccionar el certificado .pfx que ha creado.
    • Contraseña: Introduzca la contraseña que creó para este certificado.

    Pantalla de configuración de certificados

  4. Haga clic en Importar.

  5. Verifique que el certificado se ha instalado correctamente. Un certificado correctamente instalado se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación con certificados

  1. En Parámetros, vaya a Más > Administración de certificados > Entidades PKI.

  2. Haga clic en Agregar y, a continuación, haga clic en Entidad de Servicios de certificados de Microsoft. Aparecerá la pantalla Entidad de Servicios de certificados de Microsoft: Información general.

  3. Introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • URL raíz del servicio de inscripción web: https://RootCA-URL/certsrv/ Debe agregar la última barra diagonal (/) a la ruta de URL.
    • certnew.cer page name: certnew.cer (valor predeterminado)
    • certfnsh.asp: certfnsh.asp (valor predeterminado)
    • Tipo de autenticación: Certificado de cliente.
    • Certificado de cliente SSL: Seleccione el certificado de usuario que se va a usar para emitir el certificado de cliente XenMobile.

    Pantalla de configuración de certificados

  4. En Plantillas, agregue la plantilla que creó cuando configuró el certificado de Microsoft. No agregue espacios.

    Pantalla de configuración de certificados

  5. Omita el paso “Parámetros HTTP” y haga clic en Certificados de CA.

  6. Seleccione el nombre de la CA raíz que le corresponda a su entorno. Esta CA raíz es parte de la cadena importada desde el certificado cliente de XenMobile.

    Pantalla de configuración de certificados

  7. Haga clic en Guardar.

Configurar proveedores de credenciales

  1. En Parámetros, vaya a Más > Administración de certificados > Proveedores de credenciales.

  2. Haga clic en Agregar.

  3. En General, introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • Descripción: Introduzca una descripción.
    • Entidad de emisión: Seleccione la entidad PKI creada anteriormente.
    • Método de emisión: SIGN.
    • Plantillas: Seleccione la plantilla agregada en el apartado de la entidad PKI.

    Pantalla de configuración de proveedores de credenciales

  4. Haga clic en Solicitud de firma de certificado e introduzca los parámetros siguientes:

    • Algoritmo de clave: RSA
    • Tamaño de clave: 2048
    • Algoritmo de firma: SHA256withRSA
    • Nombre del sujeto: cn=$user.username

    Para Nombre alternativo del sujeto, haga clic en Agregar e introduzca los parámetros siguientes:

    • Tipo: Nombre principal del usuario.
    • Valor: $user.userprincipalname

    Pantalla de configuración de proveedores de credenciales

  5. Haga clic en Distribución e introduzca los parámetros siguientes:

    • CA emisora de certificados: Seleccione la CA emisora que firmó el certificado del cliente XenMobile.
    • Seleccionar modo de distribución: Marque Preferir modo centralizado: Generación de clave en el lado del servidor.

    Pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes (Revocación XenMobile y Revocación PKI), defina los parámetros, si es necesario. En este ejemplo, ambas opciones se omiten.

  7. Haga clic en Renovación.

  8. En Renovar certificados cuando caduquen, seleccione .

  9. Deje todos los demás parámetros con los valores predeterminados o cámbielos si es necesario.

    Pantalla de configuración de proveedores de credenciales

  10. Haga clic en Guardar.

Configurar Secure Mail para la autenticación con certificados

Cuando agregue Secure Mail a XenMobile, configure los parámetros de Exchange en Parámetros de aplicación.

Pantalla Configuración de aplicaciones

Configurar la entrega de certificados de Citrix ADC en XenMobile

  1. Inicie sesión en la consola de XenMobile y haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. En Servidor, haga clic en Citrix Gateway.

  3. Si Citrix Gateway aún no está agregado, haga clic en Agregar y especifique los parámetros:

    • URL externa: https://YourCitrixGatewayURL
    • Tipo de inicio de sesión: Certificado y dominio.
    • Se requiere contraseña: No.
    • Establecer como predeterminado: Sí.
  4. En Entregar certificado de usuario para autenticación, seleccione .

    Pantalla de configuración de Citrix Gateway

  5. En Proveedor de credenciales, seleccione un proveedor y haga clic en Guardar.

  6. Si va a usar atributos de sAMAccount en los certificados de usuario como alternativa al nombre principal de usuario (UPN), configure el conector de LDAP en XenMobile de este modo: vaya a Parámetros > LDAP, seleccione el directorio, haga clic en Modificar, y seleccione sAMAccountName en Buscar usuarios por.

    Pantalla de configuración de LDAP

Habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya a Parámetros > Propiedades de cliente y marque las casillas Enable Citrix PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Solucionar problemas en la configuración de certificados de cliente

Después de definir correctamente la configuración anterior, además de configurar Citrix Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben sus dispositivos móviles.

  2. XenMobile solicita a los usuarios que creen un PIN de Citrix.

  3. Se redirige a los usuarios a XenMobile Store.

  4. Cuando los usuarios inician Secure Mail, XenMobile no les pide credenciales para configurar su buzón. En su lugar, Secure Mail solicitará el certificado del cliente de Secure Hub y lo enviará a Microsoft Exchange Server para la autenticación. Si XenMobile pide credenciales cuando los usuarios inician Secure Mail, verifique si ha configurado todo correctamente.

Si los usuarios pueden descargar e instalar Secure Mail, pero durante la configuración de buzones Secure Mail no puede finalizar la configuración:

  1. Si el servidor de Microsoft Exchange ActiveSync usa certificados de servidor SSL privados para proteger el tráfico, compruebe que los certificados raíz e intermedios están instalados en el dispositivo móvil.

  2. Compruebe que el tipo de autenticación seleccionado para ActiveSync es Requerir certificados de cliente.

    Pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, visite el sitio Microsoft-Server-ActiveSync para ver si tiene habilitada la autenticación con asignación de certificados del cliente. De forma predeterminada, la autenticación con asignación de certificados del cliente está inhabilitada. La opción está en Editor de configuración > Seguridad > Autenticación.

    Pantalla de configuración de Microsoft ActiveSync

    Después de seleccionar True, debe hacer clic en Aplicar para que los cambios tengan efecto.

  4. Revise la configuración de Citrix Gateway en la consola de XenMobile: Entregar certificado de usuario para autenticación debe estar activado y Proveedor de credenciales debe tener seleccionado el perfil correcto.

Para determinar si el certificado del cliente se ha entregado a un dispositivo móvil

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos y seleccione el dispositivo.

  2. Haga clic en Modificar o Mostrar más.

  3. Vaya a la sección Grupos de entrega y busque esta entrada:

    Citrix Gateway Credentials: Requested credential, CertId=

Para validar si está habilitada la negociación de certificados de cliente

  1. Ejecute este comando netsh para ver la configuración del certificado SSL que está vinculado en el sitio web de IIS:

    netsh http show sslcert

  2. Si el valor de Negotiate Client Certificate es Disabled, ejecute el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable