Certificats et authentification

Plusieurs composants jouent un rôle dans le processus d’authentification lors des opérations Endpoint Management :

  • Endpoint Management : le serveur Endpoint Management vous permet de définir la sécurité liée à l’inscription ainsi que l’expérience d’inscription. Les options d’intégration des utilisateurs comprennent :
    • Inscription ouverte à tous ou sur invitation seulement.
    • Authentification à deux facteurs ou à trois facteurs obligatoire. Dans les propriétés du client Endpoint Management, vous pouvez activer l’authentification par code PIN Citrix et configurer la complexité et le délai d’expiration du code PIN.
  • Citrix Gateway : Citrix Gateway fournit une expiration pour les sessions SSL micro VPN. Citrix Gateway assure aussi la sécurité en transit sur le réseau et vous permet de définir l’expérience d’authentification utilisée chaque fois qu’un utilisateur accède à une application.
  • Secure Hub : Secure Hub fonctionne avec Endpoint Management au cours des opérations d’inscription. Secure Hub est l’entité basée sur un appareil qui communique avec Citrix Gateway : lorsqu’une session expire, Secure Hub obtient un ticket d’authentification de Citrix Gateway et transmet le ticket aux applications MDX. Citrix vous recommande d’utiliser le certificate pinning, qui empêche les attaques « man-in-the-middle ». Pour de plus amples informations, consultez cette section dans l’article Secure Hub : Certificate pinning.

    Secure Hub gère également le conteneur de sécurité MDX : Secure Hub force les stratégies, crée une session avec Citrix Gateway lors de l’expiration d’une application et définit le délai d’expiration MDX et l’authentification. Secure Hub est également responsable de la détection des appareils jailbreakés, des contrôles de géolocalisation et de toute autre stratégie que vous appliquez.

  • Stratégies MDX : les stratégies MDX créent l’espace de stockage sécurisé sur l’appareil. Les stratégies MDX redirigent les connexions micro VPN vers Citrix Gateway et appliquent les restrictions du mode déconnecté ainsi que les stratégies de client, telles que les délais d’expiration.

Pour de plus amples informations sur la configuration de l’authentification, y compris une vue d’ensemble des méthodes d’authentification à un et deux facteurs, veuillez consulter l’article Authentification du manuel de déploiement.

Dans Endpoint Management, les certificats permettent d’établir des connexions sécurisées et d’authentifier les utilisateurs. Le reste de cet article décrit les certificats. Pour plus d’informations sur la configuration, consultez les articles suivants :

Certificats

Endpoint Management génère un certificat SSL auto-signé lors de l’installation afin de sécuriser les communications sur le serveur. Vous devez remplacer le certificat SSL avec un certificat SSL approuvé provenant d’une autorité de certification (CA) reconnue.

Endpoint Management utilise également son propre service d’infrastructure de clé publique (PKI) ou obtient les certificats de l’autorité de certification pour les certificats clients. Tous les produits Citrix prennent en charge les caractères génériques et les certificats SAN. Pour la plupart des déploiements, vous n’aurez besoin que deux caractères génériques ou certificats SAN.

L’authentification du certificat client offre une couche de sécurité supplémentaire pour les applications mobiles et permet aux utilisateurs d’accéder de manière transparente aux applications HDX. Lorsque l’authentification du certificat client est configurée, les utilisateurs entrent leur code PIN Citrix pour accéder aux applications Endpoint Management avec l’authentification unique. Le code secret Citrix simplifie également l’expérience utilisateur pour l’authentification. Le code PIN Citrix est utilisé pour sécuriser un certificat client ou enregistrement des informations d’identification Active Directory localement sur leur appareil.

Pour inscrire et gérer des appareils iOS avec Endpoint Management, configurez et créez un certificat Apple Push Notification Service (APNS). Pour connaître les étapes à suivre, consultez la section Certificats APNS.

Le tableau suivant illustre le format et le type du certificat pour chaque composant Endpoint Management :

     
Composant Endpoint Management Format du certificat Type de certificat requis
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Root (Citrix Gateway convertit automatiquement un fichier PFX vers PEM.)
Endpoint Management .p12 (.pfx sur les ordinateurs Windows) SSL, SAML, APN (Endpoint Management génère également une PKI complète au cours du processus d’installation.) Important : Endpoint Management ne prend pas en charge les certificats avec une extension .pem. Pour utiliser un certificat .pem, divisez le fichier .pem en un certificat et une clé et importez-les dans le serveur Endpoint Management.
StoreFront PFX (PKCS #12) SSL, racine

Endpoint Management prend en charge les certificats clients de 4096, 2048 et 1024 bits. Veuillez noter que les certificats 1024 bits peuvent être facilement compromis.

Pour Citrix Gateway et Endpoint Management, Citrix recommande d’obtenir les certificats de serveur à partir d’une autorité de certification publique, comme Verisign, Thawte ou DigiCert. Vous pouvez créer une demande de signature de certificat (CSR) à partir de Citrix Gateway ou de l’utilitaire de configuration Endpoint Management. Lorsque vous créez la CSR, envoyez-la à l’autorité de certification pour signature. Lorsque l’autorité de certification renvoie le certificat signé, vous pouvez l’installer sur Citrix Gateway ou Endpoint Management.

Important : conditions requises pour les certificats de confiance dans iOS 13 et macOS 15

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les exigences d’Apple. Pour plus de détails, consultez l’article de l’assistance Apple.

Chargement de certificats dans Endpoint Management

Chaque certificat que vous chargez est représenté par une entrée dans le tableau Certificats, qui résume son contenu. Lorsque vous configurez des composants d’intégration PKI qui nécessitent un certificat, vous choisissez un certificat de serveur répondant à des critères spécifiques au contexte. Par exemple, il se peut que vous souhaitiez configurer Endpoint Management pour s’intégrer à Microsoft CA. La connexion à Microsoft CA doit être authentifiée à l’aide d’un certificat client.

Cette section explique comment charger des certificats. Pour de plus amples informations sur la création, le chargement et la configuration de certificats clients, consultez la section Authentification certificat client ou certificat + domaine.

Configuration requise pour la clé privée

Endpoint Management peut posséder ou non la clé privée d’un certificat donné. De même, Endpoint Management peut nécessiter ou non une clé privée pour les certificats que vous chargez.

Chargement de certificats sur la console

Vous avez le choix entre deux options principales pour charger des certificats sur la console :

  • Vous pouvez cliquer pour importer un keystore. Vous identifiez ensuite l’entrée dans le référentiel de keystore dans lequel vous souhaitez l’installer, sauf si vous chargez un format PKCS #12.
  • Vous pouvez cliquer pour importer un certificat.

Vous pouvez charger le certificat d’autorité de certification (sans clé privée) que l’autorité de certification utilise pour signer les demandes. Vous pouvez également charger un certificat de client SSL (avec clé privée) pour l’authentification du client.

Lors de la configuration de l’entité Microsoft CA, vous spécifiez le certificat d’autorité de certification. Vous sélectionnez le certificat d’autorité de certification dans une liste de tous les certificats de serveur qui sont des certificats d’autorité de certification. De même, lorsque vous configurez l’authentification de client, vous pouvez faire votre choix dans une liste de tous les certificats de serveur pour lesquels Endpoint Management possède la clé privée.

Pour importer un keystore

À dessein, les keystores, qui sont des référentiels de certificats de sécurité, peuvent comporter plusieurs entrées. Par conséquent, lors du chargement à partir d’un keystore, vous êtes invité à indiquer l’alias d’entrée qui identifie l’entrée à charger. Si vous ne spécifiez pas d’alias, la première entrée du magasin est chargée. Étant donné que les fichiers PKCS #12 ne contiennent généralement qu’une seule entrée, le champ d’alias ne s’affiche pas lorsque vous sélectionnez PKCS #12 en tant que type de keystore.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Certificats. La page Certificats s’affiche.

    Page de configuration Certificats

  3. Cliquez sur Importer. La boîte de dialogue Importer apparaît.

  4. Pour configurer ces paramètres :

    • Importer : dans la liste, cliquez sur Keystore. La boîte de dialogue Importer change pour refléter les options de keystore disponibles.

    Page de configuration Certificats

    • Type de keystore : dans la liste, cliquez sur PKCS #12.
    • Utiliser en tant que : dans la liste, cliquez pour spécifier la manière dont vous prévoyez d’utiliser le certificat. Les options disponibles sont :
      • Serveur. Les certificats de serveur sont des certificats utilisés par Endpoint Management. Vous téléchargez des certificats de serveur sur la console Web Endpoint Management. Ces certificats comprennent des certificats d’autorité de certification, des certificats d’autorité d’inscription et des certificats pour l’authentification des clients avec d’autres composants de votre infrastructure. En outre, vous pouvez utiliser les certificats de serveur en tant que stockage pour les certificats que vous voulez déployer vers des appareils. Cette utilisation s’applique particulièrement aux autorités de certification utilisées pour établir une relation de confiance sur l’appareil.
      • SAML. La certification SAML vous permet de fournir une authentification unique (SSO) aux serveurs, sites Web et applications.
      • APNS. Les certificats APNS d’Apple permettent de gérer les appareils mobiles via le réseau Apple Push Network.
      • Écouteur SSL. L’écouteur SSL (Secure Sockets Layer) notifie Endpoint Management de l’activité cryptographique SSL.
    • Fichier de keystore : recherchez le keystore de type de fichier .p12 que vous souhaitez importer (ou .pfx sur les ordinateurs Windows).
    • Mot de passe : entrez le mot de passe affecté au certificat.
    • Description : entrez une description vous permettant de distinguer le keystore de vos autres keystores (facultatif).
  5. Cliquez sur Importer. Le keystore est ajouté au tableau Certificats.

Pour importer un certificat

Lors de l’importation d’un certificat, soit à partir d’un fichier, soit depuis une entrée de keystore, Endpoint Management tente de construire une chaîne de certificats à partir de l’entrée. Endpoint Management importe tous les certificats de cette chaîne pour créer une entrée de certificat de serveur pour chacun d’eux. Cette opération fonctionne uniquement si les certificats du fichier ou l’entrée keystore forment réellement une chaîne. Par exemple, si chaque certificat suivant de la chaîne est l’émetteur du certificat précédent.

Vous pouvez ajouter une description facultative pour le certificat importé. La description est uniquement attachée au premier certificat dans la chaîne. Vous pouvez mettre à jour la description des certificats restants plus tard.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Certificats.

  2. Sur la page Certificats, cliquez sur Importer. La boîte de dialogue Importer apparaît.

  3. Dans la boîte de dialogue Importer, dans Importer, s’il n’est pas déjà sélectionné, cliquez sur Certificat.

  4. La boîte de dialogue Importer change pour refléter les options de certificat disponibles. Dans Utiliser en tant que, sélectionnez comment vous prévoyez d’utiliser le keystore. Les options disponibles sont :

    • Serveur. Les certificats de serveur sont des certificats utilisés par Endpoint Management. Vous téléchargez des certificats de serveur sur la console Web Endpoint Management. Ces certificats comprennent des certificats d’autorité de certification, des certificats d’autorité d’inscription et des certificats pour l’authentification des clients avec d’autres composants de votre infrastructure. En outre, vous pouvez utiliser les certificats de serveur en tant que stockage pour les certificats que vous voulez déployer vers des appareils. Cette option s’applique particulièrement aux autorités de certification utilisées pour établir une relation de confiance sur l’appareil.
    • SAML. La certification SAML vous permet de fournir une authentification unique (SSO) aux serveurs, sites Web et applications.
    • Écouteur SSL. L’écouteur SSL (Secure Sockets Layer) notifie Endpoint Management de l’activité cryptographique SSL.
  5. Recherchez le keystore de type de fichier .p12 que vous souhaitez importer (ou .pfx sur les ordinateurs Windows).

  6. Parcourez pour rechercher un fichier de clé privée facultatif pour le certificat. La clé privée est utilisée pour le chiffrement et le déchiffrement en conjonction avec le certificat.

  7. Entrez une description pour le certificat (facultatif) pour vous aider à le distinguer de vos autres certificats.

  8. Cliquez sur Importer. Le certificat est ajouté au tableau Certificats.

Mise à jour d’un certificat

Endpoint Management n’autorise l’existence que d’un seul certificat par clé publique dans le système à tout moment. Si vous essayez d’importer un certificat pour la même paire de clés qu’un certificat déjà importé, vous pouvez remplacer l’entrée existante ou la supprimer.

Pour mettre à jour vos certificats de la façon la plus efficace, procédez comme suit dans la console Endpoint Management. Cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console pour ouvrir la page Paramètres, puis cliquez sur Certificats. Dans la boîte de dialogue Importer, importez le nouveau certificat.

Lorsque vous mettez un certificat de serveur à jour, les composants qui utilisaient le certificat précédent utilisent automatiquement le nouveau certificat. De même, si vous avez déployé le certificat de serveur sur les appareils, il sera automatiquement mis à jour lors du prochain déploiement.

Gestion des certificats Endpoint Management

Nous vous recommandons de répertorier les certificats que vous utilisez dans votre déploiement Endpoint Management, plus particulièrement leurs dates d’expiration et les mots de passe associés. Cette section vise à vous aider à faciliter la gestion des certificats dans Endpoint Management.

Votre environnement peut inclure certains ou tous les certificats suivants :

  • Serveur Endpoint Management
    • Certificat SSL pour nom de domaine complet MDM
    • Certificat SAML (pour Citrix Files)
    • Certificats d’autorité de certification racine et intermédiaire pour les certificats ci-dessus et toute autre ressource interne (StoreFront/Proxy, etc)
    • Certificat APN pour la gestion des appareils iOS
    • Certificat APNS interne pour les notifications Secure Hub du serveur Endpoint Management
    • Certificat utilisateur PKI pour la connectivité à PKI
  • MDX Service ou MDX Toolkit
    • Certificat Apple Developer
    • Profil de provisioning Apple (par application)
    • Certificat APNs Apple (pour utilisation avec Citrix Secure Mail)
    • Fichier de keystore Android
    • Windows Phone – Certificat Symantec
  • Citrix Gateway
    • Certificat SSL pour nom de domaine complet MDM
    • Certificat SSL pour nom de domaine complet Gateway
    • Certificat SSL pour nom de domaine complet ShareFile SZC
    • Certificat SSL pour l’équilibrage de charge Exchange (configuration de déchargement)
    • Certificat SSL pour l’équilibrage de charge StoreFront
    • Certificats d’autorité de certification racine et intermédiaire pour les certificats ci-dessus

Renouvellement de certificat d’appareil

Vous pouvez maintenant demander que Citrix Cloud Operations actualise ou régénère les autorités de certification d’infrastructure de clé publique interne dans votre déploiement Endpoint Management. Ouvrez un dossier d’assistance technique pour ces demandes.

Lorsque les nouvelles autorités de certification sont disponibles, Cloud Operations vous informe que vous pouvez poursuivre le renouvellement des certificats des appareils de vos utilisateurs.

Pour les appareils iOS, macOS et Android pris en charge, vous pouvez lancer le renouvellement des certificats via l’action de sécurité Renouvellement de certificat. Vous renouvelez les certificats des appareils à partir de la console Endpoint Management ou de l’API REST publique. Pour les appareils Windows inscrits, les utilisateurs doivent réinscrire leurs appareils pour recevoir une nouvelle autorité de certification d’appareil.

Si Citrix Gateway est configuré pour la décharge SSL, assurez-vous de mettre à jour l’équilibrage de charge avec le nouveau certificat cacert.perm.

Lors de la prochaine connexion d’appareils à Endpoint Management, Endpoint Management Server émet de nouveaux certificats d’appareils basés sur la nouvelle autorité de certification.

Pour renouveler les certificats d’appareils à l’aide de la console

  1. Accédez à Gérer > Appareils et sélectionnez les appareils pour lesquels vous souhaitez renouveler les certificats.
  2. Cliquez sur Sécuriser, puis cliquez sur Renouvellement de certificat.

    Renouvellement de certificat dans Actions de sécurisation

    Les appareils déjà inscrits continuent de fonctionner sans interruption. Endpoint Management émet un certificat d’appareil lorsqu’un appareil se reconnecte au serveur.

Pour interroger les appareils appartenant à un groupe d’AC émettrice de certificat d’appareil spécifique, procédez comme suit :

  1. Dans Gérer > Appareils, développez le panneau Filtres s’il est fermé.
  2. Dans le panneau Filtres, développez AC émettrice du certificat d’appareil, puis sélectionnez les autorités de certification émettrices que vous souhaitez renouveler.

    Dans le tableau des appareils, les appareils associés aux AC émettrices sélectionnées apparaissent.

    Liste d'appareils filtrée par groupe de certificats d'autorité de certification

Pour renouveler les certificats d’appareils à l’aide de l’API REST

Endpoint Management utilise les autorités de certification suivantes en interne pour l’infrastructure de clé publique (PKI) : autorité de certification racine, autorité de certification d’appareil et autorité de certification de serveur. Ces autorités de certification sont classées en tant que groupe logique et reçoivent un nom de groupe. Lors du provisioning de Endpoint Management, le serveur génère trois autorités de certification et leur attribue le nom de groupe “default”.

Vous pouvez utiliser les API suivantes pour gérer et renouveler les certificats d’appareils émis par les autorités de certification. Les appareils déjà inscrits continuent de fonctionner sans interruption. Endpoint Management émet un certificat d’appareil lorsqu’un appareil se reconnecte au serveur. Pour plus d’informations, téléchargez le PDF Public API for REST Services.

  • Renvoyer la liste des appareils utilisant toujours l’ancienne autorité de certification (voir la section 3.16.2 dans le PDF Public API for REST Services)
  • Renouveler le certificat de l’appareil (voir la section 3.16.58)
  • Obtenir tous les groupes d’autorité de certification (voir section 3.23.1)

Stratégie d’expiration de certificat Endpoint Management

Si vous autorisez un certificat à expirer, le certificat n’est plus valide. Vous ne pouvez plus exécuter de transactions sécurisées dans votre environnement et vous ne pouvez pas accéder aux ressources Endpoint Management.

Remarque :

L’autorité de certification (CA) vous invite à renouveler votre certificat SSL avant la date d’expiration.

Certificat APNS pour Citrix Secure Mail

Certificats Apple Push Notification Service (APNs) Veillez à créer un certificat SSL APNs et à le mettre à jour dans le portail Citrix avant l’expiration du certificat. Si le certificat expire, les utilisateurs rencontrent des problèmes avec les notifications push Secure Mail. De plus, vous ne pouvez plus envoyer de notifications push pour vos applications.

Certificat APNS pour la gestion des appareils iOS

Pour inscrire et gérer des appareils iOS avec Endpoint Management, configurez et créez un certificat APNS Apple. Si le certificat expire, les utilisateurs ne peuvent pas s’inscrire dans Endpoint Management et vous ne pouvez pas gérer leurs appareils iOS. Pour plus de détails, consultez Certificats APNS.

Vous pouvez afficher l’état et la date d’expiration du certificat APNs en ouvrant une session sur le portail de certificats push Apple. Veillez à ouvrir une session avec les informations de l’utilisateur qui a créé le certificat.

Vous recevez également une notification par e-mail d’Apple 30 et 10 jours avant la date d’expiration. La notification inclut les informations suivantes :

The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.

Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.

Thank You,

Apple Push Notification Service

MDX Service ou MDX Toolkit (certificat de distribution iOS)

Toute application exécutée sur un appareil iOS physique (autres que des applications dans l’App Store d’Apple) présente les exigences de signature suivantes :

  • Signer l’application avec un profil de provisioning.
  • Signer l’application avec un certificat de distribution correspondant.

Pour vérifier que vous disposez d’un certificat de distribution iOS valide, procédez comme suit :

  1. À partir du portail Apple Enterprise Developer, créez un ID d’application explicite pour chaque application que vous voulez encapsuler avec MDX. Exemple d’ID d’application acceptable : com.CompanyName.ProductName.
  2. À partir du portail Apple Enterprise Developer, accédez à Provisioning Profiles > Distribution et créez un profil de provisioning interne. Répétez cette étape pour chaque ID d’application créé à l’étape précédente.
  3. Téléchargez tous les profils de provisioning. Pour plus de détails, consultez Encapsulation des applications mobiles iOS.

Pour vérifier si tous les certificats du serveur Endpoint Management sont valides, procédez comme suit :

  1. Dans la console Endpoint Management, cliquez sur Paramètres > Certificats.
  2. Assurez-vous que tous les certificats y compris les certificats APNs, d’écoute SSL, racine et intermédiaire sont valides.

Keystore Android

Le keystore est un fichier qui contient les certificats utilisés pour signer votre application Android. Lorsque la période de validité de votre clé expire, les utilisateurs ne peuvent plus mettre à niveau vers les nouvelles versions de votre application.

Certificat d’entreprise de Symantec pour Windows Phone

Symantec est le fournisseur exclusif de certificats de signature de code du service Microsoft App Hub. Les développeurs et éditeurs de logiciels rejoignent le hub d’applications pour distribuer des applications Windows Phone et Xbox 360 à télécharger à l’aide de Windows Marketplace. Pour plus d’informations, consultez la section Symantec Code Signing Certificates for Windows Phone dans la documentation Symantec.

Si le certificat expire, les utilisateurs de Windows Phone ne peuvent pas s’inscrire. Les utilisateurs ne peuvent pas installer une application publiée et signée par l’entreprise ou démarrer une application d’entreprise qui a été installée sur le téléphone.

Citrix Gateway

Pour plus d’informations sur la gestion de l’expiration de certificat pour Citrix Gateway, consultez la section How to handle certificate expiry on NetScaler dans le centre de connaissances Citrix.

Un certificat Citrix Gateway ayant expiré empêche les utilisateurs de s’inscrire et d’accéder au magasin. Le certificat expiré empêche également les utilisateurs de se connecter à Exchange Server lors de l’utilisation de Secure Mail. En outre, les utilisateurs ne peuvent pas énumérer ni ouvrir les applications HDX (en fonction de quel certificat a expiré).

Le Moniteur d’expiration et Command Center peuvent vous aider à effectuer le suivi de vos certificats Citrix Gateway. Le Command Center vous informe de l’expiration du certificat. Ces outils permettent de surveiller les certificats Citrix Gateway suivants :

  • Certificat SSL pour nom de domaine complet MDM
  • Certificat SSL pour nom de domaine complet Gateway
  • Certificat SSL pour nom de domaine complet ShareFile SZC
  • Certificat SSL pour l’équilibrage de charge Exchange (configuration de déchargement)
  • Certificat SSL pour l’équilibrage de charge StoreFront
  • Certificats d’autorité de certification racine et intermédiaire pour les certificats ci-dessus

Certificats et authentification