Guide de déploiement : Citrix Federated Authentication Service et Sectigo MS Agent

Vue d’ensemble

Sectigo Certificate Manager (SCM) est une plateforme universelle spécialement conçue pour émettre et gérer le cycle de vie des certificats numériques. SCM sécurise l’identité de chaque utilisateur et de chaque machine au sein de votre entreprise, le tout à partir d’une interface unique.
Avec SCM, vous pouvez automatiser l’émission et la gestion des certificats Sectigo ainsi que des certificats d’autres autorités de certification (CA) publiques et privées, notamment Microsoft ADCS, Google Cloud Platform (GCP) et AWS Cloud Services.

Pour la découverte et l’inscription des certificats, les agents Sectigo MS sont installés sur les serveurs Active Directory. SCM utilise des agents MS pour effectuer les opérations suivantes :

  • Découvrez les certificats : un agent installé sur un serveur Windows appartenant à un domaine peut découvrir des actifs tels que des serveurs Web, des domaines et des certificats dans Active Directory.
  • Protocoles d’inscription MS par proxy vers SCM : un agent installé sur un serveur Windows appartenant à un domaine peut agir en tant que proxy pour émettre des certificats privés et publics à l’aide de modèles de certificats MS AD mappés aux profils de certificat SCM.

À titre de mesure de redondance, SCM vous permet de créer des clusters d’agents MS installés sur différents serveurs pour agir comme un seul agent. En cas de défaillance d’un agent, les autres agents du cluster poursuivent sans problème la découverte et l’inscription des certificats.

Le Citrix Federated Authentication Service (FAS) est un composant privilégié conçu pour s’intégrer aux services de certificats Active Directory. Il émet des certificats pour les utilisateurs de manière dynamique, ce qui leur permet de se connecter à un environnement Active Directory comme s’ils avaient une carte à puce.
Cela permet à StoreFront d’utiliser une gamme plus large d’options d’authentification, telles que les assertions SAML (Security Assertion Markup Language). SAML est généralement utilisé comme une alternative aux comptes utilisateur Windows traditionnels sur Internet.

Schéma d’architecture

Vue d'ensemble du FAS

Installation

Pré-requis

  • Un Microsoft Windows Server 2019 ou Microsoft Windows Server 2022.
  • Un contrôleur de domaine Active Directory (DC).
  • Un compte de gestionnaire de certificats Sectigo (SCM) actif
    • Une organisation créée dans SCM.
    • Backend CA privé activé.
    • MS Agent activé.
  • Un agent Sectigo MS installé sur le DC Active Directory ou sur un serveur de domaine.
  • Lors de la configuration de Citrix FAS, il est recommandé que la règle soit appelée par défaut et non quelque chose d’arbitraire, car c’est ce que Citrix Cloud utilisera pour contacter le serveur Citrix FAS.
  • Le certificat Sectigo CA doit être approuvé par le contrôleur de domaine (l’autorité de certification qui générera les certificats d’utilisateur final doit être approuvée par le domaine dans lequel ces certificats sont utilisés). Comme décrit dans cet article).

Installation de l’agent MS

Un administrateur doté du rôle Master Registration Authority Officer (MRAO) peut gérer les agents MS à l’aide de la page Intégrations > MS Agents sur SCM .

Reportez-vous au Guide de l’administrateur de Sectigo Certificate Manager pour connaître les exigences d’installation de MS Agent.

Installation de l'agent MS

Installation de Citrix FAS

Pour des raisons de sécurité, Citrix recommande d’installer le Service d’authentification fédérée (FAS) sur un serveur dédié sécurisé auprès d’un contrôleur de domaine ou d’une autorité de certification. Citrix FAS peut être installé à partir de l’un des éléments suivants :

  • Le programme d’installation de Citrix Virtual Apps and Desktops (à partir du bouton Federated Authentication Service sur l’écran de démarrage Autorun lorsque l’ISO est inséré), ou
  • Un fichier d’installation FAS autonome disponible sous forme de fichier MSI sur Citrix Downloads

Configuration de Citrix FAS avec MS Agent

Console d’administration Citrix FAS :

  • Vous devez vous présenter en tant qu’utilisateur de domaine en tant qu’administrateur local. Vous devez sélectionner Exécuter en tant qu’administrateur , en fonction de vos paramètres Windows.
  • De nombreuses étapes peuvent être effectuées à partir de la console d’administration Citrix FAS. Il s’agit d’une interface graphique simple qui répond aux besoins de la plupart des clients. Il est généralement installé dans C:\Program Files \ Citrix \ Federated Authentication Service \ fasadminconsole.exe
  • La console Citrix FAS interroge les serveurs Citrix FAS toutes les deux secondes pour obtenir sa dernière configuration ; il peut être utile de laisser la console d’administration Citrix FAS ouverte même lorsque vous utilisez des applets de commande PowerShell.

REMARQUE : Les deux premières étapes de la console d’administration Citrix FAS, qui impliquent la communication avec AD, ne sont mises à jour que si vous cliquez sur Actualiser en haut à droite.

Installation FAS

  1. Déployez des modèles de certificats. Sélectionnez Deploy pour déployer les trois modèles de certificats suivants vers AD :
    • Citrix_RegistrationAuthority_ManualAuthorization
    • Citrix_RegistrationAuthority
    • Citrix_SmartcardLogon
  2. Configurez une autorité de certification. Ce modèle nécessite l’approbation de l’administrateur de l’autorité de certification.
    • Accédez au Gestionnaire de serveur > Outils > Autorité de certification > Modèles de certificats > Gérer > Citrix_RegistrationAuthority_ManualAuthority_ManualAuthorization .
    • Vérifiez l’approbation de CA Certificate Manager et cliquez sur OK.

    Installation FAS

    Une fois que FAS obtient un certificat avec ce modèle, il l’utilise immédiatement comme autorisation pour demander un certificat auprès de Citrix_RegistrationAuthority. Le certificat Citrix_RegistrationAuthority_ManualAuthority_ManualAuthorization est ensuite supprimé. Ce flux d’autorisation en deux étapes est destiné à prendre en charge le renouvellement automatique du certificat RA, mais cette fonctionnalité doit encore être mise en œuvre. Citrix_RegistrationAuthority est le modèle de certificat RA qui autorise Citrix FAS à agir en tant que RA.

    Il dispose de l’utilisation étendue des clés suivante :

    Installation FAS

  3. Configurer Citrix_SmartcardLogon
    • Citrix FAS utilise ce modèle pour générer des certificats utilisateur « à la volée » afin que Citrix FAS puisse effectuer une authentification unique pour l’utilisateur.
    • Ses exigences de délivrance spécifient qu’un certificat RA constitue une autorisation.

      Installation FAS

    • Les modèles peuvent être personnalisés et il est également possible de configurer Citrix FAS avec un certificat RA sans utiliser les modèles suivants.

      Installation FAS

Désactivation de l’intégration AD

Par défaut, le modèle Citrix_SmartcardLogon demande à l’autorité de certification d’interroger AD pour remplir les champs du certificat. Cependant, Citrix FAS fournit suffisamment d’informations dans la demande de certificat pour qu’il soit possible de modifier ce paramètre sur Fournir dans la demande. De cette façon, l’autorité de certification n’aurait pas besoin d’interroger AD.

Installation FAS

Installation FAS

REMARQUE :FAS ne lit pas les modèles.

  • Lors de la création d’une demande de certificat, le nom du modèle fait partie de la demande.
  • Cependant, FAS ne lit pas les modèles. Par exemple, la longueur de clé à utiliser fait partie de la configuration de FAS. FAS ne lit pas la taille minimale de la clé dans le modèle.

Autoriser ce service

Pour configurer FAS avec un certificat RA, procédez comme suit :

  1. Dans la console d’administration Citrix FAS, cliquez sur Autoriser .

Remarque :Pour supprimer une autorisation, cliquez sur Annuler l’autorisation .

  1. L’administrateur de l’autorité de certification approuve la demande en accédant à Gestionnaire de serveur > Outils > Autorité de certification > En attente. FAS interroge l’autorité de certification en attente d’une réponse, et la console d’administration FAS affiche un spinner alors que la demande est toujours en attente.

  2. L’administrateur de l’autorité de certification clique avec le bouton droit de la souris sur la demande en attente et sélectionne Approuver pour émettre le certificat RA.

  3. La console d’administration Citrix FAS indique que le service est autorisé.

Création d’une règle

Une fois que vous avez configuré le FAS avec un certificat RA, terminez le reste de la configuration du FAS.

  1. Cliquez sur Créer.

  2. Suivez l’assistant d’installation ; pour la plupart des écrans, cliquez sur Suivant.

    • Lorsque vous y êtes invité, fournissez les informations suivantes :
      • Le modèle (Citrix_SmartcardLogon) que FAS utilise pour demander des certificats utilisateur.
      • Le CAs FAS contacte pour demander un certificat utilisateur.

    Installation FAS

    Le Citrix FAS est désormais entièrement intégré à l’agent MS pour l’émission de certificats.

    Installation FAS

Mappage de modèles de certificats MS AD sur des modèles SCM pour Citrix

Avant d’émettre un certificat, assurez-vous que les modèles d’authentification Citrix_SmartcardLogon, Domain Controller et Domain Controller sont mappés à un profil de certificat SCM sur votre compte SCM.

Création d’un mappage de modèles de certificats MS AD

Installation FAS

Pour créer le mappage du modèle de certificat MS AD entre un profil de certificat SCM et un modèle MS AD, procédez comme suit :

  1. Sur SCM, accédez à Inscription > Mappage des modèles de certificats MS AD.

  2. Cliquez sur Ajouter (+).

  3. Complétez la boîte de dialogue Ajouter un mappage de modèles de certificats MS AD en vous référant au tableau suivant.

    SCM

  4. Cliquez sur Enregistrer.

    SCM

Création d’un certificat utilisateur

L’applet de commande PowerShell est utilisé pour gérer Citrix FAS et la création de certificats.

  1. Configurez l’applet de commande PowerShell. Ouvrez une commande PowerShell, Windows en tant qu’administrateur, et exécutez la commande suivante :

    Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1 $CitrixFasAddress=[Get-FasServer](0).Address
    <!--NeedCopy-->
    
  2. Configurer l’authentification FAS sur Active Directory
  3. Commande pour inscrire le certificat. Le modèle de certificat SCM nécessite un nom d’utilisateur principal (UPN) pour le certificat client. Définissez l’UPN pour l’utilisateur dans AD Exemple : « » < admin@wwco.net >

  4. Exécutez la commande PowerShell suivante pour inscrire un certificat utilisateur :

    Test-FasCertificateSigningRequest -UserPrincipalName "<admin@wwco.net>" -Rule default
    <!--NeedCopy-->
    

    Vous pouvez consulter le certificat depuis le tableau de bord SCM :

    SCM

  5. Pour afficher les détails du certificat, accédez à Certificats > Certificats clients, puis sélectionnez Afficher > Chaîne de confiance.

    SCM

Références

Guide de déploiement : Citrix Federated Authentication Service et Sectigo MS Agent