Product Documentation

Autenticación con certificado de cliente o certificado + dominio

21 de febrero de 2018

En XenMobile, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de XenMobile, considere la posibilidad de usar la autenticación basada en certificados. En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia del usuario. La autenticación con certificado y dominio tiene las mejores posibilidades de SSO junto con la seguridad que proporciona la autenticación de dos factores en NetScaler.

Para una experiencia de uso óptima, puede combinar la autenticación por certificado y dominio junto con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con resultado, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en XenMobile, XenMobile no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben mediante un PIN único que genera XenMobile para ellos. Una vez que el usuario tiene acceso, XenMobile crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de XenMobile.

Puede utilizar el asistente “NetScaler para XenMobile” para llevar a cabo la configuración necesaria para XenMobile cuando se usa la autenticación con solo certificado o la autenticación con certificado y dominio en NetScaler. Puede ejecutar el asistente de NetScaler para XenMobile solamente una vez.

En los entornos de alta seguridad, donde el uso de las credenciales de LDAP fuera de una organización en redes públicas o no seguras se considera una amenaza acuciante a la seguridad de la organización. Para entornos altamente seguros, la autenticación de dos factores mediante un certificado del cliente y un token de seguridad es una posibilidad. Para obtener más información, consulte Configuración de XenMobile para la autenticación con certificado y token de seguridad.

La autenticación con certificado del cliente está disponible para el modo XenMobile MAM (solo MAM) y el modo ENT (cuando los usuarios se inscriben en MDM). La autenticación con certificado del cliente no está disponible para el modo XenMobile ENT cuando los usuarios se inscriben en el modo MAM antiguo. Para usar la autenticación con certificado del cliente en los modos ENT y MAM de XenMobile, debe configurar el servidor Microsoft, XenMobile Server y, a continuación, NetScaler Gateway. Siga estos pasos generales, como se describe en este artículo.

En el servidor Microsoft:

  1. Agregue el complemento de Certificados a la consola MMC (Microsoft Management Console).
  2. Agregue la plantilla a la entidad de certificación (CA).
  3. Cree un certificado PFX desde el servidor de CA.

En XenMobile Server:

  1. Cargue el certificado en XenMobile.
  2. Cree una entidad PKI para la autenticación basada en certificados.
  3. Configure proveedores de credenciales.
  4. Configure NetScaler Gateway para entregar un certificado de usuario para la autenticación.

En NetScaler Gateway, configúrelo como se describe en la documentación de NetScaler Gateway.

Requisitos previos

  • Cuando cree plantillas de entidad para Servicios de certificado de Microsoft, no use caracteres especiales para evitar posibles problemas de autenticación en los dispositivos inscritos. Por ejemplo, no use estos caracteres en el nombre de la plantilla: : ! $ () # % + * ~ ? | {} []

  • Para dispositivos Windows Phone 8.1 que usan autenticación con certificados y descarga SSL, debe inhabilitar la reutilización de sesiones SSL para el puerto 443 en los dos servidores virtuales de equilibrio de carga en NetScaler. Para ello, ejecute el siguiente comando para el puerto 443 en los servidores virtuales:

    set ssl vserver <ssl lb vserver> sessReuse DISABLE

    Si inhabilita la reutilización de sesiones SSL, se inhabilitan algunas de las optimizaciones que NetScaler ofrece, lo que puede ocasionar una disminución del rendimiento en NetScaler.

  • Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulte este blog de Microsoft.
  • Si utiliza certificados de servidor privados para proteger el tráfico de ActiveSync hacia el servidor Exchange Server, compruebe que los dispositivos móviles tienen todos los certificados raíz e intermedios. De lo contrario, la autenticación basada en certificados falla durante la configuración de buzones de correo en Secure Mail. En la consola IIS de Exchange, debe:
    • Agregar un sitio Web para que XenMobile lo use con Exchange y enlazar el certificado de servidor Web.
    • Usar el puerto 9443.
    • Para ese sitio Web, debe agregar dos aplicaciones, una para “Microsoft-Server-ActiveSync” y otra para “EWS”. En ambas aplicaciones, en Configuración de SSL, habilite Requerir SSL.

Agregar el complemento de Certificados a Microsoft Management Console

  1. Abra la consola y haga clic en Agregar o quitar complemento.

  2. Agregue los complementos siguientes:

    • Plantillas de certificado
    • Certificados (Equipo local)
    • Certificados (Usuario local)
    • Entidad de certificación (Local)

    Imagen de Microsoft Management Console

  3. Expanda Plantillas de certificado.

    Imagen de Microsoft Management Console

  4. Seleccione la plantilla Usuario y Duplicar plantilla.

    Imagen de Microsoft Management Console

  5. Suministre el nombre para mostrar de la plantilla.

    Importante:

    Marque la casilla Publicar certificado en Active Directory solo si es necesario. Si selecciona esta opción, todos los certificados de cliente de los usuarios se crearán en Active Directory, lo que podría desorganizar su base de datos de Active Directory.

  6. Seleccione Windows 2003 Server como tipo de plantilla. En Windows 2012 R2 Server, en Compatibilidad, seleccione Entidad de certificación y defina Windows 2003 como destinatario.

  7. En Seguridad, seleccione la opción Inscribir en la columna Permitir para los usuarios autenticados.

    Imagen de Microsoft Management Console

  8. En Criptografía, compruebe que indica el tamaño de la clave. Deberá escribir el tamaño de esa clave más adelante, durante la configuración de XenMobile.

    Imagen de Microsoft Management Console

  9. En Nombre del sujeto, seleccione Proporcionado por el solicitante. Aplique y guarde los cambios.

    Imagen de Microsoft Management Console

Agregar la plantilla a la entidad de certificación

  1. Vaya a Entidad de certificación y seleccione Plantillas de certificado.

  2. Haga clic con el botón secundario en el panel derecho y seleccione Nueva > Plantilla de certificado que se va a emitir.

    Imagen de Microsoft Management Console

  3. Seleccione la plantilla que creó en el paso anterior y haga clic en Aceptar para agregarla a la Entidad de certificación.

    Imagen de Microsoft Management Console

Crear un certificado PFX desde el servidor de CA

  1. Cree un certificado .pfx de usuario con la cuenta de servicio con la que inició sesión. Este PFX se carga en XenMobile, con lo que se solicita un certificado de usuario de parte de los usuarios que inscriban sus dispositivos.

  2. En Usuario actual, expanda Certificados.

  3. Haga clic con el botón secundario en el panel derecho y después haga clic en Solicitar un nuevo certificado.

    Imagen de Microsoft Management Console

  4. Aparecerá la pantalla Inscripción de certificados. Haga clic en Siguiente.

    Imagen de Microsoft Management Console

  5. Seleccione Directiva de inscripción de Active Directory y haga clic en Siguiente.

    Imagen de Microsoft Management Console

  6. Seleccione la plantilla Usuario y haga clic en Inscribir.

    Imagen de Microsoft Management Console

  7. Exporte el archivo .pfx que creó en el paso anterior.

    Imagen de Microsoft Management Console

  8. Haga clic en Exportar la clave privada.

    Imagen de Microsoft Management Console

  9. Marque las casillas Si es posible, incluir todos los certificados en la ruta de acceso de certificación y Exportar todas las propiedades extendidas.

    Imagen de Microsoft Management Console

  10. Defina la contraseña que va a usar para cargar este certificado en XenMobile.

    Imagen de Microsoft Management Console

  11. Guarde el certificado en su disco duro.

Cargar el certificado en XenMobile

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. Haga clic en Certificados y, a continuación, en Importar.

  3. Introduzca los parámetros siguientes:

    • Importar: Almacén de claves.
    • Tipo de almacén de claves: PKCS#12.
    • Usar como: Servidor.
    • Archivo de almacén de claves: Haga clic en “Examinar” para seleccionar el certificado PFX que acaba de crear.
    • Contraseña: Introduzca la contraseña que creó para este certificado.

    Imagen de la pantalla Configuración de certificados

  4. Haga clic en Importar.

  5. Verifique que el certificado se ha instalado correctamente. Un certificado correctamente instalado se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación con certificados

  1. En Parámetros, vaya a Más > Administración de certificados > Entidades PKI.

  2. Haga clic en Agregar y, a continuación, haga clic en Entidad de Servicios de certificados de Microsoft. Aparecerá la pantalla Entidad de Servicios de certificados de Microsoft: Información general.

  3. Introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • URL raíz del servicio de inscripción Web: https://RootCA-URL/certsrv/ Debe agregar la última barra diagonal (/) a la ruta de URL.
    • certnew.cer page name: certnew.cer (valor predeterminado)
    • certfnsh.asp: certfnsh.asp (valor predeterminado)
    • Tipo de autenticación: Certificado de cliente.
    • Certificado de cliente SSL: Seleccione el certificado de usuario que se va a usar para emitir el certificado de cliente XenMobile.

    Imagen de la pantalla Configuración de certificados

  4. En Plantillas, agregue la plantilla que creó cuando configuró el certificado de Microsoft. No agregue espacios.

    Imagen de la pantalla Configuración de certificados

  5. Omita el paso “Parámetros HTTP” y haga clic en Certificados de CA.

  6. Seleccione el nombre de la CA raíz que le corresponda a su entorno. Esta CA raíz es parte de la cadena importada desde el certificado cliente de XenMobile.

    Imagen de la pantalla Configuración de certificados

  7. Haga clic en Guardar.

Configurar proveedores de credenciales

  1. En Parámetros, vaya a Más > Administración de certificados > Proveedores de credenciales.

  2. Haga clic en Agregar.

  3. En General, introduzca los parámetros siguientes:

    • Nombre: Introduzca un nombre.
    • Descripción: Introduzca una descripción.
    • Entidad de emisión: Seleccione la entidad PKI creada anteriormente.
    • Método de emisión: SIGN.
    • Plantillas: Seleccione la plantilla agregada en el apartado de la entidad PKI.

    Imagen de la pantalla de configuración de proveedores de credenciales

  4. Haga clic en Solicitud de firma de certificado e introduzca los parámetros siguientes:

    • Algoritmo de clave: RSA
    • Tamaño de clave: 2048
    • Algoritmo de firma: SHA1withRSA
    • Nombre del sujeto: cn=$user.username

    Para Nombre alternativo del sujeto, haga clic en Agregar e introduzca los parámetros siguientes:

    • Tipo: Nombre principal del usuario.
    • Valor: $user.userprincipalname

    Imagen de la pantalla de configuración de proveedores de credenciales

  5. Haga clic en Distribución e introduzca los parámetros siguientes:

    • CA emisora de certificados: Seleccione la CA emisora que firmó el certificado del cliente XenMobile.
    • Seleccionar modo de distribución: Marque Preferir modo centralizado: Generación de clave en el lado del servidor.

    Imagen de la pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes (Revocación XenMobile y Revocación PKI), defina los parámetros, si es necesario. En este ejemplo, ambas opciones se omiten.

  7. Haga clic en Renovación.

  8. En Renovar certificados cuando caduquen, seleccione .

  9. Deje todos los demás parámetros con los valores predeterminados o cámbielos si es necesario.

    Imagen de la pantalla de configuración de proveedores de credenciales

  10. Haga clic en Guardar.

Configuración de Secure Mail para la autenticación con certificados

Cuando agregue Secure Mail a XenMobile, configure los parámetros de Exchange en Parámetros de aplicación.

Imagen de la pantalla Configuración de aplicaciones

Configuración de la entrega de certificados de NetScaler en XenMobile

  1. Inicie sesión en la consola de XenMobile y haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la pantalla Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway.

  3. Si NetScaler Gateway aún no está agregado, haga clic en Agregar y especifique los parámetros:

    • URL externa: https://YourNetScalerGatewayURL
    • Tipo de inicio de sesión: Certificado.
    • Se requiere contraseña: No.
    • Establecer como predeterminado: Sí.
  4. En Entregar certificado de usuario para autenticación, seleccione .

    Imagen de la pantalla de configuración de NetScaler Gateway

  5. En Proveedor de credenciales, seleccione un proveedor y haga clic en Guardar.

  6. Si va a usar atributos de sAMAccount en los certificados de usuario como alternativa al nombre principal de usuario (UPN), configure el conector de LDAP en XenMobile de este modo: vaya a Parámetros > LDAP, seleccione el directorio, haga clic en Modificar, y seleccione sAMAccountName en Buscar usuarios por.

    Imagen de la pantalla de configuración de LDAP

Habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya a Parámetros > Propiedades de cliente y marque las casillas Enable Citrix PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Creación de una directiva Enterprise Hub para Windows Phone

Para dispositivos Windows Phone, es necesario crear una directiva de dispositivo Enterprise Hub para entregar el archivo AETX y el cliente Secure Hub.

Nota:

Compruebe que los archivos AETX y Secure Hub utilizan:

  • El mismo certificado de empresa del proveedor de certificado.
  • El mismo ID de publicador en el perfil de cuenta de desarrollador de la Tienda Windows.
  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo.

  2. Haga clic en Agregar y, a continuación, en Más > Agente de XenMobile, haga clic en Enterprise Hub.

  3. Después de dar un nombre a la directiva, seleccione el archivo AETX correcto y la aplicación Secure Hub firmada para Enterprise Hub.

    Imagen de la pantalla de configuración Directivas de dispositivo

  4. Asigne la directiva a grupos de entrega y guárdela.

Solución de problemas en la configuración de certificados de cliente

Después de definir correctamente la configuración anterior, además de configurar NetScaler Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben sus dispositivos móviles.

  2. XenMobile solicita a los usuarios que creen un PIN de Citrix.

  3. Se redirige a los usuarios a XenMobile Store.

  4. Cuando los usuarios inician Secure Mail, XenMobile no les pide credenciales para configurar su buzón. En su lugar, Secure Mail solicitará el certificado del cliente de Secure Mail y lo enviará a Microsoft Exchange Server para la autenticación. Si XenMobile pide credenciales cuando los usuarios inician Secure Mail, verifique si ha configurado todo correctamente.

Si los usuarios pueden descargar e instalar Secure Mail, pero durante la configuración de buzones Secure Mail no puede finalizar la configuración:

  1. Si el servidor de Microsoft Exchange ActiveSync usa certificados de servidor SSL privados para proteger el tráfico, compruebe que los certificados raíz e intermedios están instalados en el dispositivo móvil.

  2. Compruebe que el tipo de autenticación seleccionado para ActiveSync es Requerir certificados de cliente.

    Imagen de la pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, visite el sitio Microsoft-Server-ActiveSync para ver si tiene habilitada la autenticación con asignación de certificados del cliente. De forma predeterminada, la autenticación con asignación de certificados del cliente está inhabilitada. La opción está en Editor de configuración > Seguridad > Autenticación.

    Imagen de la pantalla de configuración de Microsoft ActiveSync

    Después de seleccionar Verdadero, debe hacer clic en Aplicar para que los cambios tengan efecto.

  4. Revise la configuración de NetScaler Gateway en la consola de XenMobile: Entregar certificado de usuario para autenticación debe estar activado y Proveedor de credenciales debe tener seleccionado el perfil correcto.

Para determinar si el certificado del cliente se ha entregado a un dispositivo móvil

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos y seleccione el dispositivo.

  2. Haga clic en Modificar o Mostrar más.

  3. Vaya a la sección Grupos de entrega y busque esta entrada:

    NetScaler Gateway Credentials: Requested credential, CertId=

Para validar si está habilitada la negociación de certificados de cliente

  1. Ejecute este comando netsh para ver la configuración del certificado SSL que está vinculado en el sitio Web de IIS:

    netsh http show sslcert

  2. Si el valor de Negotiate Client Certificate es Disabled, ejecute el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si no puede entregar certificados raíz e intermedios a un dispositivo Windows Phone 8.1 a través de XenMobile:

  • Envíe los archivos .cer de certificados raíz/intermedios por correo electrónico al dispositivo Windows Phone 8.1 e instálelos directamente.

Si Secure Mail no se puede instalar correctamente en Windows Phone 8.1, compruebe lo siguiente:

  • El token de inscripción de la aplicación (archivo AETX) se entrega a través de XenMobile usando la directiva de dispositivo Enterprise Hub.
  • El token de inscripción de la aplicación se creó con el mismo certificado de empresa del proveedor de certificados utilizado para empaquetar Secure Mail y firmar las aplicaciones de Secure Hub.
  • Se usa el mismo ID de publicador para firmar y empaquetar Secure Hub, Secure Mail y el token de inscripción de la aplicación.