Entidades PKI
Una configuración de entidad de infraestructura de clave pública (PKI) de XenMobile® representa un componente que realiza operaciones PKI reales (emisión, revocación e información de estado). Estos componentes son internos o externos a XenMobile. Los componentes internos se denominan discrecionales. Los componentes externos forman parte de tu infraestructura corporativa.
XenMobile admite los siguientes tipos de entidades PKI:
-
Servicios de certificados de Microsoft
-
Autoridades de certificación (CA) discrecionales
XenMobile admite los siguientes servidores CA:
- Windows Server 2019
- Windows Server 2016
Nota:
Windows Server 2012 R2, 2012 y 2008 R2 ya no son compatibles, ya que han llegado al final de su ciclo de vida. Para obtener más información, consulta la documentación del ciclo de vida de los productos de Microsoft.
Conceptos comunes de PKI
Independientemente de su tipo, cada entidad PKI tiene un subconjunto de las siguientes capacidades:
- Firmar: Emitir un nuevo certificado, basado en una solicitud de firma de certificado (CSR).
- Obtener: Recuperar un certificado y un par de claves existentes.
- Revocar: Revocar un certificado de cliente.
Acerca de los certificados CA
Cuando configuras una entidad PKI, indicas a XenMobile qué certificado CA es el firmante de los certificados emitidos por (o recuperados de) esa entidad. Esa entidad PKI puede devolver certificados (obtenidos o recién firmados) firmados por cualquier número de CA diferentes.
Proporciona el certificado de cada una de estas CA como parte de la configuración de la entidad PKI. Para ello, carga los certificados en XenMobile y luego haz referencia a ellos en la entidad PKI. Para las CA discrecionales, el certificado es implícitamente el certificado CA firmante. Para las entidades externas, debes especificar el certificado manualmente.
Importante:
Cuando crees una plantilla de entidad de servicios de certificados de Microsoft, evita posibles problemas de autenticación con los dispositivos inscritos: No uses caracteres especiales en el nombre de la plantilla. Por ejemplo, no uses:
! : $ ( ) # % + * ~ ? | { } [ ]
Servicios de certificados de Microsoft
XenMobile interactúa con los servicios de certificados de Microsoft a través de su interfaz de inscripción web. XenMobile solo admite la emisión de nuevos certificados a través de esa interfaz. Si la CA de Microsoft genera un certificado de usuario de Citrix Gateway, Citrix Gateway admite la renovación y revocación de esos certificados.
Para crear una entidad PKI de CA de Microsoft en XenMobile, debes especificar la URL base de la interfaz web de los servicios de certificados. Si lo deseas, usa la autenticación de cliente SSL para proteger la conexión entre XenMobile y la interfaz web de los servicios de certificados.
Agregar una entidad de servicios de certificados de Microsoft
-
En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha de la consola y luego haz clic en Entidades PKI.
-
En la página Entidades PKI, haz clic en Agregar.
Aparece un menú de tipos de entidades PKI.
-
Haz clic en Entidad de servicios de certificados de Microsoft.
Aparece la página Entidad de servicios de certificados de Microsoft: Información general.
-
En la página Entidad de servicios de certificados de Microsoft: Información general, configura estos ajustes:
- Nombre: Escribe un nombre para tu nueva entidad, que usarás más adelante para hacer referencia a esa entidad. Los nombres de entidad deben ser únicos.
-
URL raíz del servicio de inscripción web: Escribe la URL base de tu servicio de inscripción web de CA de Microsoft; por ejemplo,
https://192.0.2.13/certsrv/. La URL puede usar HTTP simple o HTTP sobre SSL. - Nombre de la página certnew.cer: El nombre de la página certnew.cer. Usa el nombre predeterminado a menos que lo hayas renombrado por alguna razón.
- certfnsh.asp: El nombre de la página certfnsh.asp. Usa el nombre predeterminado a menos que lo hayas renombrado por alguna razón.
-
Tipo de autenticación: Elige el método de autenticación que deseas usar.
- Ninguno
- HTTP Basic: Escribe el nombre de usuario y la contraseña necesarios para conectarte.
- Certificado de cliente: Elige el certificado de cliente SSL correcto.
-
Haz clic en Probar conexión para asegurarte de que el servidor sea accesible. Si no es accesible, aparece un mensaje que indica que la conexión falló. Revisa tus ajustes de configuración.
-
Haz clic en Siguiente.
Aparece la página Entidad de servicios de certificados de Microsoft: Plantillas. En esta página, especificas los nombres internos de las plantillas que admite tu CA de Microsoft. Al crear proveedores de credenciales, seleccionas una plantilla de la lista definida aquí. Cada proveedor de credenciales que usa esta entidad usa exactamente una de estas plantillas.
Para conocer los requisitos de las plantillas de servicios de certificados de Microsoft, consulta la documentación de Microsoft para tu versión de Microsoft Server. XenMobile no tiene requisitos para los certificados que distribuye, aparte de los formatos de certificado indicados en Certificados.
-
En la página Entidad de servicios de certificados de Microsoft: Plantillas, haz clic en Agregar, escribe el nombre de la plantilla y luego haz clic en Guardar. Repite este paso para cada plantilla que desees agregar.
-
Haz clic en Siguiente.
Aparece la página Entidad de servicios de certificados de Microsoft: Parámetros HTTP. En esta página, especificas parámetros personalizados para que XenMobile los agregue a la solicitud HTTP a la interfaz de inscripción web de Microsoft. Los parámetros personalizados solo son útiles para scripts personalizados que se ejecutan en la CA.
-
En la página Entidad de servicios de certificados de Microsoft: Parámetros HTTP, haz clic en Agregar, escribe el nombre y el valor de los parámetros HTTP que deseas agregar y luego haz clic en Siguiente.
Aparece la página Entidad de servicios de certificados de Microsoft: Certificados CA. En esta página, debes informar a XenMobile sobre los firmantes de los certificados que el sistema obtiene a través de esta entidad. Cuando se renueve tu certificado CA, actualízalo en XenMobile. XenMobile aplica el cambio a la entidad de forma transparente.
-
En la página Entidad de servicios de certificados de Microsoft: Certificados CA, selecciona los certificados que deseas usar para esta entidad.
-
Haz clic en Guardar.
La entidad aparece en la tabla de entidades PKI.
Lista de revocación de certificados (CRL) de Citrix ADC
XenMobile solo admite la lista de revocación de certificados (CRL) para una autoridad de certificación de terceros. Si tienes una CA de Microsoft configurada, XenMobile usa Citrix ADC para administrar la revocación.
Cuando configuras la autenticación basada en certificados de cliente, considera si configurar el ajuste de la lista de revocación de certificados (CRL) de Citrix ADC Habilitar actualización automática de CRL. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo.
XenMobile vuelve a emitir un nuevo certificado, porque no restringe a un usuario la generación de un certificado de usuario después de que uno sea revocado. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL verifica las entidades PKI caducadas.
CA discrecionales
Se crea una CA discrecional cuando proporcionas a XenMobile un certificado CA y la clave privada asociada. XenMobile gestiona la emisión, revocación e información de estado de los certificados internamente, de acuerdo con los parámetros que especifiques.
Al configurar una CA discrecional, puedes activar la compatibilidad con el Protocolo de estado de certificados en línea (OCSP) para esa CA. Si y solo si habilitas la compatibilidad con OCSP, la CA agrega la extensión id-pe-authorityInfoAccess a los certificados que emite la CA. La extensión apunta al respondedor OCSP interno de XenMobile en la siguiente ubicación:
https://<server>/<instance>/ocsp
Al configurar el servicio OCSP, especifica un certificado de firma OCSP para la entidad discrecional en cuestión. Puedes usar el propio certificado CA como firmante. Para evitar la exposición innecesaria de tu clave privada CA (recomendado): Crea un certificado de firma OCSP delegado, firmado por el certificado CA, e incluye esta extensión: id-kp-OCSPSigning extendedKeyUsage.
El servicio respondedor OCSP de XenMobile admite respuestas OCSP básicas y los siguientes algoritmos de hash en las solicitudes:
- SHA-1
- SHA-224
- SHA-256
- SHA-384
- SHA-512
Las respuestas se firman con SHA-256 y el algoritmo de clave del certificado de firma (DSA, RSA o ECDSA).
Agregar CA discrecionales
-
En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha de la consola y luego haz clic en Más > Entidades PKI.
-
En la página Entidades PKI, haz clic en Agregar.
Aparece un menú de tipos de entidades PKI.
-
Haz clic en CA discrecional.
Aparece la página CA discrecional: Información general.
-
En la página CA discrecional: Información general, haz lo siguiente:
- Nombre: Escribe un nombre descriptivo para la CA discrecional.
-
Certificado CA para firmar solicitudes de certificado: Haz clic en un certificado para que la CA discrecional lo use para firmar solicitudes de certificado.
Esta lista de certificados se genera a partir de los certificados CA con claves privadas que cargaste en XenMobile en Configurar > Ajustes > Certificados.
-
Haz clic en Siguiente.
Aparece la página CA discrecional: Parámetros.
-
En la página CA discrecional: Parámetros, haz lo siguiente:
- Generador de números de serie: La CA discrecional genera números de serie para los certificados que emite. De esta lista, haz clic en Secuencial o No secuencial para determinar cómo se generan los números.
- Siguiente número de serie: Escribe un valor para determinar el siguiente número emitido.
- Certificado válido por: Escribe el número de días que el certificado es válido.
- Uso de clave: Identifica el propósito de los certificados emitidos por la CA discrecional configurando las claves apropiadas en Activado. Una vez configurado, la CA se limita a emitir certificados para esos propósitos.
- Uso de clave extendido: Para agregar más parámetros, haz clic en Agregar, escribe el nombre de la clave y luego haz clic en Guardar.
-
Haz clic en Siguiente.
Aparece la página CA discrecional: Distribución.
-
En la página CA discrecional: Distribución, selecciona un modo de distribución:
- Centralizado: generación de claves en el servidor. Citrix recomienda la opción centralizada. Las claves privadas se generan y almacenan en el servidor y se distribuyen a los dispositivos de los usuarios.
-
Distribuido: generación de claves en el dispositivo. Las claves privadas se generan en los dispositivos de los usuarios. Este modo distribuido usa SCEP y requiere un certificado de cifrado RA con la extensión
keyUsage keyEncryptiony un certificado de firma RA con la extensiónkeyUsage digitalSignature. Se puede usar el mismo certificado para cifrado y firma.
-
Haz clic en Siguiente.
Aparece la página CA discrecional: Protocolo de estado de certificados en línea (OCSP).
En la página CA discrecional: Protocolo de estado de certificados en línea (OCSP), haz lo siguiente:
- Si deseas agregar una extensión
AuthorityInfoAccess(RFC2459) a los certificados firmados por esta CA, configura Habilitar compatibilidad con OCSP para esta CA en Activado. Esta extensión apunta al respondedor OCSP de la CA enhttps://<server>/<instance>/ocsp. - Si habilitaste la compatibilidad con OCSP, selecciona un certificado CA de firma OCSP. Esta lista de certificados se genera a partir de los certificados CA que cargaste en XenMobile.
- Si deseas agregar una extensión
-
Haz clic en Guardar.
La CA discrecional aparece en la tabla de entidades PKI.