Documentation produit
Serveur XenMobile®
Voir PDF

Entités PKI

April 16, 2026
Contributeur: 
C C

Une configuration d’entité d’infrastructure à clé publique (PKI) XenMobile® représente un composant effectuant des opérations PKI réelles (émission, révocation et informations d’état). Ces composants sont soit internes, soit externes à XenMobile. Les composants internes sont appelés discrétionnaires. Les composants externes font partie de votre infrastructure d’entreprise.

XenMobile prend en charge les types d’entités PKI suivants :

  • Services de certificats Microsoft

  • Autorités de certification (CA) discrétionnaires

XenMobile prend en charge les serveurs CA suivants :

  • Windows Server 2019
  • Windows Server 2016

Remarque :

Les serveurs Windows 2012 R2, 2012 et 2008 R2 ne sont plus pris en charge car ils ont atteint leur fin de vie. Pour plus d’informations, consultez la documentation sur le cycle de vie des produits Microsoft.

Concepts PKI courants

Quel que soit son type, chaque entité PKI possède un sous-ensemble des capacités suivantes :

  • Signature : Émission d’un nouveau certificat, basé sur une demande de signature de certificat (CSR).
  • Récupération : Récupération d’un certificat et d’une paire de clés existants.
  • Révocation : Révocation d’un certificat client.

À propos des certificats CA

Lorsque vous configurez une entité PKI, indiquez à XenMobile quel certificat CA est le signataire des certificats émis par (ou récupérés auprès de) cette entité. Cette entité PKI peut renvoyer des certificats (récupérés ou nouvellement signés) signés par un nombre quelconque de CA différentes.

Fournissez le certificat de chacune de ces CA dans le cadre de la configuration de l’entité PKI. Pour ce faire, téléchargez les certificats vers XenMobile, puis référencez-les dans l’entité PKI. Pour les CA discrétionnaires, le certificat est implicitement le certificat CA de signature. Pour les entités externes, vous devez spécifier le certificat manuellement.

Important :

Lorsque vous créez un modèle d’entité de services de certificats Microsoft, évitez les problèmes d’authentification possibles avec les appareils inscrits : n’utilisez pas de caractères spéciaux dans le nom du modèle. Par exemple, n’utilisez pas : ! : $ ( ) # % + * ~ ? | { } [ ]

Services de certificats Microsoft

XenMobile s’interface avec les services de certificats Microsoft via son interface d’inscription Web. XenMobile ne prend en charge l’émission de nouveaux certificats que via cette interface. Si la CA Microsoft génère un certificat utilisateur Citrix Gateway, Citrix Gateway prend en charge le renouvellement et la révocation de ces certificats.

Pour créer une entité PKI CA Microsoft dans XenMobile, vous devez spécifier l’URL de base de l’interface Web des services de certificats. Si vous le souhaitez, utilisez l’authentification client SSL pour sécuriser la connexion entre XenMobile et l’interface Web des services de certificats.

Ajouter une entité de services de certificats Microsoft

  1. Dans la console XenMobile, cliquez sur l’icône en forme d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu de types d’entités PKI apparaît.

  3. Cliquez sur Entité de services de certificats Microsoft.

    La page Entité de services de certificats Microsoft : Informations générales apparaît.

  4. Sur la page Entité de services de certificats Microsoft : Informations générales, configurez les paramètres suivants :

    • Nom : Saisissez un nom pour votre nouvelle entité, que vous utiliserez ultérieurement pour y faire référence. Les noms d’entité doivent être uniques.
    • URL racine du service d’inscription Web : Saisissez l’URL de base de votre service d’inscription Web CA Microsoft ; par exemple, https://192.0.2.13/certsrv/. L’URL peut utiliser HTTP simple ou HTTP sur SSL.
    • Nom de la page certnew.cer : Le nom de la page certnew.cer. Utilisez le nom par défaut, sauf si vous l’avez renommé pour une raison quelconque.
    • certfnsh.asp : Le nom de la page certfnsh.asp. Utilisez le nom par défaut, sauf si vous l’avez renommé pour une raison quelconque.
    • Type d’authentification : Choisissez la méthode d’authentification que vous souhaitez utiliser.
      • Aucun
      • HTTP Basic : Saisissez le nom d’utilisateur et le mot de passe requis pour la connexion.
      • Certificat client : Choisissez le certificat client SSL correct.

  5. Cliquez sur Tester la connexion pour vous assurer que le serveur est accessible. S’il n’est pas accessible, un message apparaît, indiquant que la connexion a échoué. Vérifiez vos paramètres de configuration.

  6. Cliquez sur Suivant.

    La page Entité de services de certificats Microsoft : Modèles apparaît. Sur cette page, vous spécifiez les noms internes des modèles pris en charge par votre CA Microsoft. Lors de la création de fournisseurs d’informations d’identification, vous sélectionnez un modèle dans la liste définie ici. Chaque fournisseur d’informations d’identification utilisant cette entité utilise exactement un tel modèle.

    Pour les exigences relatives aux modèles de services de certificats Microsoft, consultez la documentation Microsoft pour votre version de Microsoft Server. XenMobile n’a pas d’exigences pour les certificats qu’il distribue autres que les formats de certificat notés dans Certificats.

  7. Sur la page Entité de services de certificats Microsoft : Modèles, cliquez sur Ajouter, saisissez le nom du modèle, puis cliquez sur Enregistrer. Répétez cette étape pour chaque modèle que vous souhaitez ajouter.

  8. Cliquez sur Suivant.

    La page Entité de services de certificats Microsoft : Paramètres HTTP apparaît. Sur cette page, vous spécifiez des paramètres personnalisés que XenMobile doit ajouter à la requête HTTP vers l’interface d’inscription Web Microsoft. Les paramètres personnalisés ne sont utiles que pour les scripts personnalisés exécutés sur la CA.

  9. Sur la page Entité de services de certificats Microsoft : Paramètres HTTP, cliquez sur Ajouter, saisissez le nom et la valeur des paramètres HTTP que vous souhaitez ajouter, puis cliquez sur Suivant.

    La page Entité de services de certificats Microsoft : Certificats CA apparaît. Sur cette page, vous devez informer XenMobile des signataires des certificats que le système obtient via cette entité. Lorsque votre certificat CA est renouvelé, mettez-le à jour dans XenMobile. XenMobile applique la modification à l’entité de manière transparente.

  10. Sur la page Entité de services de certificats Microsoft : Certificats CA, sélectionnez les certificats que vous souhaitez utiliser pour cette entité.

  11. Cliquez sur Enregistrer.

    L’entité apparaît dans le tableau Entités PKI.

Liste de révocation de certificats (CRL) Citrix ADC

XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une CA Microsoft, XenMobile utilise Citrix ADC pour gérer la révocation.

Lorsque vous configurez l’authentification basée sur les certificats clients, déterminez si vous devez configurer le paramètre de liste de révocation de certificats (CRL) Citrix ADC Activer l’actualisation automatique de la CRL. Cette étape garantit que l’utilisateur d’un appareil en mode MAM uniquement ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil.

XenMobile réémet un nouveau certificat, car il ne restreint pas un utilisateur de générer un certificat utilisateur après qu’un certificat a été révoqué. Ce paramètre augmente la sécurité des entités PKI lorsque la CRL vérifie les entités PKI expirées.

CA discrétionnaires

Une CA discrétionnaire est créée lorsque vous fournissez à XenMobile un certificat CA et la clé privée associée. XenMobile gère l’émission, la révocation et les informations d’état des certificats en interne, selon les paramètres que vous spécifiez.

Lors de la configuration d’une CA discrétionnaire, vous pouvez activer la prise en charge du protocole OCSP (Online Certificate Status Protocol) pour cette CA. Si et seulement si vous activez la prise en charge OCSP, la CA ajoute l’extension id-pe-authorityInfoAccess aux certificats qu’elle émet. L’extension pointe vers le répondeur OCSP interne de XenMobile à l’emplacement suivant :

https://<server>/<instance>/ocsp

Lors de la configuration du service OCSP, spécifiez un certificat de signature OCSP pour l’entité discrétionnaire en question. Vous pouvez utiliser le certificat CA lui-même comme signataire. Pour éviter l’exposition inutile de votre clé privée CA (recommandé) : Créez un certificat de signature OCSP délégué, signé par le certificat CA, et incluez cette extension : id-kp-OCSPSigning extendedKeyUsage.

Le service de répondeur OCSP XenMobile prend en charge les réponses OCSP de base et les algorithmes de hachage suivants dans les requêtes :

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Les réponses sont signées avec SHA-256 et l’algorithme de clé du certificat de signature (DSA, RSA ou ECDSA).

Ajouter des CA discrétionnaires

  1. Dans la console XenMobile, cliquez sur l’icône en forme d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Plus > Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu de types d’entités PKI apparaît.

  3. Cliquez sur CA discrétionnaire.

    La page CA discrétionnaire : Informations générales apparaît.

  4. Sur la page CA discrétionnaire : Informations générales, procédez comme suit :

    • Nom : Saisissez un nom descriptif pour la CA discrétionnaire.

    • Certificat CA pour signer les demandes de certificat : Cliquez sur un certificat que la CA discrétionnaire doit utiliser pour signer les demandes de certificat.

      Cette liste de certificats est générée à partir des certificats CA avec des clés privées que vous avez téléchargés dans XenMobile sous Configurer > Paramètres > Certificats.

  5. Cliquez sur Suivant.

    La page CA discrétionnaire : Paramètres apparaît.

  6. Sur la page CA discrétionnaire : Paramètres, procédez comme suit :

    • Générateur de numéros de série : La CA discrétionnaire génère des numéros de série pour les certificats qu’elle émet. Dans cette liste, cliquez sur Séquentiel ou Non séquentiel pour déterminer comment les numéros sont générés.
    • Prochain numéro de série : Saisissez une valeur pour déterminer le prochain numéro émis.
    • Certificat valide pour : Saisissez le nombre de jours pendant lesquels le certificat est valide.
    • Utilisation de la clé : Identifiez l’objectif des certificats émis par la CA discrétionnaire en activant les clés appropriées sur Activé. Une fois défini, la CA est limitée à l’émission de certificats à ces fins.
    • Utilisation étendue de la clé : Pour ajouter d’autres paramètres, cliquez sur Ajouter, saisissez le nom de la clé, puis cliquez sur Enregistrer.

  7. Cliquez sur Suivant.

    La page CA discrétionnaire : Distribution apparaît.

  8. Sur la page CA discrétionnaire : Distribution, sélectionnez un mode de distribution :

    • Centralisé : génération de clé côté serveur. Citrix recommande l’option centralisée. Les clés privées sont générées et stockées sur le serveur et distribuées aux appareils des utilisateurs.
    • Distribué : génération de clé côté appareil. Les clés privées sont générées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et nécessite un certificat de chiffrement RA avec l’extension keyUsage keyEncryption et un certificat de signature RA avec l’extension keyUsage digitalSignature. Le même certificat peut être utilisé à la fois pour le chiffrement et la signature.

  9. Cliquez sur Suivant.

    La page CA discrétionnaire : Online Certificate Status Protocol (OCSP) apparaît.

    Sur la page CA discrétionnaire : Online Certificate Status Protocol (OCSP), procédez comme suit :

    • Si vous souhaitez ajouter une extension AuthorityInfoAccess (RFC2459) aux certificats signés par cette CA, activez la prise en charge OCSP pour cette CA sur Activé. Cette extension pointe vers le répondeur OCSP de la CA à l’adresse https://<server>/<instance>/ocsp.
    • Si vous avez activé la prise en charge OCSP, sélectionnez un certificat CA de signature OCSP. Cette liste de certificats est générée à partir des certificats CA que vous avez téléchargés vers XenMobile.

  10. Cliquez sur Enregistrer.

    La CA discrétionnaire apparaît dans le tableau Entités PKI.

Entités PKI
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.