Product Documentation

Entités PKI

Jul 25, 2016

Une configuration d'entité d'infrastructure de clé publique (PKI) XenMobile représente un composant réalisant des opérations PKI réelles (émission, révocation et informations d'état). Ces composants peuvent être internes à XenMobile, auquel cas ils sont appelés discrétionnaires, ou externes à XenMobile, s'ils font partie de votre infrastructure d'entreprise.

XenMobile prend en charge les types d'entités PKI suivantes :

  • Autorités de certification discrétionnaires (CA)
  • PKI génériques (GPKI)
  • Services de certificats Microsoft

XenMobile prend en charge les serveurs d’autorité de certification suivants :

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Concepts de PKI communs

Quel que soit son type, chaque entité PKI possède un sous-ensemble des fonctionnalités suivantes :

  • signature : émission d'un nouveau certificat, basé sur une demande de signature de certificat (CSR).
  • récupération : récupération d'un certificat existant et d'une paire de clés.
  • révocation : révocation d’un certificat client.

À propos des certificats CA

Lorsque vous configurez une entité PKI, vous devez informer XenMobile de la nature du certificat d’autorité de certification qui sera le signataire des certificats émis par (ou récupérés depuis) cette entité. Une seule et même entité PKI peut renvoyer (récupérés ou nouvellement signés) des certificats signés par un certain nombre d'autorités de certification différentes. Vous devez fournir le certificat de chacune de ces autorités de certification dans le cadre de la configuration de l'entité PKI. Pour ce faire, chargez les certificats sur XenMobile puis référencez-les dans l'entité PKI. Pour les autorités de certification discrétionnaire, le certificat est implicitement le certificat de l'autorité de certification de signature, mais pour les entités externes, vous devez le spécifier manuellement.

PKI générique

Le protocole PKI générique (GPKI) est un protocole XenMobile propriétaire exécuté sur une couche du service Web SOAP qui permet un interfaçage avec différentes solutions PKI. Le protocole GPKI définit les trois opérations PKI fondamentales suivantes :

  • signature: la carte est capable de prendre des demandes de signature de certificat (CSR), de les transmettre à la PKI et de retourner des certificats nouvellement signés.
  • récupération : la carte est capable de récupérer des certificats existants et des paires de clés (selon les paramètres d'entrée) depuis la PKI.
  • révocation : la carte peut entraîner la révocation d'un certificat donné par la PKI.

La carte GPKI se trouve en bout du protocole GPKI. La carte convertit les opérations fondamentales pour le type de PKI spécifique pour lequel elle a été créée. En d'autres termes, il existe une carte GPKI pour RSA, une autre pour EnTrust, etc.

La carte GPKI, en tant que point de terminaison des services Web SOAP, publie une définition WSDL auto-descriptive. La création d'une entité GPKI PKI équivaut à fournir cette définition WSDL à XenMobile, soit par le biais d'une adresse URL soit en chargeant le fichier lui-même.

La prise en charge de chaque opération PKI dans une carte est facultative. Si une carte prend en charge une opération donnée, on considère qu'elle dispose de la capacité correspondante (signature, récupération ou révocation). Chacune de ces fonctionnalités peut être associée à un ensemble de paramètres utilisateur.

Les paramètres utilisateur sont des paramètres qui sont définis par l'adaptateur GPKI pour une opération spécifique et dont vous avez besoin pour fournir des valeurs à XenMobile. XenMobile détermine les opérations prises en charge par la carte (quelles capacités elle possède) et les paramètres requis par la carte pour chacune des opérations en analysant le fichier WSDL. Si vous le souhaitez, utilisez l'authentification de client SSL pour sécuriser la connexion entre XenMobile et la carte GPKI.

Pour ajouter une PKI générique

  1. Dans la console Web XenMobile, cliquez sur Configurer > Paramètres > Plus > Entités PKI.
  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Une liste répertoriant les types de PKI que vous pouvez ajouter s'affiche.



  3. Cliquez sur Entité PKI générique.

    La page Entité PKI générique : informations générales s'affiche.



  4. Sur la page Entité PKI générique : informations générales, procédez comme suit :
    1. Nom : entrez un nom descriptif pour l'entité PKI.
    2. URL du WSDL : entrez l'emplacement du WSDL décrivant la carte.
    3. Type d'authentification : cliquez sur la méthode d'authentification à utiliser.
      • Aucun(e)
      • HTTP basique : fournissez le nom d'utilisateur et mot de passe requis pour se connecter à la carte.
      • Certificat client : sélectionnez le certificat client SSL correct.
    4. Cliquez sur Suivant.

      La page Entité PKI générique : capacité de l'adaptateur s'affiche.

  5. Sur la page Entité PKI générique : capacité de l'adaptateur, passez en revue les capacités et les paramètres associés à votre carte et cliquez sur Suivant.

    La page Entité PKI générique : émission de certificats CA s'affiche.

  6. Sur la page Entité PKI générique : émission de certificats CA, sélectionnez les certificats que vous voulez utiliser pour l'entité.
    Remarque : bien que les entités puissent retourner des certificats signés par des autorités de certification différentes, tous les certificats obtenus via un fournisseur de certificats donné doivent être signés par la même autorité de certification. Par conséquent, lorsque vous configurez le paramètre Fournisseur d'identités, sur la page Distribution, sélectionnez l'un des certificats configuré ici.
  7. Cliquez sur Enregistrer.

    L'entité s'affiche sur le tableau Entités PKI.

Services de certificats Microsoft

XenMobile se connecte avec Microsoft Certificate Services Web par le biais de son interface d’inscription Web. XenMobile prend uniquement en charge l’émission de nouveaux certificats via cette interface (l’équivalent de la fonctionnalité de signature GPKI).

Pour créer une entité PKI Microsoft CA dans XenMobile, vous devez spécifier l'adresse URL de base de l'interface Web des services de certificats. Si vous le souhaitez, utilisez l'authentification de client SSL pour sécuriser la connexion entre XenMobile et l'interface Web des services de certificats.

Pour ajouter une entité Services de certificats Microsoft

  1. Dans la console Web XenMobile, cliquez sur Configurer > Paramètres > Plus > Entités PKI.
  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Une liste répertoriant les types de PKI que vous pouvez ajouter s'affiche.

  3. Cliquez sur Entité Services de certificats Microsoft.

    La page Entité Services de certificats Microsoft : informations générales s'affiche.



  4. Sur la page Entité Services de certificats Microsoft : informations générales, procédez comme suit :
    1. Nom : entrez un nom pour votre nouvelle entité, qui sera utilisé plus tard pour faire référence à cette entité. Les noms de l’entité doivent être uniques.
    2. URL racine du service d'inscription Web : entrez l'adresse URL de votre service d'inscription Web d'autorité de certification Microsoft ; par exemple, https://192.0.2.13/certsrv/. L'adresse URL peut utiliser un format HTTP ou HTTP-over-SSL.
    3. Nom de page certnew.cer : nom de la page certnew.cer. Utilisez le nom par défaut sauf si vous l'avez renommé pour une raison quelconque.
    4. certfnsh.asp : nom de la page certfnsh.asp. Utilisez le nom par défaut sauf si vous l'avez renommé pour une raison quelconque.
    5. Type d'authentification : cliquez sur la méthode d'authentification à utiliser.
      • Aucun(e)
      • HTTP basique : fournissez le nom d'utilisateur et mot de passe requis pour se connecter.
      • Certificat client : sélectionnez le certificat client SSL correct.
      • Cliquez sur Suivant.

        La page Entité Services de certificats Microsoft : modèles s'affiche. Sur cette page, spécifiez le nom interne des modèles pris en charge par votre autorité de certification Microsoft. Lors de la création de fournisseurs d'identités, vous devez sélectionner un modèle dans la liste définie ici. Chaque fournisseur d'identités utilisant cette entité utilise un seul modèle de ce type.

  5. Sur la page Entité Services de certificats Microsoft : modèles, cliquez sur Ajouter, entrez le nom du modèle et cliquez sur Enregistrer. Répétez cette étape pour chaque modèle à ajouter.
  6. Cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : paramètres HTTP s'affiche. Sur cette page, spécifiez des paramètres personnalisés que XenMobile doit insérer dans la requête HTTP auprès de l’interface d’inscription Web de Microsoft. Ceci sera utile uniquement si des scripts personnalisés sont exécutés sur l’autorité de certification.

  7. Sur la page Entité Services de certificats Microsoft : paramètres HTTP, cliquez sur Ajouter, entrez le nom et la valeur des paramètres HTTP que vous souhaitez ajouter, puis cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : certificats CA s'affiche. Sur cette page, il vous sera demandé d'informer XenMobile des signataires des certificats que le système va obtenir par le biais de cette entité. Lorsque votre certificat d’autorité de certification est renouvelé, mettez-le à jour dans XenMobile, puis la modification est appliquée de manière transparente à l'entité.

  8. Sur la page Entité Services de certificats Microsoft : certificats CA, sélectionnez les certificats que vous voulez utiliser pour cette entité.
  9. Cliquez sur Enregistrer.

    L'entité s'affiche sur le tableau Entités PKI.

Autorités de certification discrétionnaires

Une autorité de certification discrétionnaire est créée lorsque vous fournissez un certificat d’autorité de certification et la clé privée qui lui est associée à XenMobile. XenMobile gère l'émission, la révocation et les informations d'état en interne des certificats, selon les paramètres que vous spécifiez.

Lorsque vous configurez une autorité de certification discrétionnaire, vous avez la possibilité d’activer la prise en charge du protocole OCSP pour cette autorité de certification. Si, et uniquement si vous activez la prise en charge du protocole OCSP, l’autorité de certification ajoute une extension id-pe-authorityInfoAccess aux certificats qu'elle émet, pointant vers le répondeur OCSP interne de XenMobile situé à l'adresse suivante.

https://serveur/instance/ocsp

Lors de la configuration du service OCSP, vous devez spécifier un certificat de signature OCSP pour l'entité discrétionnaire en question. Vous pouvez utiliser le certificat d’autorité de certification lui-même en tant que signataire. Si vous voulez éviter la divulgation inutile de la clé privée de votre autorité de certification (recommandé), créez un certificat de signature OCSP délégué, signé par le certificat d’autorité de certification et incluez une extension id-kp-OCSPSigning extendedKeyUsage.

Le service du répondeur OCSP de XenMobile prend en charge les réponses OCSP de base et les algorithmes de hash suivants utilisés dans les requêtes :

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Les réponses sont signées avec SHA-256 et l'algorithme de clé du certificat de signature (DSA, RSA ou ECDSA).

Pour ajouter des autorités de certification discrétionnaires

  1. Dans la console Web XenMobile, cliquez sur Configurer > Paramètres > Plus > Entités PKI.
  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Une liste répertoriant les types de PKI que vous pouvez ajouter s'affiche.

  3. Cliquez sur CA discrétionnaire.

    La page CA discrétionnaire : informations générales s'affiche.



  4. Sur la page CA discrétionnaire : informations générales, procédez comme suit :
    1. Nom : entrez un nom descriptif pour la CA discrétionnaire.
    2. Certificat CA utilisé pour signer les demandes de certificat : cliquez sur un certificat pour la CA discrétionnaire à utiliser pour signer les demandes de certificats. Cette liste de certificats est générée à partir des certificats CA avec des clés privées que vous avez chargées sur XenMobile > Configure > Paramètres > Certificats.
    3. Cliquez sur Suivant.

      La page CA discrétionnaire : paramètres s'affiche.



  5. Sur la page CA discrétionnaire : paramètres, procédez comme suit :
    1. Générateur de numéro de série : la CA discrétionnaire génère des numéros de série pour les certificats qu'elle émet. Dans cette liste, cliquez sur Séquentiel ou Non-séquentiel pour déterminer comment les numéros sont générés.
    2. Numéro de série suivant : entrez une valeur pour déterminer le numéro suivant émis.
    3. Certificat valide pour : entrez le nombre de jours pendant lesquels le certificat est valide.
    4. Utilisation de la clé : identifiez la fonction des certificats émis par l'autorité de certification discrétionnaire en définissant les clés appropriées sur On. Une fois cette option définie, l'autorité de certification peut uniquement émettre des certificats aux fins susmentionnées.
    5. Utilisation de clé étendue : pour ajouter d'autres paramètres, cliquez sur Ajouter, entrez le nom de clé, puis cliquez sur Enregistrer.
    6. Cliquez sur Suivant.

      La page CA discrétionnaire : distribution s'affiche.

  6. Sur la page CA discrétionnaire : distribution, sélectionnez un mode de distribution :
    • Centralisé : génération de la clé sur le serveur. Citrix recommande l'option centralisée. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
    • Distribué : génération de la clé sur l'appareil. Les clés privées sont générées et stockées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec le keyUsage keyEncryption et un certificat de signature RA avec le KeyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
  7. Cliquez sur Suivant.

    La page CA discrétionnaire : protocole OCSPs'affiche.

  8. Sur la page CA discrétionnaire : protocole OCSP, procédez comme suit :
    1. Si vous souhaitez ajouter une extension AuthorityInfoAccess (RFC2459) pour les certificats signés par cette autorité de certification, définissez Activer le support d'OCSP pour cette CA sur On. Cette extension pointe vers le répondeur OCSP de l'autorité de certification sur https://serveur/instance/ocsp.
    2. Si vous avez activé la prise en charge du protocole OCSP, sélectionnez un certificat d'autorité de certification de signature OSCP. Cette liste de certificats est générée à partir des certificats d'autorité de certification que vous avez chargés sur XenMobile > Configure > Paramètres > Certificats.
  9. Cliquez sur Enregistrer.

    L'autorité de certification discrétionnaire s'affiche sur le tableau Entités PKI.