Entidades PKI

La configuración de una entidad de infraestructura de clave pública (PKI) de XenMobile representa un componente que lleva a cabo operaciones de PKI (emisión, revocación e información de estado). Estos componentes son internos o externos a XenMobile. Los componentes internos se conocen como discrecionales. Los componentes externos forman parte de su infraestructura corporativa.

XenMobile admite los siguientes tipos de entidades de infraestructura PKI:

  • PKI genéricas (GPKI)

El respaldo a la infraestructura GPKI de XenMobile Server incluye Symantec Managed PKI (el producto para PKI administradas de Symantec).

  • Servicios de certificados de Microsoft
  • Entidades de certificación discrecionales (CA)

XenMobile respalda el uso de los siguientes servidores de CA:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Conceptos comunes de infraestructura de clave pública

Independientemente de su tipo, cada entidad de infraestructura de clave pública (PKI) tiene un subconjunto de las siguientes funciones:

  • Sign: Emitir un nuevo certificado a partir de una solicitud de firma de certificado (CSR).
  • Fetch: Recuperar un par de claves y un certificado existentes.
  • Revoke: Revocar un certificado de cliente.

Acerca de los certificados de CA

Cuando configure una entidad de infraestructura PKI, deberá indicar a XenMobile el certificado de CA que va a actuar como firmante de los certificados que esta entidad emita (o de aquellos certificados que se recuperen de ella). Esa entidad PKI puede devolver certificados (ya sean recuperados o recién firmados) que haya firmado una cantidad indefinida de entidades de certificación (CA).

Debe proporcionar el certificado de cada una de estas entidades de certificación cuando configure la entidad de infraestructura PKI. Para ello, cargue los certificados en XenMobile y, a continuación, remita a ellos en la entidad de infraestructura PKI. Para las entidades de certificación discrecionales, el certificado es implícitamente el certificado de firma de CA. Para las entidades externas, debe especificar manualmente el certificado.

Importante:

Cuando cree plantillas de entidad para Servicios de certificados de Microsoft, para evitar posibles problemas de autenticación en los dispositivos inscritos, no use caracteres especiales en el nombre de las plantillas. Por ejemplo, no use: ! : $ ( ) # % + * ~ ? | { } [ ]

Infraestructura de clave pública genérica

El protocolo de infraestructura de clave pública genérica (GPKI) es un protocolo de XenMobile propietario que se ejecuta sobre una capa de servicios Web SOAP con la finalidad de uniformar la interacción con las interfaces de varias soluciones de infraestructura de clave pública. El protocolo GPKI define las siguientes tres operaciones fundamentales de infraestructura de clave pública:

  • Sign: El adaptador puede hacerse cargo de las solicitudes de firma de certificado (CSR), transmitirlas a la infraestructura de clave pública y devolver los certificados recién firmados.
  • Fecth: El adaptador puede recuperar certificados y pares de claves existentes (según los parámetros de entrada) desde la infraestructura de clave pública.
  • Revoke: El adaptador puede hacer que la infraestructura de clave pública revoque un certificado determinado.

El receptor final del protocolo GPKI es el adaptador de GPKI. El adaptador traduce las operaciones fundamentales para el tipo específico de infraestructura de clave pública para el que se creó. Por ejemplo, existen adaptadores GPKI para RSA y Entrust.

El adaptador de GPKI, como punto final de servicios Web SOAP, publica un archivo (o definición) en formato WSDL (Web Services Description Language) que se puede analizar de forma autónoma. Crear una entidad de infraestructura de clave pública genérica significa facilitar a XenMobile esa definición en formato WSDL, ya sea a través de una dirección URL o cargando el archivo en cuestión.

Admitir cada una de las operaciones de PKI en un adaptador es opcional. Si un adaptador admite esa operación, es que tiene la funcionalidad correspondiente (firmar, obtener o revocar). Cada una de estas capacidades se puede asociar a un conjunto de parámetros de usuario.

Los parámetros de usuario son aquellos parámetros que define el adaptador de GPKI para una operación específica, y cuyos valores debe proporcionar a XenMobile. XenMobile analiza el archivo WSDL para determinar las operaciones que puede realizar el adaptador y los parámetros que necesita para cada una de ellas. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre XenMobile y el adaptador de GPKI.

Para agregar una infraestructura de clave pública genérica

  1. En la consola de XenMobile, haga clic en Parámetros > Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

    Imagen de la pantalla de configuración de entidades PKI

  3. Haga clic en Entidad de PKI genérica.

    Aparecerá la página “Entidad de PKI genérica: Información general”.

    Imagen de la pantalla de configuración de entidades PKI

  4. En la página Entidad de PKI genérica: Información general, lleve a cabo lo siguiente:

    • Nombre: Escriba un nombre descriptivo para la entidad de infraestructura PKI.
    • URL de WSDL: Escriba la ubicación del archivo WSDL que describe el adaptador.
    • Tipo de autenticación: Haga clic en el método de autenticación que se va a utilizar.
    • Ninguna
    • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para conectarse al adaptador.
    • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
  5. Haga clic en Siguiente.

    Aparecerá la página “Entidad de PKI genérica: Capacidades del adaptador”.

  6. En la página Entidad de PKI genérica: Capacidades del adaptador, revise las funciones y los parámetros asociados al adaptador y, a continuación, haga clic en Siguiente.

    Aparecerá la página Entidad de PKI genérica: Certificados de CA emisora.

  7. En la página “Entidad de PKI genérica: Certificados de CA emisora”, seleccione los certificados que se van a utilizar para la entidad.

    Aunque las entidades puedan devolver certificados firmados por varias entidades de certificación, todos los certificados obtenidos de un proveedor de certificados determinado deben estar firmados por la misma entidad de certificación. Por lo tanto, al configurar el parámetro Proveedor de credenciales, en la página Distribución, seleccione uno de los certificados configurados aquí.

  8. Haga clic en Guardar.

    La entidad se muestra en la tabla “Entidades PKI”.

Symantec Managed PKI

El respaldo a infraestructuras GPKI de XenMobile Server incluye Symantec Managed PKI (el producto para PKI administradas de Symantec), también conocida como MPKI. En esta sección se describe cómo configurar Windows Server y XenMobile Server para Symantec Managed PKI.

Requisitos previos

  • Acceso a la infraestructura de Symantec Managed PKI
  • Windows Server 2012 R2 con los siguientes componentes instalados como se indica en este artículo:
    • Java
    • Apache Tomcat
    • Cliente PKI de Symantec
    • Portecle
  • Acceso al sitio de descargas de XenMobile

Instalar Java en Windows Server

Descargue Java desde https://java.com/en/download/faq/java_win64bit.xml e instálelo. En el cuadro de diálogo “Advertencia de seguridad”, haga clic en Ejecutar.

Instalar Apache Tomcat en Windows Server

Descargue el instalador de Apache Tomcat de 32 o 64 bits para Servicios de Windows desde https://tomcat.apache.org/download-80.cgi y, a continuación, instálelo. En el cuadro de diálogo “Advertencia de seguridad”, haga clic en Ejecutar. Complete la configuración de Apache Tomcat con los ejemplos siguientes como guía.

Imagen de la pantalla de configuración de Apache Tomcat

Imagen de la pantalla de configuración de Apache Tomcat

Imagen de la pantalla de configuración de Apache Tomcat

Imagen de la pantalla de configuración de Apache Tomcat

Imagen de la pantalla de configuración de Apache Tomcat

A continuación, vaya a Servicios de Windows y cambie Tipo de inicio de Manual a Automático.

Imagen de la pantalla de configuración de Servicios de Windows

Imagen de la pantalla de configuración de Servicios de Windows

Instalar el cliente PKI de Symantec en Windows Server

Descargue el instalador desde la consola de administrador de la infraestructura de clave pública. Si no dispone de acceso a la consola, descargue el instalador desde la página de asistencia de Symantec How to download Symantec PKI Client. Descomprima y ejecute el instalador.

Imagen de la instalación del cliente PKI de Symantec

Imagen de la instalación del cliente PKI de Symantec

En el cuadro de diálogo “Advertencia de seguridad”, haga clic en Ejecutar. Siga las instrucciones del instalador para completar la instalación y la configuración. Cuando se completen los pasos del instalador, se le solicitará que reinicie.

Instalar Portecle en Windows Server

Descargue el instalador desde https://sourceforge.net/projects/portecleinstall/files/ y, a continuación, descomprima y ejecútelo.

Generar el certificado de la autoridad de registro (RA) para Symantec Managed PKI

El almacén de claves relativo a la autenticación por certificados de cliente se encuentra en un certificado de autoridad de registro (RA) llamado RA.jks. En los pasos siguientes se describe cómo generar ese certificado desde Portecle. También puede generar el certificado de RA desde la interfaz de línea de comandos de Java.

En este artículo también se describe cómo cargar los certificados públicos y RA.

  1. En Portecle, vaya a Tools > Generate Key Pair, proporcione la información necesaria y genere el par de claves.

    Imagen de la pantalla de configuración de Portecle

  2. Haga clic con el botón secundario en el par de claves y, a continuación, haga clic en Generate Certification Request.

    Imagen de la pantalla de configuración de Portecle

  3. Copie la solicitud CSR.

  4. En Symantec PKI Manager, genere un certificado de RA: haga clic en Settings > Get a RA Certificate, pegue la solicitud CSR y, a continuación, haga clic en Continue.

    Imagen de la pantalla de configuración de Symantec PKI Manager

  5. Haga clic en Download para descargar el certificado de RA generado.

    Imagen de la pantalla de configuración de Symantec PKI Manager

  6. En Portecle, importe el certificado de RA: haga clic con el botón secundario en el par de claves y, a continuación, haga clic en Import CA Reply.

    Imagen de la pantalla de configuración de Portecle

  7. En Symantec PKI Manager, vaya a Resources > Web Services y descargue los certificados de CA.

    Imagen de la pantalla de configuración de Symantec PKI Manager

  8. En Portecle, importe los certificados intermedios y raíz de RA en el almacén de claves: vaya a Tools > Import Trusted Certificates.

    Imagen de la pantalla de configuración de Portecle

  9. Después de importar los certificados de las entidades de certificación, guarde el almacén de claves como RA.jks en la carpeta C:\Symantec en el servidor Windows.

    Imagen de la pantalla de configuración de Portecle

Configurar el adaptador PKI de Symantec en Windows Server

  1. Inicie sesión en Windows Server con credenciales de administrador.

  2. Cargue el archivo RA.jks generado en la sección anterior. Cargue también los certificados públicos (cacerts.jks) para su servidor Symantec MPKI.

  3. Desde la página de descargas de XenMobile Server 10, expanda Herramientas y descargue el archivo del adaptador PKI de Symantec. El nombre del archivo es XenMobile_Symantec_PKI_Adapter.zip. Descomprima y copie los archivos a la unidad C: del servidor de Windows:

    • custom_gpki_adapter.properties

    • Symantec.war

  4. Abra custom_gpki_adapter.properties en el Bloc de notas y modifique los siguientes valores:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Copie el archivo Symantec.war que se encuentra en la carpeta <tomcat dir>\webapps y, a continuación, inicie Tomcat.

  6. Compruebe que la aplicación se ha implementado: abra un explorador Web y vaya a https://localhost/Symantec.

  7. Vaya a la carpeta <tomcat dir>\webapps\Symantec\WEB-INF\classes y modifique gpki_adapter.properties. Modifique la propiedad CustomProperties para que apunte al archivo custom_gpki_adapter ubicado en la carpeta C:\Symantec:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Reinicie Tomcat, vaya a https://localhost/Symantec y, a continuación, copie la dirección del dispositivo de punto final. En la sección siguiente, pegue esa dirección cuando configure el adaptador PKI.

    Imagen de la pantalla de configuración de la PKI de Symantec

Configurar XenMobile Server para Symantec Managed PKI

Complete la configuración de Windows Server antes de realizar la siguiente configuración de XenMobile Server.

Para importar los certificados de CA de Symantec y configurar la entidad PKI

  1. Importe los certificados de CA de Symantec que emiten el certificado de usuario final. Para ello, en la consola de XenMobile Server, vaya a Parámetros > Certificados y haga clic en Importar.

    Imagen de la pantalla Configuración de certificados

  2. Agregue y configure la entidad de infraestructura de clave pública. Para ello, vaya a Parámetros > Entidades PKI, haga clic en Agregar y, a continuación, elija Entidad de PKI genérica. En URL de WSDL, pegue la dirección del dispositivo de punto final que copió cuando configuraba el adaptador PKI en la sección anterior y, a continuación, agregue ?wsdl como se muestra a continuación.

    Imagen de la pantalla de configuración de entidades PKI

  3. Haga clic en Siguiente. XenMobile rellena los nombres de los parámetros desde el archivo WSDL.

    Imagen de la pantalla de configuración de entidades PKI

  4. Haga clic en Siguiente, seleccione el certificado de CA correcto y, a continuación, haga clic en Guardar.

    Imagen de la pantalla de configuración de entidades PKI

  5. En la página Parámetros > Entidades PKI, verifique que el Estado de la entidad PKI que ha agregado es Válido.

    Imagen de la pantalla de configuración de entidades PKI

Para crear el proveedor de credenciales de Symantec Managed PKI

  1. En la consola Symantec PKI Manager, copie el OID de perfil de certificado desde la plantilla de certificado.

    Imagen de la pantalla de configuración de Symantec PKI Manager

  2. En la consola de XenMobile Server, vaya a Parámetros > Proveedores de credenciales, haga clic en Agregar y, a continuación, configure los parámetros de esta manera.

    • Nombre: Escriba un nombre exclusivo para la configuración del nuevo proveedor. Este nombre se usará para identificar la configuración en otras partes de la consola de XenMobile.

    • Descripción: Describa el proveedor de credenciales. Aunque este campo sea optativo, una descripción puede resultar útil cuando necesite datos concretos acerca del proveedor de credenciales.

    • Entidad de emisión: Haga clic en la entidad emisora de certificados.

    • Método de emisión: Haga clic en Sign para designar el método que usará el sistema para obtener certificados de la entidad configurada.

    • certParams: Agregue este valor: commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: Pegue el OID de perfil de certificado que copió en el paso 1.

    Imagen de la pantalla de configuración de proveedores de credenciales

  3. Haga clic en Siguiente. En cada una de las páginas restantes (desde “Solicitud de firma de certificado” hasta “Renovación”), acepte los parámetros predeterminados. Cuando haya terminado, haga clic en Guardar.

Para probar la configuración y solucionar problemas

  1. Cree una directiva “Credenciales”. Para ello, vaya a Configurar > Directivas de dispositivo, haga clic en Agregar, empiece a teclear Credenciales y, a continuación, haga clic en Credenciales.

  2. Especifique el Nombre de la directiva.

  3. Configure los parámetros de las plataformas de esta manera:

    • Tipo de credencial: Elija Proveedor de credenciales.

    • Proveedor de credenciales: Elija el proveedor de Symantec.

    Imagen de la pantalla de configuración de proveedores de credenciales

  4. Después de completar la configuración de las plataformas, continúe a la página Asignación, asigne la directiva a grupos de entrega y haga clic en Guardar.

  5. Para comprobar si la directiva se ha implementado en el dispositivo, vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Modificar > Directivas asignadas. En el siguiente ejemplo se muestra una implementación correcta de la directiva.

    Imagen de la pantalla de configuración de directivas

    Si no se ha implementado la directiva, inicie sesión en el servidor Windows y compruebe si WSDL se carga correctamente.

    Imagen de la pantalla del servidor Windows

Para obtener más información sobre cómo solucionar problemas de configuración, consulte los registros de Tomcat en <tomcat dir>\logs\catalina.<current date>.

Servicios de certificados de Microsoft

XenMobile interactúa con Servicios de certificados de Microsoft a través de su interfaz de inscripción Web. XenMobile admite solo la emisión de certificados nuevos a través de esa interfaz (el equivalente de la funcionalidad de firma de GPKI). Si la CA de Microsoft genera un certificado de usuario de NetScaler Gateway, NetScaler Gateway admite la renovación y la revocación de esos certificados.

Para crear una entidad de certificación de infraestructura PKI de Microsoft en XenMobile, debe especificar la URL base de la interfaz Web de los Servicios de servidor de certificados. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre XenMobile y la interfaz Web de los Servicios de servidor de certificados.

Agregar una entidad de Servicios de certificados de Microsoft

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

  3. Haga clic en Entidad de Servicios de certificados de Microsoft.

    Aparecerá la página Entidad de Servicios de certificados de Microsoft: Información general.

  4. En la página Entidad de Servicios de certificados de Microsoft: Información general, configure estos parámetros:

    • Nombre: Escriba un nombre para la nueva entidad; es el nombre que utilizará para hacer referencia a esa entidad. Los nombres de entidad deben ser únicos.
    • URL raíz del servicio de inscripción Web: Especifique la URL base del servicio de inscripción Web de la entidad de certificación de Microsoft (por ejemplo, https://192.0.2.13/certsrv/). La URL puede usar HTTP sin formato o HTTP sobre SSL.
    • certnew.cer page name: El nombre de la página certnew.cer. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • certfnsh.asp: El nombre de la página certfnsh.asp. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • Tipo de autenticación: Elija el método de autenticación que se va a utilizar.
      • Ninguna
      • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para la conexión.
      • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
  5. Haga clic en Probar conexión para comprobar que el servidor está accesible. Si no se puede establecer la conexión, aparecerá un mensaje donde se indica que falló la conexión. Compruebe los parámetros de configuración.

  6. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Plantillas. En esta página, especifique los nombres internos de las plantillas que admite la entidad de certificación de Microsoft. Cuando cree proveedores de credenciales, seleccione una plantilla de la lista definida aquí. Todos los proveedores de credenciales que utilicen esta entidad se valen de una plantilla exactamente igual.

    Para conocer los requisitos de plantillas de Servicios de certificados de Microsoft, consulte la documentación de Microsoft referente a su versión de servidor Microsoft. XenMobile no presenta requisitos para los certificados que distribuye, salvo los formatos de certificado indicados en Certificados.

  7. En la página Entidad de Servicios de certificados de Microsoft: Plantillas, haga clic en Agregar, escriba el nombre de la plantilla y, a continuación, haga clic en Guardar. Repita este paso para cada plantilla a agregar.

  8. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP. En esta página, puede especificar parámetros personalizados que XenMobile debe agregar a la solicitud HTTP para la interfaz de inscripción Web de Microsoft. Los parámetros personalizados son útiles solo para scripts personalizados que se ejecutan en la CA.

  9. En la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP, haga clic en Agregar, escriba el nombre y el valor de los parámetros HTTP a agregar. A continuación, haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Certificados de CA. En esta página, debe indicar a XenMobile los firmantes de los certificados que el sistema va a obtener a través de esta entidad. Cuando se renueve el certificado de CA, actualícelo en XenMobile. XenMobile aplica el cambio a la entidad de forma transparente.

  10. En la página Entidad de Servicios de certificados de Microsoft: Certificados de CA, seleccione los certificados que se van a utilizar para la entidad.

  11. Haga clic en Guardar.

    La entidad se muestra en la tabla “Entidades PKI”.

Lista de revocación de certificados (CRL) de NetScaler

XenMobile solo respalda la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza NetScaler para administrar la revocación.

Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse con un certificado existente en el dispositivo.

XenMobile vuelve a emitir un certificado nuevo, porque no impide que un usuario genere otro certificado de usuario tras revocarse uno. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Entidades de certificación (CA) discrecionales

Se crea una entidad de certificación discrecional al proporcionar a XenMobile un certificado de CA y la clave privada asociada. XenMobile gestiona la emisión, la revocación y la información de estado de certificados internamente en función de los parámetros especificados.

Cuando configure una entidad de certificación discrecional, puede activar el respaldo al protocolo Online Certificate Status Protocol (OCSP) para esa entidad. Si (y solo si) habilita el respaldo a OCSP, la entidad de certificación agrega una extensión id-pe-authorityInfoAccess a los certificados que emita. La extensión apunta al respondedor OCSP interno de XenMobile que reside en la siguiente ubicación:

https://<server>/<instance>/ocsp

Al configurar el servicio OCSP, especifique un certificado de firma de OCSP para la entidad discrecional en cuestión. Puede usar el certificado de CA en sí como firmante. Para evitar una exposición innecesaria de la clave privada de la entidad de certificación (recomendado), cree un certificado de firma de OCSP delegado, firmado por la entidad de certificación, e incluya la extensión id-kp-OCSPSigning extendedKeyUsage.

El servicio de respondedor OCSP de XenMobile respalda el uso de respuestas de OCSP básicas y los siguientes algoritmos de hash en las solicitudes:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Las respuestas se firman con SHA-256 y el algoritmo de clave del certificado de firma (DSA, RSA o ECDSA).

Agregar entidades de certificación discrecionales

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Más > Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

  3. Haga clic en Entidad de certificación (CA) discrecional.

    Aparece la página CA discrecional: Información general.

  4. En la página CA discrecional: Información general, lleve a cabo lo siguiente:

    • Nombre: Escriba un nombre descriptivo para la entidad de certificación discrecional.
    • Certificado de CA para firmar solicitudes de certificado: Haga clic en un certificado de la entidad de certificación discrecional que se utilizará para firmar las solicitudes de certificados.

      Esta lista de certificados se genera a partir de los certificados de CA con las claves privadas que se cargaron en XenMobile, en Configurar > Parámetros > Certificados.

  5. Haga clic en Siguiente.

    Aparece la página Discretionary CA: Parameters.

  6. En la página Discretionary CA: Parameters, lleve a cabo lo siguiente:

    • Generador de números de serie: La entidad de certificación discrecional genera números de serie para los certificados que emite. En esta lista, haga clic en Secuencial o en No secuencial para determinar el modo en que se generan los números.
    • Siguiente número de serie: Escriba un valor para determinar el siguiente número a emitir.
    • Certificado válido para: Escriba la cantidad de días durante los que el certificado será válido.
    • Uso de clave: Identifique el propósito de los certificados emitidos por la entidad de certificación discrecional. Para ello, active las claves apropiadas. Una vez activadas, la entidad de certificación está limitada a la emisión de certificados para esos fines.
    • Uso mejorado de clave: Para agregar más parámetros, haga clic en Agregar, escriba el nombre de la clave y, a continuación, haga clic en Guardar.
  7. Haga clic en Siguiente.

    Aparece la página Discretionary CA: Distribution.

  8. En la página Discretionary CA: Distribution, seleccione un modo de distribución:

    • Centralizado: generación de claves en el lado del servidor. Citrix recomienda la opción centralizada. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
    • Distribuido: generación de claves en el lado del dispositivo. Las claves privadas se generan en los dispositivos de usuario. El modo distribuido utiliza SCEP y requiere un certificado de cifrado de RA con la extensión keyUsage keyEncryption, así como un certificado de firma de RA con la extensión keyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
  9. Haga clic en Siguiente.

    Aparece la página Discretionary CA: Online Certificate Status Protocol (OCSP).

    En la página Discretionary CA: Online Certificate Status Protocol (OCSP), lleve a cabo lo siguiente:

    • Para agregar una extensión AuthorityInfoAccess (RFC2459) a los certificados firmados por esta entidad de certificación, establezca Habilitar respaldo de OCSP para esta CA en . Esta extensión apunta al respondedor OCSP de la entidad de certificación en https://<server>/<instance>/ocsp.
    • Si ha habilitado el respaldo a OCSP, seleccione un certificado de firma de CA OCSP. Esta lista de certificados se genera a partir de los certificados de CA que se cargaron en XenMobile.
  10. Haga clic en Guardar.

    La entidad de certificación discrecional se muestra en la tabla “Entidades PKI”.