Serveur XenMobile®

Fournisseurs d’informations d’identification

April 16, 2026

Contributeur:

C C

Les fournisseurs d’informations d’identification sont les configurations de certificat réelles que vous utilisez dans les différentes parties du système XenMobile®. Ils définissent les sources, les paramètres et les cycles de vie de vos certificats. Ces opérations ont lieu que les certificats fassent partie des configurations d’appareil ou qu’ils soient autonomes (c’est-à-dire poussés tels quels vers l’appareil).

L’inscription des appareils contraint le cycle de vie des certificats. Autrement dit, XenMobile n’émet pas de certificats avant l’inscription, bien qu’il puisse en émettre certains dans le cadre de l’inscription. De plus, les certificats émis par l’infrastructure à clé publique (PKI) interne dans le contexte d’une inscription sont révoqués lorsque l’inscription est révoquée. Une fois la relation de gestion terminée, aucun certificat valide ne subsiste.

Vous pouvez utiliser une configuration de fournisseur d’informations d’identification à plusieurs endroits, de sorte qu’une seule configuration peut régir un nombre quelconque de certificats simultanément. L’unité se trouve alors sur la ressource de déploiement et le déploiement. Par exemple, si le fournisseur d’informations d’identification P est déployé sur l’appareil D dans le cadre de la configuration C : les paramètres d’émission de P déterminent le certificat déployé sur D. De même, les paramètres de renouvellement pour D s’appliquent lorsque C est mis à jour. Et les paramètres de révocation pour D s’appliquent également lorsque C est supprimé ou lorsque D est révoqué.

Selon ces règles, la configuration du fournisseur d’informations d’identification dans XenMobile détermine les éléments suivants :

La source des certificats.
La méthode d’obtention des certificats : signature d’un nouveau certificat ou récupération d’un certificat et d’une paire de clés existants.
Les paramètres d’émission ou de récupération. Par exemple, les paramètres de demande de signature de certificat (CSR), tels que la taille de la clé, l’algorithme de clé et les extensions de certificat.
La manière dont les certificats sont livrés à l’appareil.
Les conditions de révocation. Bien que tous les certificats soient révoqués dans XenMobile lorsque la relation de gestion est rompue, la configuration peut spécifier une révocation antérieure. Par exemple, la configuration peut spécifier de révoquer un certificat lorsque la configuration d’appareil associée est supprimée. De plus, dans certaines conditions, la révocation du certificat associé dans XenMobile peut être envoyée à l’infrastructure à clé publique (PKI) back-end. Autrement dit, la révocation de certificat dans XenMobile peut entraîner la révocation de certificat sur la PKI.
Les paramètres de renouvellement. Les certificats obtenus via un fournisseur d’informations d’identification donné peuvent être renouvelés automatiquement à l’approche de leur expiration. Ou, indépendamment de cette situation, des notifications peuvent être émises à l’approche de cette expiration.

La disponibilité des options de configuration dépend principalement du type d’entité PKI et de la méthode d’émission que vous sélectionnez pour un fournisseur d’informations d’identification.

Méthodes d’émission de certificat

Vous pouvez obtenir un certificat, ce qui est connu comme la méthode d’émission par signature.

Avec cette méthode, l’émission implique la création d’une nouvelle clé privée, la création d’une CSR et la soumission de la CSR à une autorité de certification (CA) pour signature. XenMobile prend en charge la méthode de signature pour les entités des services de certificats MS et les entités CA discrétionnaires.

Un fournisseur d’informations d’identification utilise la méthode d’émission par signature.

Livraison de certificat

Deux modes de livraison de certificat sont disponibles dans XenMobile : centralisé et distribué. Le mode distribué utilise le protocole SCEP (Simple Certificate Enrollment Protocol) et n’est disponible que dans les situations où le client prend en charge le protocole (iOS uniquement). Le mode distribué est obligatoire dans certaines situations.

Pour qu’un fournisseur d’informations d’identification prenne en charge la livraison distribuée (assistée par SCEP), une étape de configuration spéciale est nécessaire : la configuration des certificats d’autorité d’enregistrement (RA). Les certificats RA sont requis car, si vous utilisez le protocole SCEP, XenMobile agit comme un délégué (un registraire) auprès de l’autorité de certification réelle. XenMobile doit prouver au client qu’il a l’autorité d’agir en tant que tel. Cette autorité est établie en téléchargeant les certificats mentionnés précédemment vers XenMobile.

Deux rôles de certificat distincts sont requis (bien qu’un seul certificat puisse remplir les deux exigences) : signature RA et chiffrement RA. Les contraintes pour ces rôles sont les suivantes :

Le certificat de signature RA doit avoir l’utilisation de clé X.509 de signature numérique.
Le certificat de chiffrement RA doit avoir l’utilisation de clé X.509 de chiffrement de clé.

Pour configurer les certificats RA du fournisseur d’informations d’identification, vous téléchargez les certificats vers XenMobile, puis vous les liez dans le fournisseur d’informations d’identification.

Un fournisseur d’informations d’identification est considéré comme prenant en charge la livraison distribuée uniquement si le fournisseur dispose d’un certificat configuré pour les rôles de certificat. Vous pouvez configurer chaque fournisseur d’informations d’identification pour préférer le mode centralisé, préférer le mode distribué ou exiger le mode distribué. Le résultat réel dépend du contexte : si le contexte ne prend pas en charge le mode distribué, mais que le fournisseur d’informations d’identification exige ce mode, le déploiement échoue. De même, si le contexte exige le mode distribué, mais que le fournisseur d’informations d’identification ne prend pas en charge le mode distribué, le déploiement échoue. Dans tous les autres cas, le paramètre préféré est respecté.

Le tableau suivant présente la distribution SCEP dans XenMobile :

Contexte	SCEP pris en charge	SCEP requis
Service de profil iOS	Oui	Oui
Inscription à la gestion des appareils mobiles iOS	Oui	Non
Profils de configuration iOS	Oui	Non
Inscription SHTP	Non	Non
Configuration SHTP	Non	Non
Inscription de tablette Windows	Non	Non
Configuration de tablette Windows	Non, à l’exception de la stratégie d’appareil Wi-Fi, qui est prise en charge pour Windows 10 et Windows 11	Non

Révocation de certificat

Il existe trois types de révocation.

Révocation interne : La révocation interne affecte l’état du certificat tel que maintenu par XenMobile. XenMobile prend en compte cet état lors de l’évaluation d’un certificat présenté ou lors de la fourniture d’informations d’état OCSP pour un certificat. La configuration du fournisseur d’informations d’identification détermine comment cet état est affecté dans diverses conditions. Par exemple, le fournisseur d’informations d’identification peut spécifier de marquer les certificats comme révoqués lorsque les certificats sont supprimés de l’appareil.
Révocation propagée en externe : Également connue sous le nom de Révocation XenMobile, ce type de révocation s’applique aux certificats obtenus d’une PKI externe. Le certificat est révoqué sur la PKI lorsque XenMobile révoque en interne le certificat, dans les conditions définies par la configuration du fournisseur d’informations d’identification.
Révocation induite en externe : Également connue sous le nom de Révocation PKI, ce type de révocation s’applique également uniquement aux certificats obtenus d’une PKI externe. Chaque fois que XenMobile évalue un état de certificat donné, XenMobile interroge la PKI sur cet état. Si le certificat est révoqué, XenMobile révoque en interne le certificat. Ce mécanisme utilise le protocole OCSP.

Ces trois types ne sont pas exclusifs, mais s’appliquent plutôt ensemble. Une révocation externe ou une constatation indépendante peut entraîner une révocation interne. Une révocation interne peut potentiellement affecter une révocation externe.

Renouvellement de certificat

Un renouvellement de certificat est la combinaison d’une révocation du certificat existant et d’une émission d’un autre certificat.

XenMobile tente d’abord d’obtenir le nouveau certificat avant de révoquer le certificat précédent, afin d’éviter une interruption de service en cas d’échec de l’émission. Pour la livraison distribuée (prise en charge par SCEP), la révocation n’a lieu qu’après l’installation réussie du certificat sur l’appareil. Sinon, la révocation a lieu avant l’envoi du nouveau certificat à l’appareil. Cette révocation est indépendante du succès ou de l’échec de l’installation du certificat.

La configuration de révocation exige que vous spécifiiez une certaine durée (en jours). Lorsque l’appareil se connecte, le serveur vérifie si la date NotAfter du certificat est postérieure à la date actuelle, moins la durée spécifiée. Si le certificat remplit cette condition, XenMobile tente de renouveler le certificat.

Créer un fournisseur d’informations d’identification

La configuration d’un fournisseur d’informations d’identification varie principalement en fonction de l’entité émettrice et de la méthode d’émission que vous sélectionnez pour le fournisseur d’informations d’identification. Vous pouvez distinguer les fournisseurs d’informations d’identification qui utilisent une entité interne ou une entité externe :

Une entité discrétionnaire, qui est interne à XenMobile, est une entité interne. La méthode d’émission pour une entité discrétionnaire est toujours une signature. La signature signifie qu’à chaque opération d’émission, XenMobile signe une nouvelle paire de clés avec le certificat CA sélectionné pour l’entité. La génération de la paire de clés sur l’appareil ou sur le serveur dépend de la méthode de distribution que vous sélectionnez.
Une entité externe, qui fait partie de votre infrastructure d’entreprise, inclut Microsoft CA.

Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit, puis cliquez sur Paramètres > Fournisseurs d’informations d’identification.
Sur la page Fournisseurs d’informations d’identification, cliquez sur Ajouter.

La page Fournisseurs d’informations d’identification : Informations générales s’affiche.
Sur la page Fournisseurs d’informations d’identification : Informations générales, effectuez les opérations suivantes :
- Nom : Saisissez un nom unique pour la nouvelle configuration de fournisseur. Ce nom est utilisé ultérieurement pour identifier la configuration dans d’autres parties de la console XenMobile.
- Description : Décrivez le fournisseur d’informations d’identification. Bien que ce champ soit facultatif, une description peut fournir des détails utiles sur ce fournisseur d’informations d’identification.
- Entité émettrice : Cliquez sur l’entité émettrice de certificat.
- Méthode d’émission : Cliquez sur Signer ou Récupérer pour définir la méthode que le système utilise pour obtenir des certificats de l’entité configurée. Pour l’authentification par certificat client, utilisez Signer.
- Si la liste Modèle est disponible, sélectionnez le modèle que vous avez ajouté sous l’entité PKI pour le fournisseur d’informations d’identification.
  
  Ces modèles deviennent disponibles lorsque les entités des services de certificats Microsoft sont ajoutées sous Paramètres > Entités PKI.
Cliquez sur Suivant.

La page Fournisseurs d’informations d’identification : Demande de signature de certificat s’affiche.
Sur la page Fournisseurs d’informations d’identification : Demande de signature de certificat, configurez les éléments suivants en fonction de votre configuration de certificat :
- Algorithme de clé : Choisissez l’algorithme de clé pour la nouvelle paire de clés. Les valeurs disponibles sont RSA, DSA et ECDSA.
- Taille de clé : Saisissez la taille, en bits, de la paire de clés. Ce champ est obligatoire.
  
  Les valeurs autorisées dépendent du type de clé. Par exemple, la taille maximale pour les clés DSA est de 1024 bits. Pour éviter les faux négatifs, qui dépendent du matériel et du logiciel sous-jacents, XenMobile n’impose pas de tailles de clé. Testez toujours les configurations de fournisseur d’informations d’identification dans un environnement de test avant de les activer en production.
- Algorithme de signature : Cliquez sur une valeur pour le nouveau certificat. Les valeurs dépendent de l’algorithme de clé.
- Nom du sujet : Obligatoire. Saisissez le nom distinctif (DN) du nouveau sujet de certificat. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
  
  Par exemple, pour l’authentification par certificat client, utilisez les paramètres suivants :
  - Algorithme de clé : RSA
  - Taille de clé : 2048
  - Algorithme de signature : SHA256withRSA
  - Nom du sujet : cn=$user.username
- Pour ajouter une entrée à la table Noms alternatifs du sujet, cliquez sur Ajouter. Sélectionnez le type de nom alternatif, puis saisissez une valeur dans la deuxième colonne.
  
  Pour l’authentification par certificat client, spécifiez :
  - Type : Nom d’utilisateur principal
  - Valeur : $user.userprincipalname
    
    Comme pour le nom du sujet, vous pouvez utiliser les macros XenMobile dans le champ de valeur.
Cliquez sur Suivant.

La page Fournisseurs d’informations d’identification : Distribution s’affiche.
Sur la page Fournisseurs d’informations d’identification : Distribution, effectuez les opérations suivantes :
- Dans la liste Certificat CA émetteur, cliquez sur le certificat CA proposé. Étant donné que le fournisseur d’informations d’identification utilise une entité CA discrétionnaire, le certificat CA pour le fournisseur d’informations d’identification est toujours le certificat CA configuré sur l’entité elle-même. Le certificat CA est présenté ici pour la cohérence avec les configurations qui utilisent des entités externes.
- Dans Sélectionner le mode de distribution, cliquez sur l’une des méthodes suivantes de génération et de distribution de clés :
  - Préférer centralisé : Génération de clé côté serveur : Citrix recommande cette option centralisée. Elle prend en charge toutes les plateformes prises en charge par XenMobile et est requise lors de l’utilisation de l’authentification Citrix Gateway. Les clés privées sont générées et stockées sur le serveur et distribuées aux appareils des utilisateurs.
  - Préférer distribué : Génération de clé côté appareil : Les clés privées sont générées et stockées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et nécessite un certificat de chiffrement RA avec l’utilisation de clé keyEncryption et un certificat de signature RA avec l’utilisation de clé digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
  - Uniquement distribué : Génération de clé côté appareil : Cette option fonctionne de la même manière que Préférer distribué : Génération de clé côté appareil, sauf que, comme il s’agit d’« Uniquement » plutôt que de « Préférer », aucune option n’est disponible si la génération de clé côté appareil échoue ou n’est pas disponible.
Si vous avez sélectionné Préférer distribué : Génération de clé côté appareil ou Uniquement distribué : Génération de clé côté appareil, cliquez sur le certificat de signature RA et le certificat de chiffrement RA. Le même certificat peut être utilisé pour les deux. De nouveaux champs apparaissent pour ces certificats.
Cliquez sur Suivant.

La page Fournisseurs d’informations d’identification : Révocation XenMobile s’affiche. Sur cette page, vous configurez les conditions dans lesquelles XenMobile marque en interne les certificats, émis via cette configuration de fournisseur, comme révoqués.
Sur la page Fournisseurs d’informations d’identification : Révocation XenMobile, effectuez les opérations suivantes :
- Dans Révoquer les certificats émis, sélectionnez l’une des options indiquant quand révoquer les certificats.
- Pour demander à XenMobile d’envoyer une notification lorsque le certificat est révoqué : Définissez la valeur de Envoyer une notification sur Activé et choisissez un modèle de notification.
- Pour révoquer le certificat sur la PKI lorsque le certificat est révoqué de XenMobile : Définissez Révoquer le certificat sur la PKI sur Activé et, dans la liste des entités, cliquez sur un modèle. La liste des entités affiche toutes les entités disponibles avec des capacités de révocation. Lorsque le certificat est révoqué de XenMobile, un appel de révocation est envoyé à la PKI sélectionnée dans la liste des entités.
Cliquez sur Suivant.

La page Fournisseurs d’informations d’identification : Révocation PKI s’affiche. Sur cette page, vous identifiez les actions à entreprendre sur la PKI si le certificat est révoqué. Vous avez également la possibilité de créer un message de notification.
Sur la page Fournisseurs d’informations d’identification : Révocation PKI, effectuez les opérations suivantes si vous souhaitez révoquer des certificats de la PKI :
- Définissez le paramètre Activer les vérifications de révocation externe sur Activé. D’autres champs liés à la révocation PKI apparaissent.
- Dans la liste Certificat CA du répondeur OCSP, cliquez sur le nom distinctif (DN) du sujet du certificat.
  
  Vous pouvez utiliser les macros XenMobile pour les valeurs du champ DN. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
- Dans la liste Lorsque le certificat est révoqué, cliquez sur l’une des actions suivantes à entreprendre sur l’entité PKI lorsque le certificat est révoqué :
  - Ne rien faire.
  - Renouveler le certificat.
  - Révoquer et effacer l’appareil.
- Pour demander à XenMobile d’envoyer une notification lorsque le certificat est révoqué : Définissez la valeur de Envoyer une notification sur Activé.
  
  Vous pouvez choisir entre deux options de notification :
- Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-écrit que vous pourrez ensuite personnaliser. Ces modèles se trouvent dans la liste des modèles de notification.
- Si vous sélectionnez Saisir les détails de la notification, vous pouvez rédiger votre propre message de notification. En plus de fournir l’adresse e-mail du destinataire et le message, vous pouvez définir la fréquence d’envoi de la notification.
Cliquez sur Suivant.

La page Fournisseurs d’informations d’identification : Renouvellement s’affiche. Sur cette page, vous pouvez configurer XenMobile pour effectuer les opérations suivantes :
- Renouveler le certificat. Vous pouvez éventuellement envoyer une notification lors du renouvellement, et éventuellement exclure les certificats déjà expirés de l’opération.
- Émettre une notification pour les certificats qui approchent de l’expiration (notification avant renouvellement).
Sur la page Fournisseurs d’informations d’identification : Renouvellement, effectuez les opérations suivantes si vous souhaitez renouveler les certificats lorsqu’ils expirent :

Définissez Renouveler les certificats lorsqu’ils expirent sur Activé. D’autres champs apparaissent.
- Dans le champ Renouveler lorsque le certificat arrive à échéance dans, saisissez le nombre de jours avant l’expiration pour renouveler le certificat.
- Optionnellement, sélectionnez Ne pas renouveler les certificats déjà expirés. Dans ce cas, « déjà expiré » signifie que la date NotAfter est passée, et non qu’il a été révoqué. XenMobile ne renouvelle pas les certificats après leur révocation interne.
Pour demander à XenMobile d’envoyer une notification lorsque le certificat a été renouvelé : Définissez Envoyer une notification sur Activé. Pour demander à XenMobile d’envoyer une notification lorsque le certificat approche de l’expiration : Définissez Notifier lorsque le certificat approche de l’expiration sur Activé. Pour l’un ou l’autre de ces choix, vous pouvez choisir entre deux options de notification :
- Sélectionner un modèle de notification : Sélectionnez un message de notification pré-écrit que vous pourrez ensuite personnaliser. Ces modèles se trouvent dans la liste des modèles de notification.
- Saisir les détails de la notification : Rédigez votre propre message de notification. Fournissez l’adresse e-mail du destinataire, un message et une fréquence d’envoi de la notification.
Dans le champ Notifier lorsque le certificat arrive à échéance dans, saisissez le nombre de jours avant l’expiration du certificat pour envoyer la notification.
Cliquez sur Enregistrer.

Le fournisseur d’informations d’identification apparaît dans le tableau des fournisseurs d’informations d’identification.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Fournisseurs d’informations d’identification

April 16, 2026

Contributeur:

C C

April 16, 2026

Contributeur:

C C

Dans cet article

Méthodes d’émission de certificat
Livraison de certificat
Révocation de certificat
Renouvellement de certificat
Créer un fournisseur d’informations d’identification

Cela vous a-t-il été utile ?