Product Documentation

Fournisseurs d’identités

21 février 2018

Les fournisseurs d’identités sont les configurations de certificat réelles que vous utilisez dans différentes parties du système XenMobile. Les fournisseurs d’informations d’identification définissent les sources, les paramètres et les cycles de vie de vos certificats. Ces opérations se produisent que les certificats fassent partie des configurations de l’appareil ou soient autonomes (c’est-à-dire, envoyés tels quels sur l’appareil).

L’inscription d’appareil limite le cycle de vie du certificat. En effet, XenMobile ne délivre pas de certificats avant l’inscription, bien qu’il puisse en émettre certains dans le cadre de l’inscription. En outre, les certificats émis par la PKI interne dans le cadre d’une inscription sont révoqués lorsque l’inscription est révoquée. Après la fin de la relation de gestion, aucun certificat valide n’est conservé.

Une configuration de fournisseur d’identités peut être utilisée à plusieurs endroits, par conséquent une configuration peut régir un grand nombre de certificats simultanément. L’unité existe alors sur la ressource de déploiement et le déploiement. Par exemple, si le fournisseur d’identités P est déployé sur l’appareil D dans le cadre de la configuration C : les paramètres d’émission pour P déterminent le certificat qui est déployé sur D. De même, les paramètres de renouvellement pour D s’appliquent lorsque C est mis à jour. Les paramètres de révocation pour D s’appliquent également lorsque C est supprimé ou que D est révoqué.

Selon ces règles, la configuration du fournisseur d’identités détermine ce qui suit dans XenMobile :

  • La source des certificats.
  • La méthode grâce à laquelle les certificats sont obtenus : signature d’un nouveau certificat ou récupération d’un certificat existant et d’une paire de clés.
  • Les paramètres d’émission ou de récupération. Par exemple, les paramètres de demande de signature de certificat (CSR), tels que la taille de la clé, l’algorithme de clé et les extensions de certificat.
  • La façon dont les certificats sont mis à disposition sur l’appareil.
  • Les conditions de révocation. Bien que tous les certificats soient révoqués dans XenMobile lorsque la relation de gestion est rompue, la configuration peut spécifier une révocation antérieure. Par exemple, la configuration peut spécifier de révoquer un certificat lorsque la configuration d’appareil associée est supprimée. En outre, dans certaines conditions, il se peut que la révocation du certificat associé dans XenMobile puisse être envoyée à l’infrastructure interne à clé publique (PKI) principale. Autrement dit, la révocation de certificats dans XenMobile peut entraîner la révocation de certificats sur la PKI.
  • Les paramètres de renouvellement. Les certificats obtenus via un fournisseur d’informations d’identification donné peuvent être automatiquement renouvelés lorsqu’ils arrivent à expiration. Ou, des notifications peuvent être émises lorsque cette expiration approche.

La disponibilité des options de configuration dépend principalement du type d’entité PKI et de la méthode d’émission que vous sélectionnez pour un fournisseur d’identités.

Méthodes d’émission de certificats

Vous pouvez obtenir un certificat, désigné comme méthodes d’émission de deux manières différentes :

  • Signer : avec cette méthode, l’émission implique la création d’une nouvelle clé privée, la création d’une demande de signature de certificat (CSR) et la soumission de la demande de signature de certificat à une autorité de certification (CA) pour signature. XenMobile prend en charge la méthode de signature des trois entités PKI (Entité Services de certificats Microsoft, PKI générique et CA discrétionnaire).
  • Récupérer : dans le cadre de XenMobile, cette méthode implique la récupération d’une paire de clés. XenMobile prend en charge la méthode de récupération uniquement pour l’entité PKI générique.

Un fournisseur d’identités utilise l’une ou l’autre de ces deux méthodes d’émission. La méthode sélectionnée affecte les options de configuration disponibles. Notamment, la configuration CSR et la mise à disposition distribuée sont uniquement disponibles si la méthode d’émission est la signature. Un certificat de récupération est toujours envoyé à l’appareil au format PKCS #12, ce qui correspond à une méthode de mise à disposition centralisée pour la méthode de signature.

Mise à disposition de certificats

Deux modes de mise à disposition de certificats sont disponibles dans XenMobile : centralisée et distribuée. Le mode Distribué utilise le protocole d’inscription du certificat simple (SCEP) et est uniquement disponible dans les situations dans lesquelles le client prend en charge le protocole (iOS uniquement). Le mode distribué est obligatoire dans certains cas.

Pour qu’un fournisseur d’identités prenne en charge la mise à disposition (assisté par SCEP) distribuée, une étape de configuration spéciale est nécessaire : configuration des certificats de l’autorité d’inscription (RA). Les certificats RA sont requis, car lors de l’utilisation du protocole SCEP, XenMobile agit comme un délégué (registre) pour l’autorité de certification réelle. XenMobile doit prouver au client qu’il dispose de l’autorité d’agir en tant que tel. Cette autorité est établie par le chargement vers XenMobile des certificats mentionnés plus haut.

Deux rôles de certificat distincts sont requis (bien qu’un seul certificat puisse remplir les deux rôles) : la signature RA et le chiffrement RA. Les contraintes pour ces rôles sont les suivantes :

  • Le certificat de signature RA doit posséder une signature numérique d’utilisation de clé X.509.
  • Le certificat de chiffrement RA doit posséder un chiffrement de clé d’utilisation de clé X.509.

Pour configurer les certificats RA du fournisseur d’identités, vous devez charger les certificats sur XenMobile, puis les associer au fournisseur d’identités.

Un fournisseur d’identités est considéré comme pouvant uniquement prendre en charge une mise à disposition distribuée s’il possède un certificat configuré pour les rôles de certificat. Vous pouvez configurer chaque fournisseur d’identités pour privilégier au choix le mode centralisé, le mode distribué ou pour requérir le mode distribué. Le résultat réel dépend du contexte : si le contexte ne prend pas en charge le mode distribué, mais que le fournisseur d’identités requiert ce mode, le déploiement échoue. De même, si le contexte requiert le mode distribué, mais que le fournisseur d’identités ne le prend pas en charge, le déploiement échoue. Dans tous les autres cas, le paramètre préféré est appliqué.

Le tableau suivant présente la distribution SCEP au travers de XenMobile :

Contexte SCEP pris en charge SCEP requis
Service de profil iOS Oui Oui
Inscription à la gestion des appareils mobiles iOS Oui Non
Profils de configuration iOS Oui Non
Inscription SHTP Non Non
Configuration de SHTP Non Non
Inscription de Windows Phone et Tablet Non Non
Configuration de Windows Phone et Tablet Non, à l’exception de la stratégie Wi-Fi,qui est prise en charge pour Windows Phone 8.1 et la dernière version de Windows 10 Non

Révocation de certificats

Il existe trois types de révocation.

  • Révocation interne : la révocation interne du certificat affecte le statut du certificat géré par XenMobile. XenMobile vérifie ce statut lors de l’évaluation d’un certificat présenté ou lors de la fourniture d’informations de statut OCSP pour un certificat. La configuration du fournisseur d’identités détermine la manière dont le statut est affecté par plusieurs conditions. Par exemple, le fournisseur d’identités peut spécifier que les certificats soient marqués comme révoqués lorsqu’ils ont été supprimés de l’appareil.
  • Révocation propagée en externe : également appelée révocation XenMobile, ce type de révocation s’applique aux certificats obtenus à partir d’une PKI externe. Le certificat est révoqué sur la PKI lorsque le certificat est révoqué en interne par XenMobile, sous les conditions définies par la configuration du fournisseur d’identités. La demande de révocation requiert une entité GPKI disposant d’une capacité de révocation.
  • Révocation induite en interne : également appelée PKI de révocation, ce type de révocation s’applique uniquement aux certificats obtenus à partir d’une PKI externe. Chaque fois que XenMobile évalue le statut d’un certificat donné, XenMobile interroge la PKI afin de déterminer ce statut. Si le certificat est révoqué, XenMobile révoque le certificat en interne. Ce mécanisme utilise le protocole OCSP.

Ces trois types ne sont pas exclusifs, mais s’appliquent ensemble. Une révocation externe ou une observation indépendante peut entraîner une révocation interne. Une révocation interne affecte potentiellement une révocation externe.

Renouvellement de certificat

Un renouvellement du certificat est la combinaison de révocation d’un certificat existant) et de l’émission d’un autre certificat.

XenMobile tente tout d’abord d’obtenir le nouveau certificat avant de révoquer le certificat précédent, afin d’éviter une discontinuité du service lorsque l’émission échoue. Pour la mise à disposition distribuée (prise en charge par SCEP), la révocation ne se produit également qu’une fois le certificat installé sur l’appareil. Sinon, la révocation a lieu avant que le nouveau certificat soit envoyé à l’appareil. Cette révocation est indépendante du succès ou de l’échec de l’installation du certificat.

La configuration de la révocation nécessite que vous spécifiiez une certaine durée (en jours). Lorsque l’appareil se connecte, le serveur vérifie que la date du certificat NotAfter est postérieure à la date actuelle, moins la durée spécifiée. Si le certificat remplit cette condition, XenMobile tente de renouveler le certificat.

Créer un fournisseur d’identités

La configuration d’un fournisseur d’identités varie principalement en fonction de l’entité d’émission et de la méthode d’émission sélectionnées pour le fournisseur d’identités. Vous pouvez faire la distinction entre les fournisseurs d’identités qui utilisent une entité interne ou une entité externe :

  • Une entité discrétionnaire, qui est interne à XenMobile, est une entité interne. La méthode d’émission pour une entité discrétionnaire est toujours la signature. La signature signifie qu’avec chaque opération d’émission, XenMobile signe une nouvelle paire de clés avec le certificat d’autorité de certification sélectionné pour l’entité. L’emplacement où la paire de clés est générée (l’appareil où le serveur) dépend de la méthode de distribution sélectionnée.

  • Une entité externe, qui fait partie de votre infrastructure d’entreprise, inclut une autorité de certification Microsoft ou une GPKI.

Pour obtenir des informations détaillées sur la configuration de Symantec Managed PKI, y compris la création du fournisseur d’informations d’identification, consultez la section « Symantec Managed PKI » dans Entités PKI.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit, puis cliquez sur Paramètres > Fournisseurs d’identités.

  2. Sur la page Fournisseurs d’identités, cliquez sur Ajouter.

    La page Fournisseurs d’identités : informations générales s’affiche.

  3. Sur la page Fournisseurs d’identités : informations générales, procédez comme suit :

    • Nom : entrez un nom unique pour la nouvelle configuration du fournisseur. Ce nom sera utilisé par la suite pour faire référence à la configuration dans d’autres parties de la console XenMobile.
    • Description : décrivez le fournisseur d’identités. Bien que ce champ soit facultatif, une description peut être utile pour vous fournir des détails sur ce fournisseur d’identités.
    • Entité émettrice : cliquez sur l’entité qui émet le certificat.
    • Méthode d’émission : cliquez sur Signer ou Récupérer pour choisir la méthode que le système utilise pour obtenir des certificats auprès de l’entité configurée. Pour l’authentification de certificat client, utilisez Signer.
    • Si la liste Modèle est disponible, sélectionnez le modèle que vous avez ajouté sous l’entité PKI pour le fournisseur d’identités.

      Ces modèles deviennent disponibles lorsque les entités Services de certificats Microsoft sont ajoutées sur Paramètres > Entités PKI.

  4. Cliquez sur Suivant.

    La page Fournisseur d’identités : demande de signature de certificat s’affiche.

  5. Sur la page Fournisseurs d’identités : demande de signature de certificat, configurez les éléments suivants en fonction de votre configuration de certificat :

    • Algorithme de clé : choisissez l’algorithme de clé pour la nouvelle paire de clés. Les valeurs disponibles sont RSA, DSA et ECDSA.

    • Taille de la clé : entrez la taille en octets de la paire de clés. Ce champ est obligatoire.

      Les valeurs autorisées dépendent du type de clé. Par exemple, la taille maximale des clés DSA est de 1024 bits. Pour éviter de faux résultats négatifs, qui dépendent du matériel ou du logiciel sous-jacent, XenMobile n’exige pas l’utilisation d’une taille de clé particulière. Vous devez toujours tester les configurations de fournisseur d’identités dans un environnement de test avant de les activer dans un environnement de production.

    • Algorithme de signature : cliquez sur une valeur pour le nouveau certificat. Les valeurs dépendent de l’algorithme de clé.

    • Nom du sujet : obligatoire. Tapez le nom unique (DN) du sujet du nouveau certificat. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation

      For example, for client certificate authentication, use these settings:

      • Key algorithm: RSA
      • Key size: 2048
      • Signature algorithm: SHA1withRSA
      • Subject name: cn=$user.username
    • Pour ajouter une entrée à la table Noms de sujet alternatifs, cliquez sur Ajouter. Sélectionnez le type de nom alternatif, puis tapez une valeur dans la deuxième colonne.

      Pour l’authentification du certificat client, spécifiez :

      • Type : nom principal de l’utilisateur
      • Valeur : $user.userprincipalname

        Comme avec le nom du sujet, vous pouvez utiliser les macros XenMobile dans le champ de valeur.

  6. Cliquez sur Suivant.

    La page Fournisseurs d’identités : distribution s’affiche.

  7. Sur la page Fournisseurs d’identités : distribution, procédez comme suit :

    • Dans la liste Certificat émis par l’autorité de certification, cliquez sur le certificat d’autorité de certification proposé. Étant donné que le fournisseur d’identités utilise une entité d’autorité de certification discrétionnaire, le certificat d’autorité de certification du fournisseur d’identités sera toujours le certificat d’autorité de certification configuré sur l’entité elle-même. Le certificat d’autorité de certification est présenté ici pour des raisons de cohérence avec les configurations utilisant des entités externes.
    • Dans Sélectionner le mode de distribution, sélectionnez l’une des méthodes de génération et de distribution de clés :
      • Préférer mode centralisé : génération de la clé sur le serveur : Citrix recommande cette option centralisée. Ce mode prend en charge toutes les plates-formes prises en charge par XenMobile et est requis lors de l’utilisation de l’authentification NetScaler Gateway. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
      • Préférer mode distribué : génération de la clé sur l’appareil. Les clés privées sont générées et stockées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec le keyUsage keyEncryption et un certificat de signature RA avec le KeyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
      • Distribué uniquement : génération de la clé sur l’appareil : cette option fonctionne de la même façon que Préférer mode distribué : génération de la clé sur l’appareil, sauf qu’étant « Uniquement » au lieu de « Préférer », aucune option n’est disponible si la génération de la clé sur l’appareil échoue.

    Si vous avez sélectionné Préférer mode distribué : génération de la clé sur l’appareil ou Distribué uniquement : génération de la clé sur l’appareil, cliquez sur le certificat de signature RA et le certificat de chiffrement RA. Le même certificat peut être utilisé pour les deux modes. De nouveaux champs apparaissent pour ces certificats.

  8. Cliquez sur Suivant.

    La page Fournisseurs d’identités : révocation XenMobile s’affiche. Sur cette page, vous configurez les conditions dans lesquelles XenMobile marque (en interne) comme révoqué les certificats émis au travers de cette configuration de fournisseur.

  9. Sur la page Fournisseurs d’identités : révocation XenMobile, procédez comme suit :

    • Dans Révoquer les certificats émis, sélectionnez l’une des options qui indique quand les certificats doivent être révoqués.
    • Si vous voulez que XenMobile envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur Activé et choisissez un modèle de notification.

    • Si vous souhaitez révoquer le certificat sur la PKI lorsque le certificat est révoqué de XenMobile, définissez Révoquer le certificat auprès de la PKI sur Activé et cliquez sur un modèle dans la liste Entité. La liste Entité répertorie toutes les entités GPKI disponibles avec des capacités de révocation. Lorsque le certificat est révoqué de XenMobile, une demande de révocation est envoyée à la PKI sélectionnée à partir de la liste Entité.
  10. Cliquez sur Suivant.

    La page Fournisseurs d’identités : révocation PKI s’affiche. Sur cette page, identifiez les actions à effectuer sur la PKI si le certificat est révoqué. Vous avez aussi la possibilité de créer un message de notification.

  11. Sur la page Fournisseurs d’identités : révocation PKI, procédez comme suit si vous souhaitez révoquer les certificats de la PKI :

    • Modifiez le paramètre Activer les vérifications de révocation externe sur Activé. Des champs supplémentaires liés à la PKI de révocation apparaissent.
    • Dans la liste Certificat CA du répondeur OCSP, cliquez sur le nom unique (DN) du sujet du certificat.

      Vous pouvez utiliser les macros XenMobile pour les valeurs de champ de nom unique. Par exemple : CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • Dans la liste Lorsque le certificat est révoqué, cliquez sur l’une des actions suivantes à entreprendre sur l’entité PKI lorsque le certificat est révoqué :

      • Ne rien faire.
      • Renouveler le certificat.
      • Révoquer et de réinitialiser l’appareil.
    • Si vous voulez que XenMobile envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur Activé.

      Vous avez le choix entre deux options de notification :

    • Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
    • Si vous sélectionnez Entrer les détails de notification, vous pouvez créer votre propre message de notification. En plus de fournir l’adresse e-mail du destinataire et le message, vous pouvez définir la fréquence à laquelle la notification est envoyée.
  12. Cliquez sur Suivant.

    La page Fournisseurs d’identités : renouvellement s’affiche. Sur cette page, vous pouvez configurer XenMobile pour effectuer les opérations suivantes :

    • Renouveler le certificat. Vous pouvez envoyer (facultatif) une notification lors du renouvellement et exclure (facultatif) les certificats déjà expirés de l’opération.
    • Émettre une notification pour les certificats dont l’expiration approche (avant le renouvellement).
  13. Sur la page Fournisseurs d’identités : renouvellement, procédez comme suit si vous souhaitez renouveler les certificats lorsqu’ils expirent :

    Réglez Renouveler les certificats lorsqu’ils expirent sur On. Des champs supplémentaires apparaissent.

    • Dans le champ Renouveler lorsque le certificat expire dans, entrez quand le renouvellement doit être effectué, en nombre de jours avant l’expiration.
    • Si vous le souhaitez, sélectionnez Ne pas renouveler les certificats expirés. Dans ce cas, « expiré » signifie que la date NotAfter (fin de validité) est dans le passé, et non pas qu’il a été révoqué. XenMobile ne renouvelle pas les certificats après leur révocation interne.

    Si vous voulez que XenMobile envoie une notification lorsque le certificat a été renouvelé, définissez Envoyer une notification sur Activé. Si vous voulez que XenMobile envoie une notification lorsque la certification arrive à échéance, définissez Notifier quand un certificat va expirer sur Activé. Dans tous les cas, vous avez le choix entre deux options de notification :

    • Sélectionner un modèle de notification : sélectionnez un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
    • Entrer les détails de notification : créez votre propre message de notification. Indiquez l’adresse e-mail du destinataire, un message et la fréquence d’envoi de la notification.

    Dans le champ Notifier lorsque le certificat expire dans, entrez le nombre de jours avant expiration du certificat après lequel la notification doit être envoyée.

  14. Cliquez sur Enregistrer.

    Le fournisseur d’identités apparaît dans la table Fournisseur d’identités.