Entités PKI

Une configuration d’entité d’infrastructure de clé publique (PKI) XenMobile représente un composant réalisant des opérations PKI réelles (émission, révocation et informations d’état). Ces composants sont internes ou externes à XenMobile. Les composants internes sont appelés discrétionnaire. Les composants externes font partie de votre infrastructure d’entreprise.

XenMobile prend en charge les types d’entités PKI suivantes :

  • PKI génériques (GPKI)

La prise en charge de protocoles PKI génériques par XenMobile Server inclut Symantec Managed PKI.

  • Services de certificats Microsoft
  • Autorités de certification discrétionnaires (CA)

XenMobile prend en charge les serveurs d’autorité de certification suivants :

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Concepts de PKI communs

Quel que soit son type, chaque entité PKI possède un sous-ensemble des fonctionnalités suivantes :

  • Signer : émission d’un nouveau certificat, basé sur une demande de signature de certificat (CSR).
  • Récupérer : récupération d’un certificat existant et d’une paire de clés.
  • Révoquer : révocation d’un certificat client.

À propos des certificats CA

Lorsque vous configurez une entité PKI, informez XenMobile de la nature du certificat d’autorité de certification qui est le signataire des certificats émis par (ou récupérés depuis) cette entité. Cette entité PKI peut renvoyer des certificats signés (récupérés ou nouvellement signés) par un certain nombre d’autorités de certification différentes.

Fournissez le certificat de chacune de ces autorités de certification dans le cadre de la configuration de l’entité PKI. Pour ce faire, chargez les certificats sur XenMobile puis référencez-les dans l’entité PKI. Pour les autorités de certification discrétionnaires, le certificat est implicitement le certificat de l’autorité de certification signataire. Pour les entités externes, vous devez spécifier le certificat manuellement.

Important :

Lorsque vous créez un modèle d’entité Services de certificats Microsoft, évitez les problèmes d’authentification possibles avec des appareils inscrits ; n’utilisez pas de caractères spéciaux dans le nom du modèle. Par exemple, n’utilisez pas : ! : $ ( ) # % + * ~ ? | { } [ ]

PKI générique

Le protocole PKI générique (GPKI) est un protocole XenMobile propriétaire exécuté sur une couche du service Web SOAP qui permet un interfaçage avec différentes solutions PKI. Le protocole GPKI définit les trois opérations PKI fondamentales suivantes :

  • Signer : la carte peut prendre des demandes de signature de certificat (CSR), les transmettre à la PKI et retourner des certificats nouvellement signés.
  • Récupérer : la carte peut récupérer des certificats existants et des paires de clés (selon les paramètres d’entrée) depuis la PKI.
  • Révoquer : la carte peut entraîner la révocation d’un certificat donné par la PKI.

La carte GPKI se trouve en bout du protocole GPKI. La carte convertit les opérations fondamentales pour le type de PKI spécifique pour lequel elle a été créée. Par exemple, il existe des cartes GPKI pour RSA et Entrust.

La carte GPKI, en tant que point de terminaison des services Web SOAP, publie une définition WSDL auto-descriptive. La création d’une entité GPKI PKI équivaut à fournir cette définition WSDL à XenMobile, soit par le biais d’une adresse URL soit en chargeant le fichier lui-même.

La prise en charge de chaque opération PKI dans une carte est facultative. Si une carte prend en charge une opération donnée, on considère qu’elle dispose de la capacité correspondante (signature, récupération ou révocation). Chacune de ces fonctionnalités peut être associée à un ensemble de paramètres utilisateur.

Les paramètres utilisateur sont des paramètres que la carte GPKI définit pour une opération spécifique et pour lesquels vous devez fournir des valeurs à XenMobile. XenMobile analyse le fichier WSDL pour déterminer les opérations prises en charge par la carte et les paramètres requis par la carte pour chacune des opérations. Si vous le souhaitez, utilisez l’authentification de client SSL pour sécuriser la connexion entre XenMobile et la carte GPKI.

Pour ajouter une PKI générique

  1. Dans la console Web XenMobile, cliquez sur Paramètres > Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu des types d’entité PKI s’affiche.

    Image de l'écran de configuration Entités PKI

  3. Cliquez sur Entité PKI générique.

    La page Entité PKI générique : informations générales s’affiche.

    Image de l'écran de configuration Entités PKI

  4. Sur la page Entité PKI générique : informations générales, procédez comme suit :

    • Nom : entrez un nom descriptif pour l’entité PKI.
    • URL du WSDL : entrez l’emplacement du WSDL décrivant la carte.
    • Type d’authentification : cliquez sur la méthode d’authentification à utiliser.
    • Aucune
    • HTTP basique : fournissez le nom d’utilisateur et mot de passe requis pour se connecter à la carte.
    • Certificat client : sélectionnez le certificat client SSL correct.
  5. Cliquez sur Suivant.

    La page Entité PKI générique : capacité de l’adaptateur s’affiche.

  6. Sur la page Entité PKI générique : capacité de l’adaptateur, passez en revue les capacités et les paramètres associés à votre carte et cliquez sur Suivant.

    La page Entité PKI générique : émission de certificats CA s’affiche.

  7. Sur la page Entité PKI générique : émission de certificats CA, sélectionnez les certificats que vous voulez utiliser pour l’entité.

    Bien que les entités puissent retourner des certificats signés par des autorités de certification différentes, la même autorité de certification doit signer tous les certificats obtenus via un fournisseur de certificats donné. Par conséquent, lorsque vous configurez le paramètre Fournisseur d’identités, sur la page Distribution, sélectionnez l’un des certificats configuré ici.

  8. Cliquez sur Enregistrer.

    L’entité s’affiche sur le tableau Entités PKI.

Symantec Managed PKI

La prise en charge de protocoles PKI génériques par XenMobile Server inclut Symantec Managed PKI, également connu sous le nom MPKI. Cette section décrit comment configurer Windows Server et XenMobile Server pour Symantec Managed PKI.

Conditions préalables

  • Accès à l’infrastructure de Symantec Managed PKI
  • Un serveur Windows Server 2012 R2 avec les composants suivants, comme décrit dans cet article :
    • Java
    • Apache Tomcat
    • Symantec PKI Client
    • Portecle
  • Accès au site de téléchargement XenMobile

Installer Java sur Windows Server

Téléchargez Java à partir de https://java.com/en/download/faq/java_win64bit.xml, puis installez le programme. Dans la boîte de dialogue d’avertissement de sécurité, cliquez sur Exécuter.

Installer Apache Tomcat sur Windows Server

Téléchargez le programme d’installation du Service Windows 32 bits/64 bits d’Apache Tomcat à partir de https://tomcat.apache.org/download-80.cgi et installez. Dans la boîte de dialogue d’avertissement de sécurité, cliquez sur Exécuter. Effectuez la configuration d’Apache Tomcat, en utilisant les exemples suivants comme guide.

Image de l'écran de configuration d'Apache Tomcat

Image de l'écran de configuration d'Apache Tomcat

Image de l'écran de configuration d'Apache Tomcat

Image de l'écran de configuration d'Apache Tomcat

Image de l'écran de configuration d'Apache Tomcat

Ensuite, accédez à Services Windows et modifiez Type de démarrage, de Manuel à Automatique.

Image de l'écran de configuration de Services Windows

Image de l'écran de configuration de Services Windows

Installer Symantec PKI Client sur Windows Server

Téléchargez le programme d’installation à partir de la console PKI Manager. Si vous n’avez pas accès à cette console, téléchargez le programme d’installation à partir de la page de support de Symantec How to download Symantec PKI Client. Décompressez et exécutez le programme d’installation.

Image de l'installation de Symantec PKI Client

Image de l'installation de Symantec PKI Client

Dans la boîte de dialogue d’avertissement de sécurité, cliquez sur Exécuter. Suivez les instructions du programme d’installation pour effectuer l’installation. Lorsque le programme d’installation est terminé, il vous invite à redémarrer.

Installer Portecle sur Windows Server

Téléchargez le programme d’installation à partir de https://sourceforge.net/projects/portecleinstall/files/, puis décompressez et exécutez le programme d’installation.

Générer le certificat d’autorité d’inscription (RA) pour Symantec Managed PKI

Le magasin de clés pour l’authentification du certificat client est contenu dans un certificat d’autorité d’inscription (RA), appelé RA.jks. Les étapes suivantes décrivent comment générer le certificat à l’aide de Portecle. Vous pouvez également générer le certificat RA à l’aide de la ligne de commande Java.

Cet article explique également comment télécharger les certificats RA et publics.

  1. Dans Portecle, accédez à Tools > Generate Key Pair, fournissez les informations requises et générez la paire de clés.

    Image de l'écran de configuration de Portecle

  2. Cliquez avec le bouton droit de la souris sur la paire de clés, puis cliquez sur Generate Certification Request.

    Image de l'écran de configuration de Portecle

  3. Copiez la requête de signature de certificat (CSR).

  4. Dans Symantec PKI Manager, générez un certificat RA : cliquez sur Settings, puis sur Get a RA Certificate, collez le fichier CSR, puis cliquez sur Continue.

    Image de l'écran de configuration de Symantec PKI Manager

  5. Cliquez sur Download pour télécharger le certificat RA généré.

    Image de l'écran de configuration de Symantec PKI Manager

  6. Dans Portecle, importez le certificat RA : cliquez avec le bouton droit de la souris sur la paire de clés, puis cliquez sur Import CA Reply.

    Image de l'écran de configuration de Portecle

  7. Dans Symantec PKI Manager : accédez à Resources > Web Services et téléchargez les certificats d’autorité de certification.

    Image de l'écran de configuration de Symantec PKI Manager

  8. Dans Portecle, importez les certificats racine et intermédiaire RA dans le magasin de clés : Tools > Import Trusted Certificates.

    Image de l'écran de configuration de Portecle

  9. Après avoir importé les autorités de certification, enregistrez le magasin de clés en tant que RA.jks dans le dossier C:\Symantec sur le serveur Windows.

    Image de l'écran de configuration de Portecle

Configurer la carte Symantec PKI sur Windows Server

  1. Connectez-vous à Windows Server en tant qu’administrateur.

  2. Chargez le fichier RA.jks que vous avez généré dans la section précédente. Chargez également les certificats publics (cacerts.jks) pour votre serveur Symantec MPKI.

  3. Sur la page de téléchargement de XenMobile Server 10, développez Tools et téléchargez le fichier de la carte PKI Symantec. Le nom de fichier est XenMobile_Symantec_PKI_Adapter.zip. Décompressez le fichier et copiez ces fichiers sur le lecteur C: du serveur Windows :

    • custom_gpki_adapter.properties

    • Symantec.war

  4. Ouvrez custom_gpki_adapter.properties dans Bloc-notes et modifiez les valeurs suivantes :

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Copiez Symantec.war sous le dossier <tomcat dir>\webapps, puis démarrez Tomcat.

  6. Vérifiez que l’application est déployée : ouvrez un navigateur web et accédez à https://localhost/Symantec.

  7. Accédez au dossier <tomcat dir>\webapps\Symantec\WEB-INF\classes et modifiez gpki_adapter.properties. Modifiez la propriété CustomProperties pour la faire pointer vers le fichier custom_gpki_adapter sous le dossier C:\Symantec :

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Redémarrez Tomcat, accédez à https://localhost/Symantec, puis copiez l’adresse du point de terminaison. Dans la section suivante, vous collez cette adresse lors de la configuration de la carte PKI.

    Image de l'écran de configuration de Symantec PKI

Configurer XenMobile Server pour Symantec Managed PKI

Effectuez l’installation de Windows Server avant d’effectuer la configuration XenMobile Server suivante.

Pour importer les certificats d’autorité de certification de Symantec et configurer l’entité PKI

  1. Importez les certificats d’autorité de certification Symantec qui émettent le certificat de l’utilisateur final : dans la console XenMobile Server, accédez à Paramètres > Certificats et cliquez sur Importer.

    Image de l'écran de configuration des certificats

  2. Ajoutez et configurez l’entité PKI : accédez à Paramètres > Entités PKI, cliquez sur Ajouter, puis choisissez Entité PKI générique. Dans URL du WSDL, collez l’adresse de point de terminaison que vous avez copiée lors de la configuration de la carte PKI dans la section précédente, puis ajoutez ?wsdl comme illustré ci-dessous.

    Image de l'écran de configuration Entités PKI

  3. Cliquez sur Suivant. XenMobile renseigne les noms des paramètres depuis le WSDL.

    Image de l'écran de configuration Entités PKI

  4. Cliquez sur Suivant, sélectionnez le certificat CA correct, puis cliquez sur Enregistrer.

    Image de l'écran de configuration Entités PKI

  5. Sur la page Paramètres > Entités PKI, vérifiez que l’état de l’entité PKI que vous avez ajoutée est défini sur valide.

    Image de l'écran de configuration Entités PKI

Pour créer le fournisseur d’identités pour Symantec Managed PKI

  1. Dans la console Symantec PKI Manager, copiez le Certificate Profile OID à partir du modèle de certificat.

    Image de l'écran de configuration de Symantec PKI Manager

  2. Dans la console de XenMobile Server, accédez à Paramètres > Fournisseurs d’identités, cliquez sur Ajouter, puis configurez les paramètres comme suit.

    • Nom : entrez un nom unique pour la nouvelle configuration du fournisseur. Ce nom sera utilisé pour faire référence à la configuration dans d’autres parties de la console XenMobile.

    • Description : décrivez le fournisseur d’identités. Bien que ce champ soit facultatif, une description peut être utile pour vous fournir des détails sur le fournisseur d’identités.

    • Entité émettrice : choisissez l’entité qui émet le certificat.

    • Méthode d’émission : choisissez Signer comme méthode que le système utilise pour obtenir des certificats client auprès de l’entité configurée.

    • certParams : ajoutez la valeur suivante : commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid : collez l’entrée Certificate Profile OID que vous avez copiée à l’étape 1.

    Image de l'écran de configuration Fournisseurs d'identités

  3. Cliquez sur Suivant. Sur chacune des pages restantes (Demande de signature de certificat jusqu’à Renouvellement), acceptez les paramètres par défaut. Lorsque vous avez terminé, cliquez sur Enregistrer.

Pour tester et résoudre les problèmes de configuration

  1. Créez une stratégie Informations d’identification : accédez à Configurer > Stratégies d’appareil, cliquez sur Ajouter, commencez à taper Informations d’identification, puis cliquez sur Informations d’identification.

  2. Spécifiez un nom de stratégie.

  3. Configurez les paramètres de plate-forme comme suit :

    • Type de certificat : choisissez Fournisseur d’identités.

    • Fournisseur d’identités : choisissez le fournisseur Symantec.

    Image de l'écran de configuration Fournisseurs d'identités

  4. Après avoir terminé la configuration de la plate-forme, passez à la page Attribution, attribuez la stratégie à des groupes de mise à disposition, puis cliquez sur Enregistrer.

  5. Pour vérifier si la stratégie est déployée sur l’appareil, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Stratégies attribuées. L’exemple suivant illustre un déploiement réussi de stratégie.

    Image de l'écran de configuration Gérer les appareils

    Si la stratégie n’a pas été déployée, connectez-vous à Windows Server et vérifiez si le WSDL est chargé correctement.

    Image de l'écran du serveur Windows

Pour obtenir des informations de dépannage supplémentaires, vérifiez les journaux Tomcat dans <tomcat dir>\logs\catalina.<current date>.

Services de certificats Microsoft

XenMobile se connecte avec Microsoft Certificate Services Web par le biais de son interface d’inscription Web. XenMobile prend uniquement en charge l’émission de nouveaux certificats via cette interface (l’équivalent de la fonctionnalité de signature GPKI). Si l’autorité de certification Microsoft génère un certificat d’utilisateur NetScaler Gateway, NetScaler Gateway prend en charge le renouvellement et la révocation de ces certificats.

Pour créer une entité PKI Microsoft CA dans XenMobile, vous devez spécifier l’adresse URL de base de l’interface Web des services de certificats. Si vous le souhaitez, utilisez l’authentification de client SSL pour sécuriser la connexion entre XenMobile et l’interface Web des services de certificats.

Ajouter une entité Services de certificats Microsoft

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu des types d’entité PKI s’affiche.

  3. Cliquez sur Entité Services de certificats Microsoft.

    La page Entité Services de certificats Microsoft : informations générales s’affiche.

  4. Sur la page Entité Services de certificats Microsoft : informations générales, configurez ces paramètres :

    • Nom : entrez un nom pour votre nouvelle entité, qui sera utilisé plus tard pour faire référence à cette entité. Les noms de l’entité doivent être uniques.
    • URL racine du service d’inscription Web : entrez l’adresse URL de votre service d’inscription Web d’autorité de certification Microsoft ; par exemple, https://192.0.2.13/certsrv/. L’adresse URL peut utiliser un format HTTP ou HTTP-over-SSL.
    • Nom de page certnew.cer : nom de la page certnew.cer. Utilisez le nom par défaut sauf si vous l’avez renommé pour une raison quelconque.
    • certfnsh.asp : nom de la page certfnsh.asp. Utilisez le nom par défaut sauf si vous l’avez renommé pour une raison quelconque.
    • Type d’authentification : choisissez la méthode d’authentification à utiliser.
      • Aucune
      • HTTP basique : entrez le nom d’utilisateur et mot de passe requis pour se connecter.
      • Certificat client : sélectionnez le certificat client SSL correct.
  5. Cliquez sur Tester la connexion pour vous assurer que le serveur est accessible. S’il n’est pas accessible, un message s’affiche, indiquant que la connexion a échoué. Vérifiez vos paramètres de configuration.

  6. Cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : modèles s’affiche. Sur cette page, spécifiez le nom interne des modèles pris en charge par votre autorité de certification Microsoft. Lors de la création de fournisseurs d’identités, vous devez sélectionner un modèle dans la liste définie ici. Chaque fournisseur d’identités utilisant cette entité utilise un seul modèle de ce type.

    Pour connaître la configuration requise pour les modèles Services de certificats Microsoft, veuillez consulter la documentation Microsoft relative à votre version de serveur Microsoft. XenMobile ne requiert pas de configuration particulière pour les certificats qu’il distribue autre que les formats de certificat indiqués dans Certificats.

  7. Sur la page Entité Services de certificats Microsoft : modèles, cliquez sur Ajouter, entrez le nom du modèle et cliquez sur Enregistrer. Répétez cette étape pour chaque modèle à ajouter.

  8. Cliquez sur Suivant.

    La pageEntité Services de certificats Microsoft : paramètres HTTP s’affiche. Sur cette page, spécifiez des paramètres personnalisés que XenMobile doit ajouter à la requête HTTP auprès de l’interface d’inscription Web de Microsoft. Les paramètres personnalisés ne sont utiles que pour les scripts personnalisés exécutés sur l’autorité de certification.

  9. Sur la page Entité Services de certificats Microsoft : paramètres HTTP, cliquez sur Ajouter, entrez le nom et la valeur des paramètres HTTP que vous souhaitez ajouter, puis cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : certificats CA s’affiche. Sur cette page, vous devez informer XenMobile des signataires des certificats que le système obtient par le biais de cette entité. Lorsque votre certificat CA est renouvelé, mettez-le à jour dans XenMobile. XenMobile applique le changement à l’entité de manière transparente.

  10. Sur la page Entité Services de certificats Microsoft : certificats CA, sélectionnez les certificats que vous voulez utiliser pour cette entité.

  11. Cliquez sur Enregistrer.

    L’entité s’affiche sur le tableau Entités PKI.

Liste de révocation de certificats (CRL) NetScaler

XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, XenMobile utilise NetScaler pour gérer la révocation.

Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous avez besoin de configurer le paramètre Liste de révocation de certificats (CRL) NetScaler, Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil.

XenMobile émet un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

Autorités de certification discrétionnaires

Une autorité de certification discrétionnaire est créée lorsque vous fournissez un certificat d’autorité de certification et la clé privée qui lui est associée à XenMobile. XenMobile gère l’émission, la révocation et les informations d’état en interne des certificats, selon les paramètres que vous spécifiez.

Lorsque vous configurez une autorité de certification discrétionnaire, vous pouvez activer la prise en charge du protocole OCSP pour cette autorité de certification. Si, et uniquement si vous activez la prise en charge du protocole OCSP, l’autorité de certification ajoute une extension id-pe-authorityInfoAccess aux certificats qu’elle émet. L’extension pointe vers le répondeur OCSP interne de XenMobile à l’emplacement suivant :

https://<server>/<instance>/ocsp

Lors de la configuration du service OCSP, spécifiez un certificat de signature OCSP pour l’entité discrétionnaire en question. Vous pouvez utiliser le certificat d’autorité de certification lui-même en tant que signataire. Pour éviter la divulgation inutile de la clé privée de votre autorité de certification (recommandé), créez un certificat de signature OCSP délégué, signé par le certificat d’autorité de certification et incluez l’extension suivante : id-kp-OCSPSigning extendedKeyUsage.

Le service du répondeur OCSP de XenMobile prend en charge les réponses OCSP de base et les algorithmes de hash suivants utilisés dans les requêtes :

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Les réponses sont signées avec SHA-256 et l’algorithme de clé du certificat de signature (DSA, RSA ou ECDSA).

Ajouter des autorités de certification discrétionnaires

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Plus > Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu des types d’entité PKI s’affiche.

  3. Cliquez sur CA discrétionnaire.

    La page CA discrétionnaire : informations générales s’affiche.

  4. Sur la page CA discrétionnaire : informations générales, procédez comme suit :

    • Nom : entrez un nom descriptif pour la CA discrétionnaire.
    • Certificat CA utilisé pour signer les demandes de certificat : cliquez sur un certificat pour la CA discrétionnaire à utiliser pour signer les demandes de certificats.

      Cette liste de certificats est générée à partir des certificats CA avec des clés privées que vous avez chargées sur XenMobile dans Configure > Paramètres > Certificats.

  5. Cliquez sur Suivant.

    La page CA discrétionnaire : paramètres s’affiche.

  6. Sur la page CA discrétionnaire : paramètres, procédez comme suit :

    • Générateur de numéro de série : la CA discrétionnaire génère des numéros de série pour les certificats qu’elle émet. Dans cette liste, cliquez sur Séquentiel ou Non-séquentiel pour déterminer comment les numéros sont générés.
    • Numéro de série suivant : entrez une valeur pour déterminer le numéro suivant émis.
    • Certificat valide pour : entrez le nombre de jours pendant lesquels le certificat est valide.
    • Utilisation de la clé : identifiez la fonction des certificats émis par l’autorité de certification discrétionnaire en définissant les clés appropriées sur On. Une fois cette option définie, l’autorité de certification peut uniquement émettre des certificats aux fins susmentionnées.
    • Utilisation de clé étendue : pour ajouter d’autres paramètres, cliquez sur Ajouter, entrez le nom de clé, puis cliquez sur Enregistrer.
  7. Cliquez sur Suivant.

    La page CA discrétionnaire : distribution s’affiche.

  8. Sur la page CA discrétionnaire : distribution, sélectionnez un mode de distribution :

    • Centralisé : génération de la clé sur le serveur. Citrix recommande l’option centralisée. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
    • Distribué : génération de la clé sur l’appareil. Les clés privées sont générées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec l’extension keyUsage keyEncryption et un certificat de signature RA avec l’extension keyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
  9. Cliquez sur Suivant.

    La page CA discrétionnaire : protocole OCSP s’affiche.

    Sur la page CA discrétionnaire : protocole OCSP, procédez comme suit :

    • Si vous souhaitez ajouter une extension AuthorityInfoAccess (RFC2459) pour les certificats signés par cette autorité de certification, définissez Activer le support d’OCSP pour cette CA sur On. Cette extension pointe vers le répondeur OCSP de l’autorité de certification sur https://<server>/<instance>/ocsp.
    • Si vous avez activé la prise en charge du protocole OCSP, sélectionnez un certificat d’autorité de certification de signature OSCP. Cette liste de certificats est générée à partir des certificats d’autorité de certification que vous avez chargés sur XenMobile.
  10. Cliquez sur Enregistrer.

    L’autorité de certification discrétionnaire s’affiche sur le tableau Entités PKI.