Product Documentation

Chargement de certificats dans XenMobile

Jul 25, 2016
Les certificats sont utilisés par le serveur XenMobile. Vous devez charger des certificats sur XenMobile via la zone Certificats de la console XenMobile. Ces certificats comprennent des certificats d'autorité de certification, des certificats d'autorité d’inscription et des certificats pour l’authentification des clients avec d'autres composants de votre infrastructure. En outre, vous pouvez utiliser la zone Certificats en tant que stockage pour les certificats que vous voulez déployer sur des appareils. Cette utilisation s’applique particulièrement aux autorités de certification utilisées pour établir une relation de confiance sur l'appareil.
 
Chaque certificat que vous chargez est représenté par une entrée dans le tableau Certificats, qui résume son contenu. Lorsque vous configurez des composants d'intégration PKI qui nécessitent un certificat, vous êtes invité à choisir des certificats de serveur répondant à des critères spécifiques au contexte dans une liste. Par exemple, il se peut que vous souhaitiez configurer XenMobile pour s'intégrer à Microsoft CA. La connexion à Microsoft CA doit être authentifiée à l'aide d'un certificat client.
 

Configuration requise pour la clé privée

XenMobile peut posséder ou pas la clé privée d'un certificat donné. De même, XenMobile peut nécessiter ou non une clé privée pour les certificats que vous chargez.

Chargement de certificats sur la console

Vous pouvez charger le certificat d’autorité de certification (sans la clé privée) que l’autorité de certification utilise pour signer les demandes, et un certificat client SSL (avec la clé privée) pour l'authentification du client. Lors de la configuration de l'entité Microsoft CA, vous devez spécifier le certificat d’autorité de certification, que vous pouvez sélectionner à partir d'une liste de tous les certificats de serveur qui sont des certificats d’autorité de certification. De même, lorsque vous configurez l'authentification de client, vous pouvez faire votre choix dans une liste de tous les certificats de serveur pour lesquels XenMobile possède la clé privée.

XenMobile prend en charge les formats d'entrée suivants pour les certificats :

  • fichiers de certificat codés PEM ou DER ;
  • fichiers de certificat codés PEM ou DER avec un fichier de clé privée associé au format codé PEM ou DER ;
  • keystores PKCS#12 (P12 ; également connus sous le nom de fichier PFX sous Windows).

Important : le serveur XenMobile ne prend pas en charge les certificats avec une extension .pem. Utilisez la commande openssl pour générer un fichier PFX à partir d'un fichier PEM :

openssl pkcs12 -export -out certificate.pfx  -in certificate.pem

Pour importer un keystore

Les keystores, de par leur conception, peuvent comporter plusieurs entrées. Lors du chargement à partir d'un keystore, par conséquent, vous êtes invité à indiquer l'alias d'entrée qui identifie l'entrée à charger. Si vous ne spécifiez pas d'alias, la première entrée du magasin est chargée. Étant donné que les fichiers PKCS#12 ne contiennent généralement qu'une seule entrée, le champ d'alias ne s'affiche pas lorsque vous sélectionnez PKCS#12 en tant que type de keystore.

  1. Dans la console XenMobile, cliquez sur Configurer > Paramètres > Certificats.

     


     

  2. Sur la page Certificats, cliquez sur Importer.

     


     

    La boîte de dialogue Importer apparaît.

  3. Dans la boîte de dialogue Importer, dans Importer, cliquez sur Keystore.

     


     

    La boîte de dialogue Importer change pour refléter les options de keystore disponibles, comme illustré dans la figure précédente.

  4. Dans le type Keystore, cliquez sur PKCS#12.
  5. Dans Utiliser en tant que, cliquez pour spécifier la manière dont vous utilisez le keystore. Les options disponibles sont :
    • Serveur. Les certificats de serveur sont des certificats utilisés par le serveur XenMobile qui sont chargés sur la console Web XenMobile. Ils comprennent des certificats d'autorité de certification, des certificats d'autorité d’inscription et des certificats pour l’authentification des clients avec d'autres composants de votre infrastructure. En outre, vous pouvez utiliser les certificats de serveur en tant que stockage pour les certificats que vous voulez déployer vers des appareils. Cette utilisation s’applique particulièrement aux autorités de certification utilisées pour établir une relation de confiance sur l'appareil.
    • SAML. La certification SAML vous permet de fournir une authentification unique (SSO) aux serveurs, sites Web et applications.
    • APNS. Les certificats APNS d'Apple permettent de gérer les appareils mobiles via le réseau Apple Push Network.
    • Écouteur SSL. L'écouteur SSL notifie XenMobile de l'activité cryptographique SSL.
  6. Parcourez pour trouver le keystore que vous voulez importer.
  7. Dans Mot de passe, entrez le mot de passe affecté au certificat.
  8. Entrez une description pour le keystore (facultatif) vous permettant de le distinguer de vos autres keystores.
  9. Cliquez sur Importer. Le keystore est ajouté au tableau Certificats.

Pour importer un certificat

Lors de l'importation d'un certificat, soit à partir d'un fichier, soit depuis une entrée de keystore, XenMobile tente de construire une chaîne de certificats à partir de l'entrée et importe tous les certificats dans cette chaîne (créant une entrée de certificat de serveur pour chacun d'eux). Cette opération fonctionne uniquement si les certificats du fichier ou l'entrée keystore forment réellement une chaîne, comme si chaque certificat suivant de la chaîne est l'émetteur du certificat précédent.

Vous pouvez ajouter une description facultative pour le certificat importé à des fins heuristiques. La description est uniquement attachée au premier certificat dans la chaîne. Vous pouvez mettre à jour la description des certificats restants plus tard.

  1. Dans la console XenMobile, cliquez sur Configurer > Paramètres > Certificats.
  2. Sur la page Certificats, cliquez sur Importer. La boîte de dialogue Importer apparaît.
  3. Dans la boîte de dialogue Importer, dans Importer, s'il n'est pas déjà sélectionné, cliquez sur Certificat.

     


     

    La boîte de dialogue Importer change pour refléter les options de certificat disponibles.

  4. Dans Utiliser en tant que, cliquez pour spécifier la manière dont vous utilisez le keystore. Les options disponibles sont :
    • Serveur. Les certificats de serveur sont des certificats utilisés par le serveur XenMobile qui sont chargés sur la console Web XenMobile. Ils comprennent des certificats d'autorité de certification, des certificats d'autorité d’inscription et des certificats pour l’authentification des clients avec d'autres composants de votre infrastructure. En outre, vous pouvez utiliser les certificats de serveur en tant que stockage pour les certificats que vous voulez déployer vers des appareils. Cette option s’applique particulièrement aux autorités de certification utilisées pour établir une relation de confiance sur l'appareil.
    • SAML. La certification SAML vous permet de fournir une authentification unique (SSO) aux serveurs, sites Web et applications.
    • Écouteur SSL. L'écouteur SSL notifie XenMobile de l'activité cryptographique SSL.
  5. Parcourez pour trouver le certificat que vous voulez importer.
  6. Parcourez pour rechercher un fichier de clé privée facultatif pour le certificat. La clé privée est utilisée pour le chiffrement et le déchiffrement en conjonction avec le certificat.
  7. Entrez une description pour le certificat (facultatif) pour vous aider à le distinguer de vos autres certificats.
  8. Cliquez sur Importer. Le certificat est ajouté au tableau Certificats.

Mise à jour d'un certificat

XenMobile n'autorise l'existence que qu'un seul certificat par clé publique dans le système à tout moment donné. Si vous essayez d'importer un certificat pour la même paire de clés qu'un certificat déjà importé, vous avez l'option de remplacer l'entrée existante ou de la supprimer.

Pour mettre à jour vos certificats de manière plus efficace, dans la console XenMobile, sous Configurer > Paramètres > Certificats, dans la boîte de dialogue Importer, importez le nouveau certificat. Lorsque vous mettez un certificat de serveur à jour, les composants qui utilisaient le certificat précédent utilisent automatiquement le nouveau certificat. De même, si vous avez déployé le certificat de serveur sur les appareils, il sera automatiquement mis à jour lors du prochain déploiement.