Product Documentation

Authentification certificat client ou certificat + domaine

21 février 2018

La configuration par défaut pour XenMobile est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement XenMobile, vous pouvez utiliser l’authentification basée sur certificats. Dans l’environnement XenMobile, cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur. L’authentification par certificat plus domaine offre les meilleures possibilités d’authentification unique associées à la sécurité fournie par l’authentification à deux facteurs sur NetScaler.

Pour une utilisabilité optimale, vous pouvez combiner l’authentification par certificat plus domaine avec le code PIN Citrix et la mise en cache du mot de passe Active Directory. Dans ce cas, les utilisateurs n’ont pas à entrer leurs noms d’utilisateur et mots de passe LDAP à plusieurs reprises. Les utilisateurs doivent entrer leurs noms et mots de passe lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.

Important :

XenMobile ne prend pas en charge le passage du mode d’authentification, de l’authentification de domaine à un autre mode d’authentification, après que les utilisateurs ont inscrit des appareils dans XenMobile.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de XenMobile. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par XenMobile. Une fois qu’un utilisateur a accès, XenMobile crée et déploie le certificat utilisé ensuite pour s’authentifier auprès de l’environnement XenMobile.

Vous pouvez utiliser l’assistant NetScaler pour XenMobile pour procéder à la configuration requise pour XenMobile lors de l’utilisation de l’authentification par certificat NetScaler ou certificat + domaine. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Dans les environnements hautement sécurisés, l’utilisation d’informations d’identification LDAP en dehors d’une organisation dans des réseaux publics ou non sécurisés est considérée comme une menace de sécurité majeure pour l’entreprise. Pour les environnements hautement sécurisés, il est possible d’opter pour l’authentification à deux facteurs à l’aide d’un certificat client et d’un jeton de sécurité. Pour de plus amples informations, consultez la section Configuration de XenMobile pour l’authentification par certificat et jeton de sécurité.

L’authentification du certificat client est disponible pour le mode XenMobile MAM (MAM exclusif) et le mode ENT (lorsque les utilisateurs s’inscrivent dans MDM). L’authentification du certificat client n’est pas disponible pour le mode XenMobile ENT lorsque les utilisateurs s’inscrivent dans l’ancien mode MAM. Pour utiliser l’authentification du certificat client dans les modes XenMobile ENT et MAM, vous devez configurer le serveur Microsoft, XenMobile Server et NetScaler Gateway. Suivez ces étapes générales, décrites dans cet article.

Sur le serveur Microsoft :

  1. Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console.
  2. Ajoutez le modèle à l’autorité de certification (CA).
  3. Créez un certificat PFX depuis le serveur CA.

Sur XenMobile Server :

  1. Chargez le certificat sur XenMobile.
  2. Créez l’entité PKI pour l’authentification par certificat.
  3. Configurez les fournisseurs d’informations d’identification.
  4. Configurez NetScaler Gateway afin de fournir un certificat utilisateur pour l’authentification.

Sur NetScaler Gateway, effectuez la configuration indiquée dans la documentation relative à NetScaler Gateway.

Conditions préalables

  • Lorsque vous créez un modèle d’entité Services de certificats Microsoft, évitez les problèmes d’authentification possibles avec des appareils inscrits, en n’utilisant pas de caractères spéciaux. Par exemple, n’utilisez pas ces caractères dans le nom du modèle : : ! $ () # % + * ~ ? | {} []

  • Pour les appareils Windows Phone 8.1 utilisant l’authentification du certificat et le déchargement SSL, désactivez la réutilisation de session SSL pour le port 443 sur les serveurs virtuels d’équilibrage de charge dans NetScaler. Pour ce faire, exécutez la commande suivante sur les serveurs virtuels pour le port 443 :

    set ssl vserver <ssl lb vserver> sessReuse DISABLE

    La désactivation de la réutilisation de la session SSL désactive certaines des optimisations fournies par NetScaler, ce qui peut entraîner une diminution des performances sur NetScaler.

  • Pour configurer l’authentification basée sur certificat pour Exchange ActiveSync, consultez le blog de Microsoft.
  • Si vous utilisez des certificats de serveur privé pour sécuriser le trafic ActiveSync avec le serveur Exchange, assurez-vous que tous les certificats racine et intermédiaires ont été installés sur les appareils mobiles. Sinon, l’authentification basée sur certificat échoue lors de la configuration de la boîte aux lettres dans Secure Mail. Dans la console Exchange IIS, vous devez :
    • Ajouter un site Web à utiliser par XenMobile avec Exchange et lier le certificat de serveur Web.
    • Utiliser le port 9443.
    • Pour ce site Web, vous devez ajouter deux applications, une pour « Microsoft-Server-ActiveSync » et une pour « EWS ». Pour ces deux applications, sous Paramètres SSL, sélectionnez Exiger SSL.

Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console

  1. Ouvrez la console et cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  2. Ajoutez les composants logiciels enfichables suivants :

    • Modèles de certificats
    • Certificats (ordinateur local)
    • Certificats - Utilisateur actuel
    • Autorité de certification (locale)

    Image de la console Microsoft Management Console

  3. Développez Modèles de certificats.

    Image de la console Microsoft Management Console

  4. Sélectionnez le modèle Utilisateur et Dupliquer le modèle.

    Image de la console Microsoft Management Console

  5. Fournissez le nom du modèle.

    Important :

    Sélectionnez la case Publier le certificat dans Active Directory uniquement si nécessaire. Si cette option est sélectionnée, tous les certificats client utilisateur sont créés dans Active Directory, ce qui pourrait encombrer votre base de données Active Directory.

  6. Sélectionnez Windows 2003 Server comme type de modèle. Dans Windows 2012 R2 Server, sous Compatibilité, sélectionnez Autorité de certification et définissez le destinataire en tant que Windows 2003.

  7. Sous Sécurité, sélectionnez l’option Inscrire dans la colonne Autoriser pour les utilisateurs authentifiés.

    Image de la console Microsoft Management Console

  8. Sous Cryptographie, assurez-vous de fournir la taille de la clé. Vous entrerez plus tard la taille de la clé lors de la configuration de XenMobile.

    Image de la console Microsoft Management Console

  9. Sous Nom du sujet, sélectionnez Fournir dans la demande. Appliquez les modifications et enregistrez.

    Image de la console Microsoft Management Console

Ajout du modèle à l’autorité de certification (CA)

  1. Accédez à Autorité de certification et sélectionnez Modèles de certificats.

  2. Cliquez avec le bouton droit dans le panneau de droite et sélectionnez Nouveau > Modèle de certificat à délivrer.

    Image de la console Microsoft Management Console

  3. Sélectionnez le modèle que vous avez créé à l’étape précédente et cliquez sur OK pour l’ajouter à l’autorité de certification.

    Image de la console Microsoft Management Console

Création d’un certificat PFX depuis le serveur CA

  1. Créez un certificat utilisateur .pfx à l’aide du compte de service avec lequel vous vous êtes connecté. Ce fichier .pfx est chargé dans XenMobile, qui demande ensuite un certificat utilisateur de la part des utilisateurs qui inscrivent leurs appareils.

  2. Sous Utilisateur actuel, développez Certificats.

  3. Cliquez avec le bouton droit dans le panneau de droite et cliquez sur Demander un nouveau certificat.

    Image de la console Microsoft Management Console

  4. L’écran Inscription de certificats s’affiche. Cliquez sur Suivant.

    Image de la console Microsoft Management Console

  5. Sélectionnez Stratégie d’inscription à Active Directory et cliquez sur Suivant.

    Image de la console Microsoft Management Console

  6. Sélectionnez le modèle Utilisateur et cliquez sur Inscrire.

    Image de la console Microsoft Management Console

  7. Exportez le fichier .pfx que vous avez créé à l’étape précédente.

    Image de la console Microsoft Management Console

  8. Cliquez sur Oui, exporter la clé privée.

    Image de la console Microsoft Management Console

  9. Sélectionnez Si possible inclure tous les certificats dans le chemin d’accès de certification si possible et la case Exporter toutes les propriétés étendues.

    Image de la console Microsoft Management Console

  10. Définissez un mot de passe que vous utiliserez lors du chargement de ce certificat dans XenMobile.

    Image de la console Microsoft Management Console

  11. Enregistrez le certificat sur votre disque dur.

Chargement du certificat sur XenMobile

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Cliquez sur Certificats et sur Importer.

  3. Entrez les paramètres suivants :

    • Importer : Keystore
    • Type de keystore : PKCS # 12
    • Utiliser en tant que : Serveur
    • Fichier de keystore : cliquez sur Parcourir pour sélectionner le certificat .pfx que vous venez de créer.
    • Mot de passe : entrez le mot de passe que vous avez créé pour ce certificat.

    Image de l'écran de configuration des certificats

  4. Cliquez sur Importer.

  5. Vérifiez que le certificat a été installé correctement. Un certificat correctement installé s’affiche en tant que certificat utilisateur.

Création de l’entité PKI pour l’authentification par certificat

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Entités PKI.

  2. Cliquez sur Ajouter et sur Entité Services de certificats Microsoft. La page Entité Services de certificats Microsoft : informations générales s’affiche.

  3. Entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • URL racine du service d’inscription Web : https://RootCA-URL/certsrv/ (N’oubliez pas d’ajouter la dernière barre oblique (/) dans l’URL.)
    • Nom de page certnew.cer : certnew.cer (valeur par défaut)
    • certfnsh.asp : certfnsh.asp (valeur par défaut)
    • Type d’authentification : certificat client
    • Certificat SSL : sélectionnez le certificat utilisateur à utiliser pour émettre le certificat client XenMobile.

    Image de l'écran de configuration des certificats

  4. Sous Modèles, ajoutez le modèle que vous avez créé lors de la configuration du certificat Microsoft. N’ajoutez pas d’espaces.

    Image de l'écran de configuration des certificats

  5. Ignorez les paramètres HTTP et cliquez sur Certificats CA.

  6. Sélectionnez le nom de l’autorité de certification racine qui correspond à votre environnement. L’autorité de certification racine fait partie de la chaîne importée depuis le certificat client XenMobile.

    Image de l'écran de configuration des certificats

  7. Cliquez sur Enregistrer.

Configuration des fournisseurs d’identités

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Fournisseurs d’identités.

  2. Cliquez sur Ajouter.

  3. Sous Général, entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • Description : entrez une description quelconque.
    • Entité émettrice : sélectionnez l’entité PKI créée précédemment.
    • Méthode d’émission : SIGNER
    • Modèles : sélectionnez le modèle ajouté sous l’entité PKI.

    Image de l'écran de configuration Fournisseurs d'identités

  4. Cliquez sur Demande de signature de certificat et entrez les paramètres suivants :

    • Algorithme de clé : RSA
    • Taille de la clé : 2048
    • Algorithme de signature : SHA1withRSA
    • Nom du sujet : cn=$user.username

    Pour Noms de sujet alternatifs, cliquez sur Ajouter et entrez les paramètres suivants :

    • Type : nom principal de l’utilisateur
    • Valeur : $user.userprincipalname

    Image de l'écran de configuration Fournisseurs d'identités

  5. Cliquez sur Distribution et entrez les paramètres suivants :

    • Certificat émis par l’autorité de certification : sélectionnez l’autorité de certification émettrice qui a signé le certificat client XenMobile.
    • Sélectionner le mode de distribution : sélectionnez Préférer mode centralisé : génération de la clé sur le serveur.

    Image de l'écran de configuration Fournisseurs d'identités

  6. Pour les deux prochaines sections – Révocation XenMobile et Révocation PKI – définissez les paramètres comme vous le souhaitez. Dans cet exemple, les deux options sont ignorées.

  7. Cliquez sur Renouvellement.

  8. Pour Renouveler les certificats lorsqu’ils expirent, sélectionnez Activé.

  9. Laissez tous les autres paramètres par défaut ou modifiez-les comme vous le souhaitez.

    Image de l'écran de configuration Fournisseurs d'identités

  10. Cliquez sur Enregistrer.

Configuration de Secure Mail pour utiliser l’authentification basée sur certificat

Lorsque vous ajoutez Secure Mail à XenMobile, n’oubliez pas de configurer les paramètres Exchange sous Paramètres applicatifs.

Image de l'écran de configuration Applications

Configuration de la remise de certificats NetScaler dans XenMobile

  1. Connectez-vous à la console XenMobile et cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Sous Serveur, cliquez sur NetScaler Gateway.

  3. Si NetScaler Gateway n’est pas déjà ajouté, cliquez sur Ajouter et spécifiez les paramètres :

    • URL externe : https://YourNetScalerGatewayURL
    • Type d’ouverture de session : Certificat
    • Mot de passe requis : DÉSACTIVÉ
    • Définir par défaut : ACTIVÉ
  4. Pour Délivrer un certificat utilisateur pour l’authentification, sélectionnez Activé.

    Image de l'écran de configuration de NetScaler Gateway

  5. Pour Fournisseur d’identités, sélectionnez un fournisseur et cliquez sur Enregistrer.

  6. Pour utiliser des attributs sAMAccount dans les certificats utilisateur comme une alternative au nom d’utilisateur principal (UPN), configurez le connecteur LDAP dans XenMobile comme suit : accédez à Paramètres > LDAP, sélectionnez le répertoire et cliquez sur Modifier, puis sélectionnez sAMAccountName dans Recherche utilisateur par.

    Image de l'écran de configuration LDAP

Activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur

Pour activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur, accédez à Paramètres > Propriétés du client et sélectionnez ces cases : Activer l’authentification par code PIN Citrix et Activer la mise en cache du mot de passe de l’utilisateur. Pour de plus amples informations, consultez la section Propriétés du client.

Création d’une stratégie d’hub d’entreprise pour Windows Phone

Pour les appareils Windows Phone, vous devez créer une stratégie d’hub d’entreprise pour délivrer le fichier AETX et le client Secure Hub.

Remarque :

Assurez-vous que les fichiers AETX et Secure Hub utilisent tous les deux :

  • le même certificat d’entreprise du fournisseur de certificat
  • le même ID d’éditeur depuis le compte développeur Windows Store
  1. Dans la console XenMobile, cliquez sur Configurer > Stratégies d’appareil.

  2. Cliquez sur Ajouter, puis, sous Plus > Agent XenMobile, cliquez sur Hub d’entreprise.

  3. Après avoir attribué un nom à la stratégie, sélectionnez le fichier .AETX correct et l’application Secure Hub signée pour le hub d’entreprise.

    Image de l'écran de configuration Stratégies d'appareil

  4. Attribuez la stratégie à des groupes de mise à disposition et enregistrez-la.

Résolution des problèmes de configuration du certificat client

Une fois la configuration précédente et la configuration NetScaler Gateway effectuées avec succès, le workflow de l’utilisateur est le suivant :

  1. Les utilisateurs inscrivent leurs appareils mobiles.

  2. XenMobile invite les utilisateurs à créer un code PIN Citrix.

  3. Les utilisateurs sont redirigés vers XenMobile Store.

  4. Lorsque les utilisateurs démarrent Secure Mail, XenMobile ne les invite pas à entrer d’informations d’identification afin de configurer leurs boîtes aux lettres. Au lieu de cela, Secure Mail demande le certificat client de Secure Hub et l’envoie à Microsoft Exchange Server pour authentification. Si XenMobile invite les utilisateurs à entrer des informations d’identification lorsqu’ils démarrent Secure Mail, vérifiez votre configuration.

Si les utilisateurs peuvent télécharger et installer Secure Mail, mais que Secure Mail ne termine pas la configuration durant la configuration de la boîte aux lettres :

  1. Si Microsoft Exchange Server ActiveSync utilise des certificats de serveur SSL privé pour sécuriser le trafic, vérifiez que les certificats racine/intermédiaire sont installés sur l’appareil mobile.

  2. Vérifiez que le type d’authentification sélectionné pour ActiveSync est Exiger les certificats clients.

    Image de l'écran des propriétés de Microsoft ActiveSync

  3. Sur Microsoft Exchange Server, sélectionnez le site Microsoft-Server-ActiveSync pour vérifier que l’authentification par mappage de certificat client est activée. Par défaut, l’authentification par mappage de certificat client est désactivée. L’option figure sous Éditeur de configuration > Sécurité > Authentification.

    Image de l'écran de configuration de Microsoft ActiveSync

    Après avoir sélectionné Vrai, cliquez sur Appliquer pour que les modifications prennent effet.

  4. Vérifiez les paramètres de NetScaler Gateway dans la console XenMobile : assurez-vous que Délivrer un certificat utilisateur pour l’authentification est réglé sur ACTIVÉ, que le profil correct est sélectionné pour Fournisseur d’identités.

Pour déterminer si le certificat client a été délivré à un appareil mobile

  1. Dans la console XenMobile, accédez à Gérer > Appareils et sélectionnez l’appareil.

  2. Cliquez sur Modifier ou Afficher plus.

  3. Accédez à la section Groupes de mise à disposition et recherchez cette entrée :

    Informations d’identification NetScaler Gateway : Requested credential, CertId=

Pour vérifier si la négociation du certificat client est activée

  1. Exécutez cette commande netsh pour afficher la configuration du certificat SSL qui est liée sur le site Web IIS :

    netsh http show sslcert

  2. Si la valeur Négocier le certificat client est désactivée, exécutez la commande suivante pour l’activer :

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Par exemple :

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si vous ne pouvez pas délivrer de certificats racine/intermédiaire à un appareil Windows Phone 8.1 via XenMobile :

  • Envoyez des fichiers de certificats racine/intermédiaire (.cer) par e-mail à l’appareil Windows Phone 8.1 et installez-les directement.

Si Secure Mail n’est pas installé correctement sur Windows Phone 8.1, vérifiez les points suivants :

  • Le fichier de jeton d’inscription d’application (.AETX) est délivré via XenMobile à l’aide de la stratégie d’hub d’entreprise.
  • Le jeton d’inscription d’application a été créé à l’aide du même certificat d’entreprise que celui du fournisseur de certificats utilisé pour wrapper Secure Mail et signer les applications Secure Hub.
  • Le même ID d’éditeur est utilisé pour signer et wrapper Secure Hub, Secure Mail et le jeton d’inscription d’application.