Documentation produit
Citrix Endpoint Management
Voir PDF

Authentification certificat client ou certificat + domaine

May 5, 2023
Contributeur: 
C

La configuration par défaut pour Endpoint Management est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement Endpoint Management, vous pouvez utiliser l’authentification basée sur certificats. Dans l’environnement Endpoint Management, cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur. L’authentification par certificat plus domaine offre les meilleures possibilités d’authentification unique associées à la sécurité fournie par l’authentification à deux facteurs sur Citrix Gateway.

Pour une utilisabilité optimale, vous pouvez combiner l’authentification par certificat plus domaine avec le code PIN Citrix et la mise en cache du mot de passe Active Directory. Dans ce cas, les utilisateurs n’ont pas à entrer leurs noms d’utilisateur et mots de passe LDAP à plusieurs reprises. Les utilisateurs doivent entrer leurs noms et mots de passe lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.

Important :

Endpoint Management ne prend pas en charge le passage du mode d’authentification, de l’authentification de domaine à un autre mode d’authentification, une fois que les utilisateurs ont inscrit des appareils dans Endpoint Management.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de Endpoint Management. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par Endpoint Management. Une fois qu’un utilisateur a accès, Endpoint Management crée et déploie le certificat utilisé pour s’authentifier auprès de l’environnement Endpoint Management.

Vous pouvez utiliser l’assistant NetScaler pour XenMobile pour procéder à la configuration requise pour Endpoint Management lors de l’utilisation de l’authentification par certificat Citrix Gateway ou certificat + domaine. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Dans les environnements hautement sécurisés, l’utilisation d’informations d’identification LDAP en dehors d’une organisation dans des réseaux publics ou non sécurisés est considérée comme une menace de sécurité majeure pour l’entreprise. Pour les environnements hautement sécurisés, il est possible d’opter pour l’authentification à deux facteurs à l’aide d’un certificat client et d’un jeton de sécurité. Pour de plus amples informations, consultez la section Configuration de Endpoint Management pour l’authentification par certificat et jeton de sécurité.

L’authentification par certificat client est disponible pour les appareils inscrits à MAM et MDM+MAM. Pour utiliser l’authentification par certificat client pour ces appareils, vous devez configurer le serveur Microsoft, Endpoint Management et Citrix Gateway. Suivez ces étapes générales, décrites dans cet article.

Sur le serveur Microsoft :

  1. Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console.
  2. Ajoutez le modèle à l’autorité de certification (CA).
  3. Créez un certificat PFX depuis le serveur CA.

Sur Endpoint Management :

  1. Chargez le certificat sur Endpoint Management.
  2. Créez l’entité PKI pour l’authentification par certificat.
  3. Configurez les fournisseurs d’informations d’identification.
  4. Configurez Citrix Gateway afin de fournir un certificat utilisateur pour l’authentification.

Pour plus d’informations sur la configuration de Citrix Gateway, consultez ces articles dans la documentation de Citrix ADC :

Conditions préalables

  • Lorsque vous créez un modèle d’entité Services de certificats Microsoft, évitez les problèmes d’authentification possibles avec des appareils inscrits, en n’utilisant pas de caractères spéciaux. Par exemple, n’utilisez pas ces caractères dans le nom du modèle : : ! $ () # % + * ~ ? | {} []

  • Pour configurer l’authentification basée sur certificat pour Exchange ActiveSync, consultez la documentation Microsoft sur Exchange Server. Configurez le site de serveur d’autorité de certification (CA) pour Exchange ActiveSync pour exiger des certificats clients.
  • Si vous utilisez des certificats de serveur privé pour sécuriser le trafic ActiveSync avec le serveur Exchange, assurez-vous que tous les certificats racine et intermédiaires ont été installés sur les appareils mobiles. Sinon, l’authentification basée sur certificat échoue lors de la configuration de la boîte aux lettres dans Secure Mail. Dans la console Exchange IIS, vous devez :
    • Ajouter un site Web à utiliser par Endpoint Management avec Exchange et lier le certificat de serveur Web.
    • Utiliser le port 9443.
    • Pour ce site Web, vous devez ajouter deux applications, une pour « Microsoft-Server-ActiveSync » et une pour « EWS ». Pour ces deux applications, sous Paramètres SSL, sélectionnez Exiger SSL.

Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console

  1. Ouvrez la console et cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  2. Ajoutez les composants logiciels enfichables suivants :

    • Modèles de certificats
    • Certificats (ordinateur local)
    • Certificats - Utilisateur actuel
    • Autorité de certification (locale)

    Microsoft Management Console

  3. Développez Modèles de certificats.

    Microsoft Management Console

  4. Sélectionnez le modèle Utilisateur et Dupliquer le modèle.

    Microsoft Management Console

  5. Fournissez le nom du modèle.

    Important :

    Sélectionnez la case Publier le certificat dans Active Directory uniquement si nécessaire. Si cette option est sélectionnée, tous les certificats client utilisateur sont créés dans Active Directory, ce qui pourrait encombrer votre base de données Active Directory.

  6. Sélectionnez Windows 2003 Server comme type de modèle. Dans Windows 2012 R2 Server, sous Compatibilité, sélectionnez Autorité de certification et définissez le destinataire en tant que Windows 2003.

  7. Sous Sécurité, cliquez sur Ajouter, puis sélectionnez le compte utilisateur AD que Endpoint Management utilisera pour générer des certificats.

    Important :

    ajoutez uniquement l’utilisateur du compte de service ici. Ajoutez l’autorisation Inscrire uniquement pour ce compte utilisateur AD.

    Comme décrit plus loin dans cet article, vous allez créer un certificat utilisateur .pfx à l’aide du compte de service. Pour plus d’informations, consultez la section Création d’un certificat PFX depuis le serveur CA.

    Microsoft Management Console

  8. Sous Cryptographie, assurez-vous de fournir la taille de la clé. Vous entrerez plus tard la taille de la clé lors de la configuration de Endpoint Management.

    Microsoft Management Console

  9. Sous Nom du sujet, sélectionnez Fournir dans la demande. Appliquez les modifications et enregistrez.

    Microsoft Management Console

Ajout du modèle à l’autorité de certification (CA)

  1. Accédez à Autorité de certification et sélectionnez Modèles de certificats.

  2. Cliquez avec le bouton droit dans le panneau de droite et sélectionnez Nouveau > Modèle de certificat à délivrer.

    Microsoft Management Console

  3. Sélectionnez le modèle que vous avez créé à l’étape précédente et cliquez sur OK pour l’ajouter à l’autorité de certification.

    Microsoft Management Console

Création d’un certificat PFX depuis le serveur CA

  1. Créez un certificat utilisateur .pfx à l’aide du compte de service avec lequel vous vous êtes connecté. Ce fichier .pfx est chargé dans Endpoint Management, qui demande ensuite un certificat utilisateur de la part des utilisateurs qui inscrivent leurs appareils.

  2. Sous Utilisateur actuel, développez Certificats.

  3. Cliquez avec le bouton droit dans le panneau de droite et cliquez sur Demander un nouveau certificat.

    Microsoft Management Console

  4. L’écran Inscription de certificats s’affiche. Cliquez sur Suivant.

    Microsoft Management Console

  5. Sélectionnez Stratégie d’inscription à Active Directory et cliquez sur Suivant.

    Microsoft Management Console

  6. Sélectionnez le modèle Utilisateur et cliquez sur Inscrire.

    Microsoft Management Console

  7. Exportez le fichier .pfx que vous avez créé à l’étape précédente.

    Microsoft Management Console

  8. Cliquez sur Oui, exporter la clé privée.

    Microsoft Management Console

  9. Sélectionnez Si possible inclure tous les certificats dans le chemin d’accès de certification si possible et la case Exporter toutes les propriétés étendues.

    Microsoft Management Console

  10. Définissez un mot de passe que vous utiliserez lors du chargement de ce certificat dans Endpoint Management.

    Microsoft Management Console

  11. Enregistrez le certificat sur votre disque dur.

Chargement du certificat dans Endpoint Management

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Cliquez sur Certificats et sur Importer.

  3. Entrez les paramètres suivants :

    • Importer : Keystore
    • Type de keystore : PKCS # 12
    • Utiliser en tant que : Serveur
    • Fichier de keystore : cliquez sur Parcourir pour sélectionner le certificat .pfx que vous venez de créer.
    • Mot de passe : entrez le mot de passe que vous avez créé pour ce certificat.

    Écran de configuration des certificats

  4. Cliquez sur Importer.

  5. Vérifiez que le certificat a été installé correctement. Un certificat correctement installé s’affiche en tant que certificat utilisateur.

Création de l’entité PKI pour l’authentification par certificat

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Entités PKI.

  2. Cliquez sur Ajouter et sur Entité Services de certificats Microsoft. L’écran Entité Services de certificats Microsoft : informations générales s’affiche.

  3. Entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • URL racine du service d’inscription Web : https://RootCA-URL/certsrv/ (N’oubliez pas d’ajouter la dernière barre oblique (/) dans l’URL.)
    • Nom de page certnew.cer : certnew.cer (valeur par défaut)
    • certfnsh.asp : certfnsh.asp (valeur par défaut)
    • Type d’authentification : certificat client
    • Certificat SSL : sélectionnez le certificat utilisateur à utiliser pour émettre le certificat client Endpoint Management. Si aucun certificat n’existe, suivez la procédure décrite dans la section précédente pour télécharger des certificats.

    Écran de configuration des certificats

  4. Sous Modèles, ajoutez le modèle que vous avez créé lors de la configuration du certificat Microsoft. N’ajoutez pas d’espaces.

    Écran de configuration des certificats

  5. Ignorez les paramètres HTTP et cliquez sur Certificats CA.

  6. Sélectionnez le nom de l’autorité de certification racine qui correspond à votre environnement. L’autorité de certification racine fait partie de la chaîne importée depuis le certificat client Endpoint Management.

    Écran de configuration des certificats

  7. Cliquez sur Save.

Configuration des Fournisseurs d’informations d’identification

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Fournisseurs d’informations d’identification.

  2. Cliquez sur Ajouter.

  3. Sous Général, entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • Description : entrez une description quelconque.
    • Entité émettrice : sélectionnez l’entité PKI créée précédemment.
    • Méthode d’émission : SIGNER
    • Modèles : sélectionnez le modèle ajouté sous l’entité PKI.

    Écran de configuration Fournisseurs d’informations d’identification

  4. Cliquez sur Demande de signature de certificat et entrez les paramètres suivants :

    • Algorithme de clé : RSA
    • Taille de la clé : 2048
    • Algorithme de signature : SHA256withRSA
    • Nom du sujet : cn=$user.username

    Pour Noms de sujet alternatifs, cliquez sur Ajouter et entrez les paramètres suivants :

    • Type : nom principal de l’utilisateur
    • Valeur : $user.userprincipalname

    Écran de configuration Fournisseurs d’informations d’identification

  5. Cliquez sur Distribution et entrez les paramètres suivants :

    • Certificat émis par l’autorité de certification : sélectionnez l’autorité de certification émettrice qui a signé le certificat client Endpoint Management.
    • Sélectionner le mode de distribution : sélectionnez Préférer mode centralisé : génération de la clé sur le serveur.

    Écran de configuration Fournisseurs d’informations d’identification

  6. Pour les deux prochaines sections, Révocation Endpoint Management et Révocation PKI, définissez les paramètres comme vous le souhaitez. Dans cet exemple, les deux options sont ignorées.

  7. Cliquez sur Renouvellement.

  8. Activez Renouveler les certificats lorsqu’ils expirent.

  9. Laissez tous les autres paramètres par défaut ou modifiez-les comme vous le souhaitez.

    Écran de configuration Fournisseurs d’informations d’identification

  10. Cliquez sur Save.

Configuration de Secure Mail pour utiliser l’authentification basée sur certificat

Lorsque vous ajoutez Secure Mail à Endpoint Management, n’oubliez pas de configurer les paramètres Exchange sous Paramètres applicatifs.

Écran de configuration des applications

Configuration de la mise à disposition de certificats Citrix Gateway dans Endpoint Management

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Citrix Gateway.

  3. Si Citrix Gateway n’est pas déjà ajouté, cliquez sur Ajouter et spécifiez les paramètres :

    • Nom : nom descriptif de l’appliance.
    • Alias : alias facultatif de l’appliance.
    • URL externe : https://YourCitrixGatewayURL
    • Type d’ouverture de session : sélectionnez Certificat et domaine
    • Mot de passe requis : Désactivé
    • Définir par défaut : Activé

  4. Pour Authentification et Délivrer un certificat utilisateur pour l’authentification, sélectionnez Activé.

    Écran de configuration de Citrix Gateway

  5. Pour Fournisseur d’identités, sélectionnez un fournisseur et cliquez sur Enregistrer.

  6. Pour utiliser des attributs sAMAccount dans les certificats utilisateur comme une alternative au nom d’utilisateur principal (UPN), configurez le connecteur LDAP dans Endpoint Management : accédez à Paramètres > LDAP, sélectionnez le répertoire et cliquez sur Modifier, puis sélectionnez sAMAccountName dans Recherche utilisateur par.

    Écran Configuration du LDAP

Activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur

Pour activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur, accédez à Paramètres > Propriétés du client et sélectionnez ces cases : Activer l’authentification par code PIN Citrix et Activer la mise en cache du mot de passe de l’utilisateur. Pour de plus amples informations, consultez la section Propriétés du client.

Résolution des problèmes de configuration du certificat client

Une fois la configuration précédente et la configuration Citrix Gateway effectuées, le workflow de l’utilisateur est le suivant :

  1. Les utilisateurs inscrivent leurs appareils mobiles.

  2. Endpoint Management invite les utilisateurs à créer un code PIN Citrix.

  3. Les utilisateurs sont redirigés vers le magasin d’applications.

  4. Lorsque les utilisateurs démarrent Secure Mail, Endpoint Management ne les invite pas à entrer d’informations d’identification afin de configurer leurs boîtes aux lettres. Au lieu de cela, Secure Mail demande le certificat client de Secure Hub et l’envoie à Microsoft Exchange Server pour authentification. Si Endpoint Management invite les utilisateurs à entrer des informations d’identification lorsqu’ils démarrent Secure Mail, vérifiez votre configuration.

Si les utilisateurs peuvent télécharger et installer Secure Mail, mais que Secure Mail ne termine pas la configuration durant la configuration de la boîte aux lettres :

  1. Si Microsoft Exchange Server ActiveSync utilise des certificats de serveur SSL privé pour sécuriser le trafic, vérifiez que les certificats racine/intermédiaire sont installés sur l’appareil mobile.

  2. Vérifiez que le type d’authentification sélectionné pour ActiveSync est Exiger les certificats clients.

    Écran des propriétés de Microsoft ActiveSync

  3. Sur Microsoft Exchange Server, sélectionnez le site Microsoft-Server-ActiveSync pour vérifier que l’authentification par mappage de certificat client est activée. Par défaut, l’authentification par mappage de certificat client est désactivée. L’option figure sous Éditeur de configuration > Sécurité > Authentification.

    Écran de configuration de Microsoft ActiveSync

    Après avoir sélectionné Vrai, cliquez sur Appliquer pour que les modifications prennent effet.

  4. Vérifiez les paramètres de Citrix Gateway dans la console Endpoint Management : assurez-vous que Délivrer un certificat utilisateur pour l’authentification est défini sur Activé et que le profil correct est sélectionné pour Fournisseur d’identités.

Pour déterminer si le certificat client a été délivré à un appareil mobile

  1. Dans la console Endpoint Management, accédez à Gérer > Appareils et sélectionnez l’appareil.

  2. Cliquez sur Modifier ou Afficher plus.

  3. Accédez à la section Groupes de mise à disposition et recherchez cette entrée :

    Informations d’identification Citrix Gateway : Requested credential, CertId=

Pour vérifier si la négociation du certificat client est activée

  1. Exécutez cette commande netsh pour afficher la configuration du certificat SSL qui est liée sur le site Web IIS :

    netsh http show sslcert

  2. Si la valeur Négocier le certificat client est désactivée, exécutez la commande suivante pour l’activer :

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Par exemple :

    netsh http add sslcert ipport=0.0.0.0:443 certhash=23498dfsdfhaf98rhkjqf9823rkjhdasf98asfk appid={123asd456jd-a12b-3c45-d678-123456lkjhgf} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si vous ne pouvez pas délivrer de certificats racine/intermédiaire à un appareil Windows Phone 8.1 via Endpoint Management :

  • Envoyez des fichiers de certificats racine/intermédiaire (.cer) par e-mail à l’appareil Windows Phone 8.1 et installez-les directement.

Si Secure Mail n’est pas installé correctement sur Windows Phone 8.1, vérifiez les points suivants :

  • Le fichier de jeton d’inscription d’application (.AETX) est délivré via Endpoint Management à l’aide de la stratégie d’hub d’entreprise.
  • Le jeton d’inscription d’application a été créé à l’aide du même certificat d’entreprise que celui du fournisseur de certificats utilisé pour encapsuler Secure Mail et signer les applications Secure Hub.
  • Le même ID d’éditeur est utilisé pour signer et encapsuler Secure Hub, Secure Mail et le jeton d’inscription d’application.
Authentification certificat client ou certificat + domaine
May 5, 2023
Contributeur: 
C
May 5, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.