Product Documentation

Fournisseurs d’informations d’identification

Jul 25, 2016

Les fournisseurs d'identités sont les configurations de certificat réelles que vous utilisez dans différentes parties du système XenMobile. Ils définissent les sources, les paramètres et les cycles de vie de vos certificats, qu'ils fassent partie de configurations d'appareils ou qu'ils soient autonomes, c'est-à-dire transmis tels quels, vers l'appareil.

L'inscription d'appareil limite le cycle de vie du certificat. En effet, XenMobile ne délivre pas de certificats avant l'inscription, bien qu'il puisse en émettre certains dans le cadre de l'inscription. En outre, les certificats émis par la PKI interne dans le cadre d'une inscription sont révoqués lorsque l'inscription est révoquée. Après la fin de la relation de gestion, aucun certificat valide n'est conservé.

Une configuration de fournisseur d’identités peut être utilisée à plusieurs endroits, par conséquent une configuration peut régir un grand nombre de certificats simultanément. L'unité existe alors sur la ressource de déploiement et le déploiement. Par exemple, si le fournisseur d'identités P est déployé sur l'appareil D dans le cadre de la configuration C, alors les paramètres d'émission pour P déterminent le certificat qui est déployé sur D. De même, les paramètres de renouvellement pour D s'appliquent lorsque C est mis à jour, et les paramètres de révocation pour D s'appliquent également lorsque C est supprimé ou que D est révoqué.

Dans ce contexte, la configuration du fournisseur d'identités effectue ce qui suit dans XenMobile :

  • Détermine la source des certificats.
  • Détermine la méthode grâce à laquelle les certificats sont obtenus : signature d’un nouveau certificat ou récupération d'un certificat existant et d'une paire de clés.
  • Détermine les paramètres d'émission ou de récupération. Par exemple, les paramètres de demande de signature de certificat (CSR), tels que la taille de la clé, l'algorithme de clé, le nom unique, les extensions de certificat, etc.
  • Détermine la façon dont les certificats sont mis à disposition sur l'appareil.
  • Détermine les conditions de révocation. Bien que tous les certificats soient révoqués dans XenMobile lorsque la relation de gestion est rompue, la configuration peut spécifier une révocation antérieure, par exemple lorsque la configuration d'appareil associé est supprimée. En outre, dans certaines conditions, il se peut que la révocation du certificat associé dans XenMobile puisse être envoyée à l'infrastructure interne à clé publique (PKI) principale ; en d'autres termes, sa révocation dans XenMobile peut provoquer sa révocation sur la PKI.
  • Détermine les paramètres de renouvellement. Les certificats obtenus via un fournisseur d’identités peuvent être automatiquement renouvelés lors de leur expiration, ou des notifications peuvent être émises lorsque cette expiration approche.

La mesure dans laquelle les différentes options de configuration sont disponibles dépend principalement du type d'entité PKI et de la méthode d’émission que vous sélectionnez pour un fournisseur d’identités.

Méthodes d’émission de certificats

Vous pouvez obtenir un certificat, désigné comme méthodes d'émission de deux manières différentes :

  • Signature. Avec cette méthode, l'émission implique la création d'une nouvelle clé privée, la création d'une demande de signature de certificat (CSR) et la soumission de la demande de signature de certificat à une autorité de certification (CA) pour signature. XenMobile prend en charge la méthode de signature des trois entités PKI (Entité Services de certificats Microsoft, PKI générique et CA discrétionnaire).
  • Récupération. Dans le cadre de XenMobile, cette méthode implique la récupération d'une paire de clés. XenMobile prend en charge la méthode de récupération uniquement pour l'entité PKI générique.

Un fournisseur d'identités utilise l'une ou l'autre de ces deux méthodes d'émission. La méthode sélectionnée affecte les options de configuration disponibles. Notamment, la configuration CSR et la mise à disposition distribuée sont uniquement disponibles si la méthode d’émission est la signature. Un certificat de récupération est toujours envoyé à l'appareil au format PKCS#12, ce qui correspond à une méthode de mise à disposition centralisée pour la méthode de signature.

Mise à disposition de certificats

Deux modes de mise à disposition de certificats sont disponibles dans XenMobile : centralisée et distribuée. Le mode Distribué utilise le protocole d'inscription du certificat simple (SCEP) et est uniquement disponible dans les situations dans lesquelles le client prend en charge le protocole (iOS uniquement). Le mode distribué est même obligatoire dans certains cas.

Pour qu'un fournisseur d’identités prenne en charge la mise à disposition (assisté par SCEP) distribuée, une étape de configuration spéciale est nécessaire : configuration des certificats de l’autorité d’inscription (RA). Les certificats RA sont requis, car lors de l'utilisation du protocole SCEP, XenMobile agit comme un délégué (registre) pour l'autorité de certification réelle, et doit prouver au client qu'il possède l'autorité d'agir en tant que tel. Cette autorité est établie en offrant à XenMobile les certificats mentionnés plus haut.

Deux rôles de certificat distincts sont requis (bien qu'un seul certificat puisse remplir les deux rôles) : la signature RA et le chiffrement RA. Les contraintes pour ces rôles sont les suivantes :

  • Le certificat de signature RA doit posséder une signature numérique d'utilisation de clé X.509.
  • Le certificat de chiffrement RA doit posséder un chiffrement de clé d'utilisation de clé X.509.

Pour configurer les certificats RA du fournisseur d’identités, vous devez charger les certificats sur XenMobile, puis les associer au fournisseur d’identités.

Un fournisseur d’identités est considéré comme pouvant uniquement prendre en charge une mise à disposition distribuée s'il possède un certificat configuré pour les rôles de certificat. Chaque fournisseur d’identités peut être configuré pour privilégier au choix le mode centralisé, le mode distribué ou pour requérir le mode distribué. Le résultat réel dépend du contexte : si le contexte ne prend pas en charge le mode distribué, mais que le fournisseur d’identités requiert ce mode, le déploiement échoue. De même, si le contexte requiert le mode distribué, mais que le fournisseur d’identités ne le prend pas en charge, le déploiement échoue. Dans tous les autres cas, le paramètre préféré est appliqué.

Le tableau suivant présente la distribution SCEP au travers de XenMobile :

Contexte SCEP pris en charge SCEP requis
Service de profil iOS Oui Oui
Inscription à la gestion des appareils mobiles iOS Oui Non
Profils de configuration iOS Oui Non
Inscription SHTP Non Non
Configuration de SHTP Non Non
Inscription de Windows Phone 8 Non Non
Configuration de Windows Phone Non Non

Révocation de certificats

Il existe trois types de révocation.

  • Révocation interne. La révocation interne du certificat affecte le statut du certificat géré par XenMobile. Ce statut est pris en compte lorsque XenMobile évalue un certificat qui lui est présenté, ou lorsque XenMobile doit fournir des informations sur le statut du protocole OCSP pour certains certificats. La configuration du fournisseur d’identités détermine la manière dont le statut est affecté par plusieurs conditions. Par exemple, le fournisseur d’identités peut spécifier que les certificats obtenus auprès du fournisseur de certificats doivent être marqués comme révoqués lorsqu'ils ont été supprimés de l'appareil.
  • Révocation propagée en externe. Également appelée révocation XenMobile, ce type de révocation s'applique aux certificats obtenus à partir d'une PKI externe. Le certificat est révoqué sur la PKI lorsque le certificat est révoqué en interne par XenMobile, sous les conditions définies par la configuration du fournisseur d'identités. La demande de révocation requiert une entité GPKI disposant d'une capacité de révocation.
  • Révocation induite en interne. Également appelée PKI de révocation, ce type de la révocation s'applique uniquement aux certificats obtenus à partir d'une PKI externe. Chaque fois que XenMobile évalue le statut d'un certificat donné, XenMobile interroge la PKI afin de déterminer ce statut. Si le certificat est révoqué, XenMobile révoque le certificat en interne. Ce mécanisme utilise le protocole OCSP.

Ces trois types ne sont pas exclusifs, mais s'appliquent conjointement. La révocation interne est provoquée soit par une révocation externe, soit par des observations indépendantes, et à son tour, la révocation interne entraîne potentiellement une révocation externe.

Renouvellement de certificat

Un renouvellement du certificat est la combinaison de révocation d'un certificat existant) et de l'émission d'un autre certificat.

Notez que XenMobile tente tout d'abord d’obtenir le nouveau certificat avant de révoquer le certificat précédent, afin d'éviter une discontinuité du service si l'émission échoue. Si une mise à disposition distribuée (prise en charge par SCEP) est utilisée, la révocation se produit une fois que le certificat a été correctement installé sur l'appareil, sinon la révocation se produit avant que le certificat ne soit envoyé à l'appareil et indépendamment de la réussite ou de l'échec de son installation.

La configuration de la révocation nécessite que vous spécifiiez une certaine durée (en jours). Lorsque l'appareil se connecte, le serveur vérifie que la date du certificat NotAfter est postérieure à la date actuelle, moins la durée spécifiée. Si c'est le cas, un renouvellement est tenté.

Pour créer un fournisseur d'identités

La configuration d'un fournisseur d'identités varie principalement en fonction de l’entité d’émission et de la méthode d'émission sélectionnées pour le fournisseur d'identités. Vous pouvez faire la distinction entre un fournisseur d'identités qui utilise une entité interne, telle que discrétionnaire, et un fournisseur d'identités qui utilise une entité externe, telle que Microsoft CA ou GPKI. La méthode d'émission pour une entité discrétionnaire est toujours signature, ce qui signifie qu'avec chaque opération d’émission, XenMobile signe une nouvelle paire de clés avec le certificat d’autorité de certification sélectionné pour l'entité. L'emplacement où la paire de clés est générée (l'appareil où le serveur) dépend de la méthode de distribution sélectionnée.

  1. Dans la console Web XenMobile, cliquez sur Configurer > Paramètres > Plus > Fournisseurs d'identités.
  2. Sur la page Fournisseurs d'identités, cliquez sur Ajouter.

    La page Fournisseurs d'identités : informations générales s'affiche.



  3. Sur la page Fournisseurs d'identités : informations générales, procédez comme suit :
    1. Nom : entrez un nom unique pour la nouvelle configuration du fournisseur. Ce nom sera utilisé par la suite pour faire référence à la configuration dans d'autres parties de la console XenMobile.
    2. Description : décrivez le fournisseur d'identités. Bien que ce champ soit facultatif, une description peut être utile dans le futur pour vous aider à vous souvenir des détails sur ce fournisseur d'identités.
    3. Entité émettrice : cliquez sur l'entité qui émet le certificat.
    4. Méthode d'émission : cliquez sur Signer ou Récupérer pour choisir la méthode que le système utilise pour obtenir des certificats auprès de l'entité configurée.
    5. Si la liste des modèles est disponible, sélectionnez un modèle pour le fournisseur d'identités.
      Remarque : ces modèles deviennent disponibles lorsque les entités Services de certificats Microsoft sont ajoutées sur Configurer > Paramètres > Plus > Entités PKI.
    6. Cliquez sur Suivant.

      La page Fournisseur d'identités : demande de signature de certificat s'affiche.



  4. Sur la page Fournisseur d'identités : demande de signature de certificat, procédez comme suit :
    1. Algorithme de clé : cliquez sur l'algorithme de clé pour la nouvelle paire de clés. Les valeurs disponibles sont RSA, DSA et ECDSA.
    2. Taille de la clé : entrez la taille en octets de la paire de clés. Il s'agit d'un champ obligatoire.
      Remarque : les valeurs autorisées dépendent du type de clé ; par exemple, la taille maximale des clés DSA est de 1024 bits. Pour éviter de faux résultats négatifs, qui dépendront du matériel ou du logiciel sous-jacent, XenMobile n'exige pas l'utilisation d'une taille de clé particulière. Vous devez toujours tester les configurations de fournisseur d'identités dans un environnement de test avant de les activer dans un environnement de production.
    3. Algorithme de signature : cliquez sur une valeur pour le nouveau certificat. Les valeurs dépendent de l'algorithme de clé.
    4. Nom du sujet : entrez le nom unique (DN) du sujet du nouveau certificat. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation. Il s'agit d'un champ obligatoire.
    5. Pour ajouter une nouvelle entrée à la table Noms de sujet alternatifs, cliquez sur Ajouter. Sélectionnez le type de nom alternatif, puis tapez une valeur dans la deuxième colonne.
      Remarque : comme avec le nom du sujet, vous pouvez utiliser les macros XenMobile dans le champ de valeur.
    6. Cliquez sur Suivant.

      La page Fournisseurs d'identités : distribution s'affiche.

  5. Sur la page Fournisseurs d'identités : distribution, procédez comme suit :
    1. Dans la liste Certificat émis par l'autorité de certification, cliquez sur le certificat d'autorité de certification proposé. Étant donné que le fournisseur d’identités utilise une entité d’autorité de certification discrétionnaire, le certificat d’autorité de certification du fournisseur d’identités sera toujours le certificat d’autorité de certification configuré sur l’entité elle-même ; il sera présenté ici à des fins de cohérence avec les configurations qui utilisent des entités externes.
    2. Dans Sélectionner le mode de distribution, sélectionnez l'une des méthodes de génération et de distribution de clés :
      • Préférer mode centralisé : génération de la clé sur le serveur. Citrix recommande cette option centralisée. Ce mode prend en charge toutes les plates-formes prises en charge par XenMobile et est requis lors de l'utilisation de l'authentification NetScaler Gateway. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
      • Préférer mode distribué : génération de la clé sur l'appareil. Les clés privées sont générées et stockées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec le keyUsage keyEncryption et un certificat de signature RA avec le KeyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
      • Distribué uniquement : génération de la clé sur l'appareil. Cette option fonctionne de la même façon que Préférer mode distribué : génération de la clé sur l'appareil, sauf qu'étant « Uniquement » au lieu de « Préférer », aucune option n'est disponible si la génération de la clé sur l'appareil échoue.

      Si vous sélectionnez Préférer mode distribué : génération de la clé sur l'appareil ou Distribué uniquement : génération de la clé sur l'appareil, vous devez également sélectionner un certificat de signature RA et un certificat de chiffrement RA. De nouveaux champs apparaissent pour ces certificats.


       

    3. Si vous avez sélectionné Préférer mode distribué : génération de la clé sur l'appareil ou Distribué uniquement : génération de la clé sur l'appareil, cliquez sur le certificat de signature RA et le certificat de chiffrement RA. Le même certificat peut être utilisé pour les deux modes.
    4. Cliquez sur Suivant.

      La page Fournisseurs d'identités : révocation XenMobile s'affiche. Sur cette page, vous configurez les conditions dans lesquelles XenMobile marque (en interne) comme révoqué les certificats émis au travers de cette configuration de fournisseur.

  6. Sur la page Fournisseurs d'identités : révocation XenMobile, procédez comme suit :
    1. Dans Révoquer les certificats émis, sélectionnez l'une des options qui indique quand les certificats doivent être révoqués.
    2. Si vous voulez que XenMobile envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur On et choisissez un modèle de notification.

       


       

    3. Si vous souhaitez révoquer le certificat sur la PKI lorsque le certificat est révoqué de XenMobile, définissez Révoquer le certificat auprès de la PKI sur On et cliquez sur un modèle dans la liste Entité. La liste Entité répertorie toutes les entités GPKI disponibles avec des capacités de révocation. Lorsque le certificat est révoqué de XenMobile, une demande de révocation est envoyée à la PKI sélectionnée à partir de la liste Entité.

       


       

    4. Cliquez sur Suivant.

      La page Fournisseurs d'identités : révocation PKI s'affiche. Sur cette page, identifiez les actions à effectuer sur la PKI si le certificat est révoqué. Vous avez aussi la possibilité de créer un message de notification.


       

  7. Sur la page Fournisseurs d'identités : révocation PKI, procédez comme suit si vous souhaitez révoquer les certificats de la PKI :
    1. Modifiez le paramètre Activer les vérifications de révocation externe sur On.

      Des champs supplémentaires liés à la PKI de révocation apparaissent.

    2. Dans la liste Certificat CA du répondeur OCSP, cliquez sur le nom unique (DN) du sujet du certificat.
      Remarque : vous pouvez utiliser les macros XenMobile pour les valeurs de champ de nom unique. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
    3. Dans la liste Lorsque le certificat est révoqué, cliquez sur l'une des actions suivantes à entreprendre sur l'entité PKI lorsque le certificat est révoqué :
      • Ne rien faire.
      • Renouveler le certificat.
      • Révoquer et de réinitialiser l'appareil.
    4. Si vous voulez que XenMobile envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur On.

      Vous avez le choix entre deux options de notification :

      • Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
      • Si vous sélectionnez Entrer les détails de notification, vous pouvez créer votre propre message de notification. En plus de fournir l'adresse e-mail du destinataire et le message, vous pouvez définir la fréquence à laquelle la notification est envoyée.
    5. Cliquez sur Suivant.
      La page Fournisseurs d'identités : renouvellement s'affiche. Sur cette page, vous pouvez configurer XenMobile pour effectuer les opérations suivantes :
      • Renouveler le certificat et envoyer (facultatif) une notification lorsque cette opération est terminée (notification envoyée lors du renouvellement), et exclure (facultatif) les certificats déjà expirés de l'opération.
      • Émettre une notification pour les certificats dont l'expiration approche (avant le renouvellement).
  8. Sur la page Fournisseurs d'identités : renouvellement, procédez comme suit si vous souhaitez renouveler les certificats lorsqu'ils expirent :
    1. Réglez Renouveler les certificats lorsqu'ils expirent sur On.

      Des champs supplémentaires s'affichent.



    2. Dans le champ Renouveler lorsque le certificat expire dans, entrez quand le renouvellement doit être effectué, en nombre de jours avant l'expiration.
    3. Si vous le souhaitez, sélectionnez Ne pas renouveler les certificats expirés.
      Remarque : dans ce cas, « expiré » signifie que la date NotAfter (fin de validité) du certificat est dans le passé, et non pas qu'il a été révoqué. XenMobile ne renouvellera pas les certificats une fois qu'ils ont été révoqués en interne.
    4. Si vous voulez que XenMobile envoie une notification lorsque le certificat a été renouvelé, définissez Envoyer une notification sur On.

      Vous avez le choix entre deux options de notification :

      • Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
      • Si vous sélectionnez Entrer les détails de notification, vous pouvez créer votre propre message de notification. En plus de fournir l'adresse e-mail du destinataire et le message, vous pouvez définir la fréquence à laquelle la notification est envoyée.
    5. Si vous voulez que XenMobile envoie une notification lorsque la certification arrive à échéance, définissez Notifier quand un certificat va expirer sur On.

      Vous avez le choix entre deux options de notification :

      • Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
      • Si vous sélectionnez Entrer les détails de notification, vous pouvez créer votre propre message de notification. En plus de fournir l'adresse e-mail du destinataire et le message, vous pouvez définir la fréquence à laquelle la notification est envoyée.
    6. Dans le champ Notifier lorsque le certificat expire dans, entrez le nombre de jours avant expiration du certificat après lequel la notification doit être envoyée.
  9. Cliquez sur Enregistrer.

    Le fournisseur d'identités est ajouté à la table Fournisseur d'identités.